Lagförslag 17/2023-2024
|
| ||
| LAGFÖRSLAG nr 17/2023-2024 | ||
| Datum |
| |
| 2024-06-06 |
| |
|
|
| |
|
|
| |
|
|
| |
| Till Ålands lagting |
| |
| |||
| |||
| |||
|
Registerbaserad kvalitetssäkring och preciserade regler om vårdgarantin inom hälso- och sjukvården
Huvudsakligt innehåll
Landskapsregeringen föreslår att landskapslagen om hälso- och sjukvård ändras. Genom de föreslagna ändringarna skapas rättsliga förutsättningar för Ålands hälso- och sjukvård (ÅHS) att behandla hälsouppgifter i kvalitetsregister i syfte att säkra verksamhetens kvalitet, möjliggöra statistikföring och tillgodose den vetenskapliga forskningens behov av information. Förslaget innebär att ÅHS får möjlighet att behandla känsliga personuppgifter för andra ändamål än de för vilka uppgifterna ursprungligen samlades in, det vill säga för att ordna vård och omsorg. För att säkerställa att kvalitetsregister upprättas och förs under ordnade, kontrollerade och lagenliga former, föreslås att det bildas en registerförvaltning inom ÅHS. Registerförvaltningen ska bestå av en registerstyrgrupp och registerhållare för varje kvalitetsregister som tas i bruk.
Vidare föreslås att bestämmelserna om vårdgarantin inom den specialiserade sjukvården preciseras så att det tydligt framgår inom vilka tidsramar bedömningen av patientens vårdbehov ska utföras. Om bedömningen av vårdbehovet förutsätter en bedömning av en specialist, särskild bilddiagnostik eller särskilda laboratorieundersökningar, ska bedömningen och de behövliga undersökningarna göras inom tre månader från det att remissen anlände till den mottagande verksamhetsenheten inom ÅHS.
Det finns tydliga beröringspunkter mellan de föreslagna bestämmelserna om kvalitetsregister och vårdgarantin; ett kvalitetsregisters informationsinnehåll kan exempelvis användas för att utvärdera i vilken utsträckning vårdgarantin faktiskt uppfylls inom de angivna tidsramarna.
Avsikten är att de föreslagna bestämmelserna om kvalitetsregister ska träda i kraft vid samma tidpunkt som den i ett separat lagförslag föreslagna landskapslagen om cybersäkerhet och motståndskraft, varigenom Europaparlamentets och rådets direktiv (EU) 2022/2555 (NIS2-direktivet) och direktiv (EU) 2022/2557 (CER-direktivet) genomförs på Åland. Den föreslagna bestämmelsen om vårdgarantin avses träda i kraft så snart som möjligt.
INNEHÅLL
1. Kvalitetsregister inom hälso- och sjukvården
1.2 Kvalitetsregistrens syfte och funktion
1.3 Den rättsliga regleringen av skydd för personuppgifter i kvalitetsregister
1.4 Krav på informationssäkerhet inom hälso- och sjukvårdssektorn
1.5 Den europeiska dataförvaltningsakten
1.7 Landskapsregeringens överväganden och förslag
2. Preciserade regler om vårdgarantin för icke-brådskande specialsjukvård
2.1 Gällande bestämmelser om vårdgarantin inom den specialiserade sjukvården
2.2 Behov av precisering i bestämmelserna om vårdgarantin inom den specialiserade sjukvården
2.3 Landskapsregeringens förslag
1. Landskapslag om ändring av landskapslagen om hälso- och sjukvård
2. Landskapslag om ändring av 20 § landskapslagen om hälso- och sjukvård
L A N D S K A P S L A G om ändring av landskapslagen om hälso- och sjukvård
L A N D S K A P S L A G om ändring av 20 § landskapslagen om hälso- och sjukvård
Allmän motivering
1. Kvalitetsregister inom hälso- och sjukvården
1.1 Bakgrund
För att kunna tillhandahålla högkvalitativ och säker vård för patienter, förutsätts Ålands hälso- och sjukvård (ÅHS) kontinuerligt och systematiskt följa upp och utvärdera verksamhetens kvalitet. Enligt 15 § i landskapslagen (2011:114) om hälso- och sjukvård (nedan kallad hälso- och sjukvårdslagen) ska det systematiska kvalitetsarbetet inom ÅHS dessutom syfta till att säkerställa att vården vilar på vetenskaplig grund, god vårdpraxis och goda rutiner. En nödvändig förutsättning för att ÅHS överhuvudtaget ska kunna bedriva ett systematiskt kvalitetssäkringsarbete och uppfylla ovannämnda kvalitetskrav är att myndigheten har en i lagen uttryckligen reglerad rätt att använda hälsouppgifter för ändamålet kvalitetssäkring. När det gäller en vårdgivares behandling[1] av personuppgifter om hälsa, är utgångspunkten att sådan behandling endast får ske om det behövs för att kunna uppnå verksamhetens primära syfte, dvs. att ordna, planera, tillhandahålla och följa upp vården och behandlingen av en patient. Av artikel 6.4 i dataskyddsförordningen[2] följer att om personuppgifter ska behandlas för andra ändamål än det primära ändamål för vilket uppgifterna ursprungligen samlades in, måste sådan vidarebehandling antingen grunda sig på den registrerades samtycke eller sådan nationell lagstiftning som uppfyller de krav på bl.a. proportionalitet som ställs i dataskyddsförordningen. Landskapsregeringen noterar att hälso- och sjukvårdslagen i dess nuvarande utformning saknar bestämmelser som möjliggör behandling av personuppgifter om hälsa för s.k. sekundära användningsändamål, dvs. sådana ändamål som inte direkt hänför sig till vården och behandlingen av en patient. Riksdagens grundlagsutskott har slagit fast att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag. När det gäller behandling av känsliga personuppgifter, som alltid medför risk för enskilda personers rättigheter och friheter, är det också motiverat med mer detaljerade bestämmelser.[3]
Avsikten med föreliggande lagförslag är således att skapa de rättsliga förutsättningar som krävs för att ÅHS ska kunna upprätta och fortlöpande föra kvalitetsregister i syfte att följa upp, utvärdera och säkra verksamhetens kvalitet, framställa statistik och tillgodose den vetenskapliga forskningens behov av information.
I kapitlen 1.3‒1.6 redogörs mer ingående för de rättsliga frågor som uppkommit och som tagits i beaktande vid beredningen av lagförslaget.
1.2 Kvalitetsregistrens syfte och funktion
Arbetet med att systematiskt och fortlöpande säkra hälso- och sjukvårdens kvalitet innebär ofta att stora mängder känsliga personuppgifter och annan hälsodata behöver hanteras. Denna typ av verksamhet har därför typiskt sett utförts på registerbasis såväl i riket som i Sverige[4]. I artikel 4.6 i dataskyddsförordningen definieras register som en ”strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden”. Enligt denna definition kan ett register också betraktas som en databas.
Ett kvalitetsregisters specifika informationsinnehåll utgör den samlade empiriska data som behövs för att en vårdgivare ska kunna bilda sig en uppfattning om t.ex. hur bra en viss behandling eller behandlingsmetod fungerar. Datainnehållet i ett enskilt kvalitetsregister kan också utgöra underlag för klinikspecifika uppföljningar och utvärderingar av vårdens planering, genomförande och resultat. Genom att jämföra uppgifter i olika kvalitetsregister, varav envar upprättats för särskilda och uttryckligt angivna ändamål, kan det till exempel vara möjligt att analysera effekterna av behandling och stödinsatser vid samsjuklighet, dvs. när en patient uppfyller diagnostiska kriterier för flera sjukdomar. Ifall det samlas in uppgifter om patienters vistelsetider på sjukhuset, kan kvalitetsregistren också användas för att undersöka om vårdgarantin kunnat uppfyllas och vilka åtgärder som vidtagits i de fall då vård inte kunnat erbjudas inom vårdgarantins tidsramar. Sammantaget kan konstateras att kvalitetsregistren är avsedda att främja vårdens kvalitet och ändamålsenlighet, servicekedjornas funktionalitet och patientsäkerheten inom hälso- och sjukvården.
Kvalitetsregistren kan användas även på andra sätt för att tillgodose det åländska samhällets folkhälsointresse; det ska exempelvis vara möjligt för Ålands statistik- och utredningsbyrå (ÅSUB) att begära ut (avidentifierade) hälsouppgifter ur kvalitetsregister för att framställa officiell statistik om den åländska befolkningens hälsotillstånd. Vidare kan det på grundval av kvalitetsregistrens informationsinnehåll erhållas ny medicinsk kunskap om exempelvis cancer och hjärt-kärlsjukdomar. De resultat som uppnås i forskningen kan lämpligen användas för att förbättra och säkra hälso- och sjukvårdens kvalitet.
1.3 Den rättsliga regleringen av skydd för personuppgifter i kvalitetsregister
1.3.1 Grundläggande regler och principer för behandling av person-uppgifter i EU:s dataskyddsförordning
Syftet med EU:s allmänna dataskyddsförordning är att skapa en enhetlig nivå för skyddet av personuppgifter i medlemsländerna och att stärka den enskildes självbestämmande över sina personuppgifter. Dataskyddsförordningen ska enligt dess artikel 2 tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. I artikel 5.1c i dataskyddsförordningen föreskrivs om den personuppgiftsansvariges skyldighet att tillse att principen om uppgiftsminimering iakttas vid behandling av personuppgifter. Med uppgiftsminimering avses att personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål som uppgifterna behandlas för. Om en vårdgivare till exempel har för avsikt att samla in data för forskningsändamål, måste sådan datainsamling begränsas till personuppgifter som kan antas ha betydelse för det aktuella forskningsprojektets syfte och frågeställning.
I artiklarna 12‒22 i dataskyddsförordningen regleras den registrerades rättigheter. De registrerade har bl.a. rätt att ta del av uppgifter som samlats in om dem, kräva rättelse av felaktiga uppgifter och göra invändningar mot behandling av personuppgifter. De registrerades rättigheter är inte absoluta, utan kan i vissa situationer och på vissa villkor (som framgår t.ex. av artikel 23 i förordningen) begränsas genom nationell lag.
Enligt principerna om inbyggt dataskydd och dataskydd som standard ska dataskyddet beaktas i verksamheten redan på planeringsstadiet varvid bl.a. lämpliga tekniska och organisatoriska säkerhetsåtgärder ska vidtas för att säkerställa den registrerades rättigheter.
Av artikel 35 i dataskyddsförordningen följer att den personuppgiftsansvarige ska bedöma konsekvenserna av en ny personuppgiftsbehandling innan behandlingen påbörjas, om behandlingen sannolikt leder till en hög risk för enskilda personers rättigheter och friheter.
1.3.2 Allmänt om förhållandet mellan dataskyddsförordningen och den åländska lagstiftningen om dataskydd
Bestämmelser som reglerar behandlingen av personuppgifter inom den åländska hälso- och sjukvården finns i dataskyddsförordningen och i landskapslagen (2019:9) om dataskydd inom landskaps- och kommunalförvaltningen, nedan kallad dataskyddslagen, som innehåller kompletterande bestämmelser till den förenämnda EU-rättsakten. Dataskyddslagen är till sin karaktär en subsidiär lag vars bestämmelser inte ska tillämpas om det finns avvikande bestämmelser om dataskydd i annan landskapslag. Som exempel på landskapslagar av det sistnämnda slaget kan i detta sammanhang nämnas arkivlagen (2004:13) för landskapet Åland (nedan kallad arkivlagen) och statistiklagen (1994:42) för landskapet Åland (nedan kallad statistiklagen). I lagen om patientens ställning och rättigheter (FFS 785/1992), nedan kallad rikets patientlag, som är tillämplig på Åland genom landskapslagen (1993:61) om tillämpning i landskapet Åland av lagen om patientens ställning och rättigheter, nedan kallad patientlagen, regleras hanteringen av sekretessbelagda uppgifter som ingår i journalhandlingar.[5] Eftersom Åland saknar en samlad lagstiftning för forskningsverksamhet, ska bestämmelserna i dataskyddsförordningen och dataskyddslagen tillämpas när personuppgifter behandlas för detta specifika ändamål.
Angående frågan om det nationella handlingsutrymmets omfattning anges i skäl 10 i ingressen till dataskyddsförordningen att det bör vara tillåtet för medlemsstaterna att införa specificerande bestämmelser för att närmare fastställa hur dataskyddsförordningens bestämmelser om bl.a. särskilda (känsliga) kategorier av personuppgifter ska tillämpas. Det kan t.ex. handla om mer exakta villkor för laglig behandling av personuppgifter. Den sektorspecifika nationella lagstiftningen kan således innehålla avvikelser som ansetts nödvändiga eller lämpliga på det aktuella området i förhållande till de mer allmänna bestämmelserna i dataskyddsförordningen. Vid eventuell konflikt mellan bestämmelserna i dataskyddförordningen och den nationella lagstiftningen ska emellertid förordningens bestämmelser ges företräde.
Bestämmelserna i lagförslagets 15a‒e §§ är tänkta att utgöra ett komplement till dataskyddsförordningen och dataskyddslagen.
1.3.3 Rättslig grund för behandling av personuppgifter i kvalitetsregister
Enligt landskapsregeringens bedömning är all sådan behandling av personuppgifter som sker i kvalitetsregistren för de ändamål som anges i den föreslagna 15a § 1 mom. (dvs. systematisk uppföljning, utvärdering och säkring av verksamhetens kvalitet, statistikföring och vetenskaplig forskning) nödvändig för att utföra uppgifter av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. När artikel 6.1 e punkten i dataskyddsförordningen utgör den rättsliga grunden för personuppgiftsbehandlingen, framgår av artikel 6.3 b punkten att uppgiften av allmänt intresse ska fastställas i nationell lagstiftning.
Av artikel 9.1 i dataskyddsförordningen följer emellertid att det är förbjudet att behandla personuppgifter som är hänförliga till någon av de särskilda kategorier av personuppgifter som anges i nämnda lagrum. Hälsouppgifter, dvs. uppgifter som beskriver en persons hälsotillstånd, räknas som en särskild (känslig) kategori av personuppgifter. Behandling av känsliga personuppgifter är endast tillåten om den registrerade gett sitt uttryckliga samtycke till behandlingen eller det finns någon annan lagstadgad grund med stöd av vilken behandlingen kan ske.
Enligt dataskyddsförordningens artikel 9.2 i får känsliga personuppgifter behandlas om behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa höga kvalitets- och säkerhetsnormer för vård, och det i medlemsstaternas nationella rätt intagits bestämmelser om lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter, särskilt tystnadsplikt.
Vidare framgår av artikel 9.2 j i dataskyddsförordningen att känsliga personuppgifter får behandlas för bl.a. vetenskapliga forskningsändamål och statistikföring, under förutsättning att personuppgiftsbehandlingen regleras i nationell rätt eller i unionsrätten. För Ålands vidkommande har bestämmelser om behandling av känsliga personuppgifter för forskningsändamål intagits såväl i 11 § i dataskyddslagen som i 23 § 3 mom. i offentlighetslagen (2021:79) för Åland.
När det gäller behandling av personuppgifter i kvalitetsregister för ändamålet utveckling, utvärdering och säkring av verksamhetens kvalitet kunde även artikel 9.2 h i dataskyddsförordningen utgöra en möjlig rättslig grund för behandlingen. Enligt nämnda lagrum får känsliga personuppgifter behandlas om det är nödvändigt exempelvis för medicinska diagnoser och förvaltning av hälso- och sjukvårdstjänster. Även när behandling sker för dessa ändamål förutsätts att tystnadsplikt ska iakttas enligt unionsrätten eller medlemsstaternas nationella rätt.
Slutligen kan konstateras att bland annat europeiska dataskyddsstyrelsen (EDPB) och europeiska datatillsynsmannen (EDPS) har ansett att samtycke i de allra flesta fall inte utgör en adekvat rättslig grund för myndigheternas behandling av personuppgifter.[6]
1.3.4 Behandling av personuppgifter för sekundära ändamål inom hälso- och sjukvården
Med sekundär användning av personuppgifter avses sådan ytterligare behandling av personuppgifter som sker för något annat ändamål än det primära ändamålet för vilka uppgifterna ursprungligen samlades in. För en tillhandahållare av hälso- och sjukvårdstjänster, såsom ÅHS, utgör vård och sådan forskning som sker i samband med den direkta vården av patienten de primära ändamål för vilka personuppgifter samlas in och registreras i patientregistret. När personuppgifter behandlas internt inom myndigheten för att exempelvis följa upp och utvärdera vårdgivarens verksamhet, sker detta genom att återanvända uppgifter som samlats in i samband med vården av patienter. Eftersom personuppgiftsbehandlingen då sker för andra ändamål än det ursprungliga ändamålet för vilka uppgifterna samlades in enligt 12 § 1 mom. i rikets patientlag, handlar det om sekundär användning. Begreppet sekundär användning omfattar även sådana situationer där vårdgivaren tillgängliggör känsliga hälsouppgifter i register eller i andra databaser i syfte att de ska kunna vidare användas till exempel för statistikföring eller för forskningsändamål.[7]
Enligt finalitetsprincipen, så som den kodifierats i artikel 5.1 b i dataskyddsförordningen, får personuppgifter som samlats in för särskilda, uttryckligt angivna och berättigade ändamål, inte behandlas för andra ändamål som är oförenliga med de ursprungliga ändamålen. Av artikel 6.4 i dataskyddsförordningen följer att sekundär användning av personuppgifter endast är möjlig om behandlingen grundar sig på den registrerades samtycke, på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd för att skydda de mål som avses i artikel 23.1 i dataskyddsförordningen, däribland folkhälsa och social trygghet. De lagstiftningsåtgärder som förutsätts för att den sekundära användningen av personuppgifter kan anses vara proportionerlig och befogad i förhållande till det mål som eftersträvas ska enligt artikel 23.2 i dataskyddsförordningen vidtas i form av specifika bestämmelser, av vilka åtminstone ska framgå:
a) ändamålen med behandlingen eller kategorierna av behandling,
b) kategorierna av personuppgifter,
c) omfattningen av de införda begränsningarna,
d) skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring,
e) specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga,
f) lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling,
g) riskerna för de registrerades rättigheter och friheter, och
h) de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen.
Om ovannämnda krav inte uppfylls, måste den personuppgiftsansvarige beakta de särskilda kriterierna i artikel 6.4 a‒e punkterna för att kunna avgöra om den sekundära användningen av personuppgifter kan anses vara förenlig med det ursprungliga ändamålet för vilka uppgifterna samlades in. Den personuppgiftsansvarige ska vid en sådan bedömning ta hänsyn till följande omständigheter:
a) kopplingarna mellan de ändamål för vilka personuppgifterna samlats in och ändamålen med den avsedda ytterligare behandlingen,
b) det sammanhang inom vilket personuppgifterna samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige,
c) personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas i enlighet med artikel 9,
d) konsekvenserna för registrerade av den planerade fortsatta behandlingen, samt
e) förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.
I kapitel 1.7.3 redogörs närmare för hur lagförslaget förhåller sig till de ovannämnda kriterierna i artiklarna 6.4 och 23.2 i dataskyddsförordningen.
Enligt artiklarna 5.1 b och 89.1 i dataskyddsförordningen är behandling av personuppgifter för vetenskapliga och statistiska ändamål alltid förenlig med det ursprungliga behandlingsändamålet. Behandling av personuppgifter för dessa syften undantas m.a.o. från den ändamålsbegränsningsprincip som fastställs i artikel 5.1 b första meningen. I skäl 50 i ingressen till dataskyddsförordningen anges i förtydligande syfte att när behandling av personuppgifter för andra ändamål än för vilka de ursprungligen samlades in är förenligt med det ursprungliga ändamålet krävs det heller inte någon separat rättslig grund för den ytterligare behandlingen. I detta sammanhang bör dock erinras om att grundlagsutskottet har, med hänsyn till risken för den enskilde registrerades rättigheter och friheter, förutsatt att all behandling av känsliga personuppgifter ska grunda sig på exakta, detaljerade och noggrant avgränsade bestämmelser.[8] Således ska också den rättsliga grunden för behandling av känsliga personuppgifter uttryckligen framgå av lag.
1.3.5 Vidtagande av lämpliga åtgärder för att skydda personuppgifter
För att behandling av känsliga personuppgifter kan anses laglig, ska den personuppgiftsansvariga vidta lämpliga och särskilda åtgärder för att skydda den registrerades intressen. Med lämpliga och särskilda åtgärder avses enligt dataskyddsförordningen och dataskyddslagen bland annat:
1) insamling och övervakning av loggdata,
2) åtgärder för att höja kompetensen hos den personal som behandlar personuppgifter,
3) utnämning av dataskyddsombud,
4) den personuppgiftsansvariges interna åtgärder med vilka hindras obehörig åtkomst till personuppgifterna,
5) pseudonymisering och kryptering av personuppgifterna,
6) åtgärder för att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och personuppgifterna,
7) regelbunden testning och bedömning av de tekniska och organisatoriska åtgärdernas effektivitet,
8) särskilda förfarandebestämmelser för att säkerställa att dataskyddsförordningen iakttas när personuppgifter överförs eller behandlas för något annat ändamål,
9) konsekvensbedömning gällande dataskyddet i enlighet med artikel 35 i dataskyddsförordningen,
10) andra tekniska, förfarandemässiga och organisatoriska åtgärder.
Vidare anges i artikel 89.1 i dataskyddsförordningen att den personuppgiftsansvarige är skyldig att vidta lämpliga tekniska och organisatoriska skyddsåtgärder för att bl.a. säkerställa att principen om uppgiftsminimering i artikel 5.1 c punkten i dataskyddsförordningen efterlevs när personuppgifter behandlas för vetenskapliga och statistiska ändamål. Enligt nämnda artikel inbegriper ”lämpliga skyddsåtgärder” även pseudonymisering och andra metoder som kan användas för att anonymisera personuppgifter.
1.4 Krav på informationssäkerhet inom hälso- och sjukvårdssektorn
Europaparlamentet och rådet antog den 14 december 2022 ett nytt direktiv (EU) 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS2-direktivet). Medlemsstaterna ska ha införlivat direktivets regler i sin nationella lagstiftning senast den 18 oktober 2024. I NIS2-direktivet ställs krav på säkerhet i nätverks- och informationssystem i syfte att uppnå en högre cybersäkerhet. Enligt artikel 2 och bilaga I till NIS2-direktivet är hälso- och sjukvård en sådan entitet som omfattas av direktivets tillämpningsområde. En viktig förutsättning för detta är dock att entiteten kan betecknas som ett medelstort företag, dvs. den ska sysselsätta minst 50 personer och ha en årsomsättning som överstiger 10 miljoner euro per år. NIS2-direktivet är emellertid, oavsett organisationens storlek, tillämplig på entiteter som definieras som kritiska enligt Europaparlamentets och rådets direktiv (EU) 2022/2557 om kritiska entiteters motståndskraft och om upphävande av rådets direktiv 2008/114/EG (CER-direktivet). Dessutom ska NIS2-direktivet vara tillämpligt på alla entiteter som avses i direktivets bilaga I och som uppfyller något av följande kriterier:
a) en störning av den tjänst som entiteten tillhandahåller kan ha en betydande påverkan på skyddet för människors liv och hälsa, allmän säkerhet eller folkhälsa,
b) entiteten är kritisk på grund av sin särskilda betydelse på nationell eller regional nivå för en särskild sektor eller typ av tjänst, eller för andra sektorer i medlemsstaten som är beroende av denna entitet.
Entiteter som ingår i bilaga I till direktivet, men som inte uppfyller definitionen av en väsentlig entitet, betraktas som viktiga entiteter.
Utan att föregå andra utredningar och de slutsatser som där eventuellt kommer att dras, bedömer landskapsregeringen i detta skede att ÅHS troligtvis kommer att klassificeras antingen som en kritisk entitet enligt CER-direktivet eller som en väsentlig entitet enligt artikel 3 i NIS2-direktivet. Såvida kvalitetsregistren förs som digitaliserade elektroniska register, kan de enligt landskapsregeringens uppfattning anses utgöra del av ett sådant nätverks- och informationssystem som avses i artikel 6.1 i NIS2-direktivet. Landskapsregeringen anser m.a.o. att kvalitetsregistren ska betraktas som en del av ÅHS informationssystem för patientuppgifter.[9]
De entiteter/verksamhetsutövare som omfattas av NIS2-direktivets regler (dvs. kritiska, väsentliga och viktiga entiteter) ska vidta riskhanteringsåtgärder för att skydda nätverks- och informationssystem mot incidenter. Dessa åtgärder ska utgå från en riskanalys, vara proportionella i förhållande till risken och utvärderas fortlöpande. Även när det gäller hälso- och sjukvårdens informationssystem och digitala tjänster ska det utses en tillsynsmyndighet som granskar att verksamheten följer regelverket. Enligt artikel 31 i NIS2-direktivet ska medlemsstaterna säkerställa att de behöriga myndigheterna är operativt oberoende i förhållande till de entiteter som övervakas.
Att NIS2-direktivet och CER-direktivet ännu inte implementerats i åländsk lagstiftning, kan anses vara problematiskt mot bakgrund av vad grundlagsutskottet anfört om kravet på exakthet när det gäller bestämmelser som har koppling till de grundläggande fri- och rättigheterna. Grundlagsutskottet har då förutsatt att den behöriga myndigheten entydigt framgår av lagen eller att åtminstone principerna för myndigheternas behörighetsförhållanden framgår tillräckligt exakt av lagen.[10] Mot bakgrund av det ovan anförda bedömer landskapsregeringen att de föreslagna nya 15a‒e §§ om kvalitetsregister och deras förvaltning inte kan fogas till hälso- och sjukvårdslagen innan det i landskapslag fastställts vilken myndighet som ska utöva tillsyn över ÅHS informationssystem.
1.5 Den europeiska dataförvaltningsakten
Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten) har sedan den 24 september 2023 utgjort direkt tillämplig och bindande rätt i medlemsstaterna. Genom dataförvaltningsakten eftersträvas en gemensam europeisk datarymd och en interoperabel inre marknad för data. Detta uppnås genom att skapa harmoniserade villkor och enhetliga förfaranden för delning av skyddade data från den offentliga sektorn.
Av artikel 3.1 d punkten i dataförvaltningsförordningen framgår att förordningen ska tillämpas på data som innehas av offentliga myndigheter, är skyddade på grund av skydd för personuppgifter och faller utanför tillämpningsområdet för Europaparlamentets och rådets direktiv (EU) 2019/1024 av den 20 juni 2019 om öppna data och vidareutnyttjande av information från den offentliga sektorn (nedan kallad öppna datadirektivet). Att öppna datadirektivet inte är tillämpligt på t.ex. journalhandlingar och andra uppgifter som upprättats inom hälso- och sjukvården i samband med tillhandahållandet av vård följer av direktivets artikel 2 h punkten enligt vilken sekretessbelagda handlingar (”handlingar som med hänsyn till skyddet av personuppgifter är undantagna från tillgång eller för vilka tillgången omfattas av restriktioner enligt bestämmelserna om tillgång […]”) exkluderas från direktivets tillämpningsområde. I dataförvaltningsaktens II kap. fastställs villkor för vidareutnyttjande av vissa typer av känsliga data från offentliga myndigheter. Data som omfattas av de särskilda villkor för vidareutnyttjande som fastställs i kapitel II i dataförvaltningsakten är sådana som i huvudsak är sekretessbelagda enligt nationell rätt och som därför inte fritt kan lämnas ut för vidareutnyttjande.
För att sådana skyddade data som avses i dataförvaltningsaktens II kap. ska kunna tillgängliggöras för vidareutnyttjande, måste den offentliga myndigheten vidta erforderliga skyddsåtgärder och ställa upp villkor för vidareutnyttjandet. De åtgärder som myndigheten kan behöva vidta för att säkerställa de skyddade uppgifternas integritet kan bl.a. inbegripa anonymisering av data. I sådana fall ska det vara förbjudet för vidareutnyttjare att återidentifiera de registrerade som uppgifterna gäller. Enligt artikel 5.5 i dataförvaltningsakten måste den som begär ut skyddade data för vidareutnyttjande omfattas av en lagstadgad eller avtalsgrundad tystnadsplikt. Sammantaget syftar de i artikel 5 uppställda villkoren till att skydda sekretessintresset när uppgifter ska användas för andra ändamål än för vilka de ursprungligen samlades in.
Det bör emellertid betonas att dataförvaltningsakten är till sin natur allmän lagstiftning, vilket innebär att dess bestämmelser inte påverkar tillämpningen av dataskyddsförordningen och de nationella regelverk och principer som styr tillgången till och användningen av myndighetsdata. Bestämmelserna i dataförvaltningsakten kan således inte åberopas som grund för att få tillgång till skyddade data.
Enligt artikel 7 i dataförvaltningsakten ska en medlemsstat utse ett eller flera behöriga organ med uppgift att bl.a. bistå myndigheterna i frågor som rör vidareutnyttjande av skyddade data. På Åland har landskapsregeringen, genom en ändring av landskapslagen (2021:165) om vidareutnyttjande av information från landskaps- och kommunalförvaltningen (2024/8), utsetts till det behöriga organet.
I artikel 8 i dataförvaltningsakten åläggs medlemsstaterna att utse en gemensam informationspunkt, som ska fungera som ett gränssnitt för externa aktörer som vill vidareutnyttja data. I riket har myndigheten för digitalisering och befolkningsdata utsetts till sådan gemensam informationspunkt som avses i nämnda artikel 8. Myndigheten för digitalisering och befolkningsdata ska även i sådana fall där efterfrågade data innehas av ÅHS (eller för vilka ÅHS har personuppgiftsansvaret) kunna ta emot förfrågningar eller ansökningar och vidareförmedla dessa till ÅHS för prövning (se artikel 8.2). ÅHS ska i sin tur informera myndigheten för digitalisering och befolkningsdata om de datamängder som tillgängliggjorts för vidareutnyttjande och villkoren för vidareutnyttjandet av denna data.
EU-lagstiftaren har för avsikt att successivt komplettera de allmänna bestämmelserna i dataförvaltningsakten med sektorspecifik speciallagstiftning, bland annat på hälso- och sjukvårdens område. I detta sammanhang bör särskilt nämnas förslaget till europaparlamentets och rådets förordning om ett europeiskt hälsodataområde (COM 2022, 197 final, av den 3 maj 2022), som bl.a. syftar till att främja och underlätta gränsöverskridande utbyte av och tillgång till elektroniska hälsouppgifter, inklusive elektroniska patientjournaler. Den föreslagna förordningen kommer således att göra det möjligt för t.ex. forskare och beslutsfattare att på ett tillförlitligt och säkert sätt ta del av eller vidareutnyttja elektroniskt hälsodata som lagras i ett annat land. Denna gränsöverskridande infrastruktur för sekundär användning av e-hälsodata går under benämningen HealthData@EU. Parallellt med detta utvecklas också ett gränsöverskridande samarbete för primär användning av e-hälsodata (MyHealth@EU). I syfte att säkerställa de ovannämnda IT-infrastrukturernas funktionalitet innehåller förslaget också krav på certifiering av patientjournalsystem och andra system för hälsodata.
I den föreslagna hälsodataförordningens artikel 34 anges de sekundära ändamål för vilka e-hälsodata kan användas. Av artikel 34.1 a punkten framgår att vissa e-hälsouppgifter (t.ex. de som enligt artikel 33.1 i punkten ingår i medicinska register för specifika sjukdomar) får användas bl.a. för övervakning av folkhälsan eller säkerställande av en hög kvalitets- och säkerhetsnivå för hälso- och sjukvården. Vidare anges i artikel 34.1 c punkten att ifrågavarande uppgifter också får användas för framtagande av officiell statistik med anknytning till hälso- och sjukvårdssektorn. Även sådan vetenskaplig forskning som på något sätt anknyter till hälso- och sjukvårdssektorn kan enligt artikel 34.1 e punkten utgöra ett legitimt användningsändamål. Beroende på den föreslagna EU-förordningens slutliga utformning kan bestämmelserna i lagförslagets 15d § om utlämnande av uppgifter ur kvalitetsregister behöva ändras så att utlämnande kan ske för alla de ändamål som anges i hälsodataförordningens artikel 34.1 a‒h. Den föreslagna hälsodataförordningen förutsätter också att medlemsstaterna utser en eller flera organ med uppgift att bl.a. utfärda tillstånd för sekundär användning av hälsodata enligt vad som närmare föreskrivs i artikel 46. Av artikel 50 i den föreslagna hälsodataförordningen följer att hälsodata endast kan göras tillgängligt för vidareutnyttjande genom en säker behandlingsmiljö. Enligt artikel 50.4 ska kommissionen genom genomförandeakter fastställa krav på informationssäkerhet och interoperabilitet för de säkra behandlingsmiljöerna.
1.6 Lagförslagets förhållande till bestämmelserna om sekretess och tystnadsplikt inom hälso- och sjukvården
I den åländska offentlighetslagen finns bestämmelser om sekretess till skydd för enskildas personliga förhållanden. Det huvudsakliga syftet med sekretessbeläggning är att säkerställa att känsliga uppgifter inte får behandlas, inklusive lämnas ut till utomstående, utan stöd i lag. I 20 § 1 mom. i offentlighetslagen fastslås att det är förbjudet att till en utomstående visa eller på något annat sätt lämna ut en sekretessbelagd myndighetshandling eller en kopia av en sådan handling. I 20 § 3 mom. föreskrivs att det är förbjudet för de personer som avses i 20 § 4 mom. att använda sekretessbelagda uppgifter för att skaffa sig själv eller någon annan fördel eller för att skada någon annan.
I artikel 9 i dataskyddsförordningen föreskrivs att personuppgifter om hälsa får användas för de ändamål som avses i artikel 9.2 i under förutsättning att uppgifterna behandlas av eller under ansvar av yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt. Utöver vad som ovan nämnts om handlingssekretess och förbud mot utnyttjande, följer av 20 § 2 mom. i offentlighetslagen att det även är förbjudet att röja en myndighetshandlings sekretessbelagda innehåll eller en uppgift som erhållits i samband med verksamheten hos myndigheten och för vilken tystnadsplikt föreskrivs genom lag. Förevarande bestämmelser i offentlighetslagen är tillämpliga både på den som är anställd hos en myndighet och den som med stöd av lag eller ett tillstånd som utfärdats med stöd av lag har fått kännedom om en sekretessbelagd uppgift. Den som är anställd hos en myndighet omfattas enligt 20 § 4 mom. 4 punkten i offentlighetslagen av tystnadsplikt även efter det att anställningsförhållandet upphört. Bestämmelser om tjänstemans tystnadsplikt när det gäller uppgifter om annans hälsotillstånd finns även i 17 § i tjänstemannalagen (1987:61) för Åland.
Föreliggande lagförslag omfattar i huvudsak personuppgifter som är känsliga till sin natur och som därför typiskt sett också omfattas av sekretess enligt 21 § 16 punkten i offentlighetslagen (2021:79) för Åland. Den hälso- och sjukvårdssekretess som följer av nämnda lagrum är absolut, vilket innebär att hälsouppgifter under inga förutsättningar får lämnas ut till andra än yrkesverksamma personer och andra anställda inom hälso- och sjukvården som behöver uppgifterna för att kunna utföra sina arbetsuppgifter. Eftersom redan kännedom om att en person är patient inom hälso- och sjukvården kan avslöja en omständighet av känslig natur, är utgångspunkten att all information om patienten omfattas av sekretess. Offentlighetslagens bestämmelser om absolut sekretess innehåller inget skaderekvisit, vilket innebär att sekretess gäller för en uppgift oavsett risk för skada eller men.
I offentlighetslagens 23 § anges under vilka förutsättningar sekretessbelagda uppgifter får lämnas ut. Enligt 23 § 1 mom. 1 punkten kan en myndighet lämna ut uppgifter ur en sekretessbelagd myndighetshandling om det i lag särskilt tagits in uttryckliga bestämmelser om rätten att lämna ut eller att få sekretessbelagda uppgifter. Grunder för utlämnande av sekretessbelagda uppgifter kan således finnas både i offentlighetslagen och i annan landskapslagstiftning. Exempelvis har i 7 § i statistiklagen (1994:42) för Åland intagits sekretessbrytande bestämmelser som ålägger landskapets myndigheter att lämna ut sekretessbelagda uppgifter till ÅSUB.
Av 23 § 3 mom. följer en rätt för myndigheten att lämna ut sekretessbelagda uppgifter för vetenskaplig forskning, under förutsättning att det är uppenbart att de intressen som sekretessplikten är avsedd att skydda inte kränks om uppgifterna lämnas ut. Bestämmelsen ger uttryck för stark sekretess, vilket innebär att sekretesskydd ska gälla i första hand och att uppgifter endast får lämnas ut om det står klart att detta kan ske utan att visst men eller viss skada uppkommer. För att ett utlämnande ska kunna ske, måste forskningen dessutom uppfylla de grundläggande kraven som ställs på vetenskaplig forskning. Eftersom 25 § 1 mom. i offentlighetslagen stipulerar att personuppgifter endast får lämnas ut om mottagaren har rätt att behandla personuppgifterna enligt dataskyddslagstiftningen, måste här även beaktas vad som i dataskyddslagens 11 § föreskrivs om behandling av känsliga personuppgifter för vetenskaplig forskning. Enligt nämnda lagrum får känsliga personuppgifter behandlas för vetenskapliga forskningsändamål om behandlingen är nödvändig och lämpliga skyddsåtgärder vidtagits i enlighet med 13 § i dataskyddslagen (för en närmare beskrivning av lämpliga skyddsåtgärder, se kapitel 1.3.5). Därtill anges att den vetenskapliga forskningen ska bedrivas så att forskningen grundar sig på en forskningsplan, att det finns en person eller grupp som ansvarar för forskningen samt att uppgifter inte röjs för utomstående.
Särskilda bestämmelser som anger under vilka förutsättningar känsliga hälsouppgifter får utbytas mellan yrkesverksamma personer eller andra anställda inom en hälso- och sjukvårdsmyndighet, t.ex. mellan olika avdelningar och kliniker, finns i rikets patientlag. Dessa regler om den s.k. inre sekretessen inom hälso- och sjukvården ska komplettera offentlighetslagens bestämmelser om sekretess som gäller i förhållande till allmänheten och andra myndigheter (yttre sekretess). När 20, 23 och 25 §§ i offentlighetslagen ska tillämpas i ett hälso- och sjukvårdssammanhang, måste därför närmare uppmärksamhet fästas vid begreppet utomstående, såsom det kommer till uttryck i 13 § i rikets patientlag. I nämnda lagrum definieras utomstående som ”personer som inte vid verksamhetsenheten eller på uppdrag av den deltar i vården av patienten eller i andra uppgifter i samband med vården”. En verksamhetsenhet kan utgöras av allt från en hälsovårdscentral till en klinik eller motsvarande. I den åländska kontexten torde det, med tanke på ordalydelsen i 10 § 1 mom. i hälso- och sjukvårdslagen, stå klart att varje klinik inom ÅHS utgör en egen verksamhetsenhet. Tolkat i ljuset av den gällande lagstiftningen är alltså myndigheten ÅHS inte att betrakta som en verksamhetsenhet.
Det väsentliga i sammanhanget är dock, såsom ovan framförts, att uppgifter i kvalitetsregistren inte får användas för individinriktad patientvård. Inte heller kan de ändamål för vilka det föreslås att personuppgifter ska få vidareutnyttjas i kvalitetsregister, dvs. kvalitetssäkring, forskning och statistikföring, anses ha ett sådant ”samband med vården” som avses i 13 § 1 mom. i rikets patientlag. Det torde i sådana fall främst röra sig om administrativa uppgifter som på ett eller annat sätt hänför sig till ordnandet och tillhandahållandet av vården, såsom exempelvis kundfakturering. Landskapsregeringen bedömer att det p.g.a. det ovan beskrivna förhållandet mellan 13 § i rikets patientlag och 10 § i hälso- och sjukvårdslagen behöver intas sekretessbrytande bestämmelser i de föreslagna 15a och 15d §§ som möjliggör vidareutnyttjandet av känsliga personuppgifter i kvalitetsregister. De sekretessbrytande bestämmelserna i offentlighetslagens 23 § ska även vara tillämpliga när uppgifter lämnas mellan olika verksamhetsenheter inom en myndighet som är att betrakta som självständiga i förhållande till varandra.
Vad som ovan anförts om sekretessgränser ska även omfatta sådan gemensam service som ÅHS och den kommunala socialvården är skyldiga att erbjuda enligt 35, 37, 38a, 40 och 41 §§ i hälso- och sjukvårdslagen. Eftersom kvalitetsregister inte förs för ändamålet vård av patient (eller klient), bör den som har rätt att behandla uppgifter om en enskild persons hälsa i ett kvalitetsregister betraktas som utomstående enligt den innebörd som begreppet ges i 13 § 1 mom. i rikets patientlag. Därmed skulle även rätten att i kvalitetsregister behandla sådana klientuppgifter som kommit ÅHS tillhanda på det sätt som föreskrivs i 7 § i landskapslagen (2020:26) om klienthandlingar inom socialvården förutsätta antingen klientens samtycke eller en uttrycklig bestämmelse i lag.[11] Landskapsregeringen har dock, av skäl som närmare utvecklas i kapitel 1.7.1 nedan, bedömt att det krävs ytterligare utrednings- och lagstiftningsarbete innan det kan bli aktuellt att vidareutnyttja klientuppgifter i ÅHS kvalitetsregister.
1.7 Landskapsregeringens överväganden och förslag
1.7.1 Avgränsning av förslagets tillämpningsområde
Landskapsregeringen kan konstatera att det numera är tämligen vanligt att en patient är föremål för vård och behandling i en vårdprocess som involverar flera vårdgivare. Exempel på vårdprocesser som kräver ett multiprofessionellt och sektoröverskridande samarbete mellan socialvården och hälso- och sjukvården är hemvård, boendeservice, institutionsvård och förebyggande av psykisk ohälsa.[12] Det är också inom dessa vårdområden som klienternas och patienternas behov av samtidiga och väl samordnade tjänster är särskilt stort. Landskapsregeringen noterar att det i de samverkansavtal som ingåtts mellan Kommunernas socialtjänst k.f. (KST) och ÅHS för att reglera formerna för vårdgivarnas samarbete inte närmare specificeras med vilka metoder de samordnade tjänsternas kvalitet ska följas upp och utvärderas.[13] Enligt landskapsregeringens bedömning skulle ett kvalitetsregister rent tekniskt kunna formas till en myndighetsgemensam databas, vars informationsinnehåll kunde användas av de åländska vårdgivarna för att följa upp och utvärdera de gemensamma servicekedjornas och servicehelheternas effektivitet och ändamålsenlighet. Kvalitetsregistren skulle således också kunna användas som ett verktyg för att bedöma om ÅHS och den kommunala socialvården faktiskt bildar en ”funktionell helhet” för klienten, såsom förutsätts i bl.a. 19a § i hälso- och sjukvårdslagen.
Å andra sidan är det också viktigt att kunna bibehålla allmänhetens förtroende för vårdsektorn genom att säkerställa att informationen hanteras korrekt och utan risk för att obehöriga kan få åtkomst till känsliga personuppgifter. Enligt landskapsregeringens mening måste det grundläggande rättsliga ramverket för sammanhållen journalföring, dvs. regler som möjliggör elektronisk överföring av hälsodata mellan vårdgivare via en gemensam IT-infrastruktur (Kanta-tjänsten), och alla de organisatoriska anpassningar som detta innebär vara på plats innan det kan bli aktuellt med att utvidga kvalitetsregistrens upptagningsområde till att även omfatta socialvården och den privata hälso- och sjukvården. Vidare anser landskapsregeringen att det måste finnas en tydlig politisk vilja och en övergripande samsyn kring en reform av denna dignitet. Tanken om att utforma kvalitetsregistren som en gemensam informationsresurs eller dokumentationsyta för ÅHS, socialvården och den privata hälso- och sjukvården har ännu inte varit föremål för någon grundlig diskussion inom politiken. Vad den privata hälso- och sjukvården anbelangar har den ursprungliga avsikten varit att införa bestämmelser om kvalitetsregister i den nya landskapslagen om privat hälso- och sjukvård.[14] Landskapsregeringen kan dessutom konstatera att kvalitetsregister i riket (och även i Sverige) huvudsakligen använts för att följa upp och utvärdera den specialiserade sjukvårdens, och i viss utsträckning även primärvårdens, kvalitet.[15] Kvalitetsarbetet inom socialvården bedrivs däremot med hjälp av särskilda uppföljningsregister.
På grund av ovan anförda skäl finner landskapsregeringen det motiverat att kvalitetsregistrens datainnehåll än så länge begränsas till att enbart omfatta uppgifter om hälsa som samlats in av ÅHS i samband med tillhandahållandet av offentliga hälso- och sjukvårdstjänster.
1.7.2 Tekniska och organisatoriska säkerhetsåtgärder
För att det ska vara möjligt att behandla känsliga personuppgifter om hälsa för forskningsändamål och statistikföring med stöd av artikel 9.2 j i dataskyddsförordningen, måste det i den åländska lagstiftningen finnas bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. De registrerades integritet ska dessutom skyddas genom ändamålsenliga och transparenta rutiner för informationssäkerhet och utlämnande av uppgifter. När det gäller integritetskänsliga uppgifter, dit bl.a. personuppgifter om hälsa räknas, ställs allt högre krav på att datadelningen sker under kontrollerade och säkra former. Enligt principen om kontrollerad datadelning, som bland annat kommer till uttryck i dataförvaltningsakten, ska den personuppgiftsansvariga ha en hög kontroll över hur, när, för vilka ändamål och i vilken omfattning uppgifter tillgängliggörs för vidareutnyttjande.
Ett sätt att efterleva principen om inbyggt dataskydd och uppfylla kravet på lämpliga organisatoriska åtgärder är att upprätta en intern kontrollorganisation eller integritetsskyddsfunktion inom verksamheten. Genom att skapa en registerförvaltning med ansvar för den strategiska planeringen och den operativa förvaltningen av kvalitetsregister införs ett risk- och behovsbaserat arbetssätt inom ÅHS. De risker som alltid är förknippade med behandling av känsliga personuppgifter måste kunna identifieras, analyseras och hanteras under alla faser av ett kvalitetsregisters livscykel, såväl under utvecklingsarbetet som när registret tagits i bruk. Detta följer tydligt av bl.a. artiklarna 20 och 21 i NIS2-direktivet. Genom den föreslagna registerorganisationen säkerställs också att de tekniska säkerhetsåtgärderna som ÅHS ska vidta (bl.a. kontroll av åtkomst till uppgifter och insamling av loggdata) faktiskt blir genomförda och att åtgärderna är tillräckliga i förhållande till de risker som personuppgiftsbehandlingen medför.
Möjligheten att vidareutnyttja känsliga personuppgifter som samlats in till ett kvalitetsregister begränsas bl.a. genom att en registerstyrgrupp, i samarbete med ledningen för berörda kliniker/enheter, specificerar vilka personuppgifter som får samlas in till ett kvalitetsregister och vem som p.g.a. sina arbetsuppgifter behöver ha tillgång till uppgifter i kvalitetsregister. Tilldelning av behörighet för åtkomst till uppgifter i ett kvalitetsregister ska ske på grundval av de villkor som registerstyrgruppen fastställer. Uppgifternas användning ska däremot följas upp och övervakas med hjälp av användarregister och logguppgifter. En förutsättning för att kvalitetsregister ska kunna föras elektroniskt är att ÅHS i egenskap av vårdgivare och personuppgiftsansvarig genomför systematiska och återkommande kontroller av om obehörig åtkomst till uppgifter om patienter förekommer. Eftersom det rör sig om en ny samling av särskilt känsliga personuppgifter, anser landskapsregeringen det vara väl motiverat att reglera tillgången till dessa uppgifter på ett så heltäckande sätt som möjligt. De föreslagna skyddsåtgärderna i form av pseudonymisering, kryptering, anonymisering, gallring, insamling av logguppgifter och åtkomstbegränsning syftar till att minska de risker som behandlingen av personuppgifter i kvalitetsregister medför för den registrerade. Skyddsåtgärderna ska vara en integrerad del av verksamheten och registerförvaltningen; de ska tillämpas såväl internt när personal inom ÅHS tilldelas behörighet för åtkomst till uppgifter i kvalitetsregister som vid utlämnande till tredje part för forsknings- och statistikändamål. Avsikten är att det i en landskapslag om informationshantering inom offentlig förvaltning, som för närvarande är under beredning, införs bestämmelser som närmare anger hur utlämnandet av uppgifter via tekniska gränssnitt och elektroniska förbindelser ska ske. Därmed säkerställs att informationssystem och andra medium som används för behandling av känsliga personuppgifter är tillbörligt skyddade även mot extern obehörig åtkomst.
De föreslagna organisatoriska och tekniska säkerhetsåtgärderna är enligt landskapsregeringens mening nödvändiga för att ÅHS ska kunna uppfylla de säkerhetskrav som NIS2-direktivet, dataskyddsförordningen och därtill anslutna landskapslagar ställer. De ovannämnda integritetsstärkande åtgärderna behövs också för att kompensera för det uteblivna sekretesskyddet som de föreslagna sekretessbrytande reglerna i 15a och 15d §§ medför.
1.7.3 Kan sekundär användning av känsliga personuppgifter i kvalitets-register anses vara proportionerlig i förhållande till det intrång som behandlingen innebär för den enskildes integritet?
EU-domstolen har i mål C-708/18[16] slagit fast att det rör sig om en allvarlig kränkning av den registrerades rättigheter enligt artiklarna 7 och 8 i EU:s stadga om de grundläggande rättigheterna (2012/C 362/02), när personuppgifter som finns ”i källor som inte är allmänt tillgängliga” blir kända för den personuppgiftsansvariga och för den eller de tredje män till vilka uppgifterna lämnas ut. Domstolen konstaterar att en sådan kränkning ska beaktas och vägas mot det berättigade intresse som den personuppgiftsansvarige eller de tredje män till vilka uppgifter lämnas ut avser att skydda. Vid sådan bedömning ska även vägas in den registrerades rimliga förväntningar på att dennes personuppgifter inte kommer att behandlas. Därtill ska särskilt beaktas hur många personer som har tillgång till personuppgifterna och formerna för åtkomst till dessa uppgifter.
I mål C-140/20[17] förtydligar EU-domstolen vilka proportionalitetskrav som måste vara uppfyllda för att behandlingen av känsliga personuppgifter kan anses ske på ett säkert sätt. Domstolen understryker vikten av att det i lagstiftningen intas klara och precisa bestämmelser som reglerar räckvidden av den aktuella personuppgiftsbehandlingen och att det ställs minimikrav på säkerhet, så att den enskilde vars personuppgifter behandlas har tillräckliga garantier för att uppgifterna omgärdas av ett starkt skydd mot obehörig åtkomst och andra risker. Vidare anför domstolen att intrånget i den enskildes personliga integritet måste begränsas till vad som är absolut nödvändigt. Detta säkerställs genom att i lagstiftning ange under vilka omständigheter och på vilka villkor behandling av känsliga personuppgifter får ske. Därut-över betonas vikten av att den personuppgiftsansvarige utför en konsekvensbedömning innan känsliga personuppgifter ska användas för andra ändamål än de för vilka de ursprungligen samlades in.
Såsom konstateras ovan under kapitel 1.3.4, anges det uttryckligen i dataskyddsförordningen att behandling av personuppgifter för vetenskapliga och statistiska ändamål alltid är förenlig med det ursprungliga behandlingsändamålet. Landskapsregeringen anser att det till ÅHS egentliga kärnverksamhet, dvs. att ordna hälso- och sjukvård för dem som är i behov av vård, också hör ett ansvar att i olika avseende utveckla, utvärdera och säkra verksamhetens kvalitet. För att kunna fullfölja sina skyldigheter enligt 15 § i hälso- och sjukvårdslagen, är det nödvändigt för ÅHS att behandla samma personuppgifter som tidigare samlats in i samband med patientvården. Enligt landskapsregeringens mening kan det således anses finnas berättigade skäl för att behandla känsliga personuppgifter i kvalitetsregister.
Enligt landskapsregeringens uppfattning kan en patient typiskt sett förvänta sig att dennes personuppgifter också kan komma att användas för att säkra vårdens kvalitet, framställa statistik och för att tillgodose forskningens behov av information. Landskapsregeringen grundar denna ståndpunkt dels på det som anförts i föregående stycke, nämligen att det kan anses finnas ett tämligen tydligt och logiskt samband mellan det primära ändamålet för vilket personuppgifterna ursprungligen samlas in och de sekundära användningsändamål som förslaget avser, dels på den omständigheten att de närmare villkoren för ÅHS sekundära användning av hälsouppgifter uttryckligen framgår av hälso- och sjukvårdslagen (genom de föreslagna nya 15a‒e §§). Vidare bör erinras om att den enskilde alltid har rätt att motsätta sig personuppgiftsbehandlingen, till exempel i samband med att denne informeras om syftet med den sekundära användningen av hälsouppgifter.
Antalet personer som har tillgång till hälsouppgifter i kvalitetsregister begränsas genom de tekniska och administrativa åtgärder som anges i kapitel 1.7.2. Den inre sekretessen ska skyddas genom behörighetstilldelning och återkommande åtkomstkontroller, inklusive logguppföljning. Utlämnande av uppgifter ur kvalitetsregister för forskningsändamål får endast ske under förutsättning att forskningshuvudmannen uppfyller de särskilda villkor som anges i den föreslagna 15d § 3 mom.
I riket har lagstiftaren bedömt det vara nödvändigt att behandla personuppgifter i kvalitetsregister i syfte att säkerställa folkhälsa och social trygghet i enlighet med artikel 23 i dataskyddsförordningen. Eftersom de åländska kvalitetsregistren, sett till både syfte och funktion, motsvarar kvalitetsregistren i riket, torde det också rimligen kunna förutsättas att den sekundära användningen av hälsouppgifter i de åländska kvalitetsregistren kan ske med stöd av samma rättsliga grunder, under förutsättning att den åländska regleringen uppfyller kraven i artikel 23.2 i dataskyddsförordningen (se kapitel 1.3.4).[18] Med hänvisning till vad som anförts i det föregående anser landskapsregeringen att bestämmelserna i de föreslagna 15a‒e §§ uppfyller kraven i nämnda artikel 23.2 i dataskyddsförordningen. Lagstiftningsmässigt tryggas proportionaliteten i behandlingen genom att i hälso- och sjukvårdslagen inta exakta och noga avgränsade bestämmelser om vilka uppgifter som får behandlas i kvalitetsregister och de ändamål för vilka behandling får ske, hur personalens åtkomst till uppgifter ska begränsas och administreras samt när uppgifterna ska förstöras. Därtill föreslås att det inom ÅHS bildas en registerförvaltning för styrning och kontroll av kvalitetsregister. Registerförvaltningen ska bestå av en registerstyrgrupp och registerhållare för varje register som upprättas. Registerförvaltningens huvudsakliga uppdrag ska vara att genom strategiskt och operativt arbete säkerställa att kvalitetsregistren uppfyller de krav på dataskydd och informationssäkerhet som EU-lagstiftningen och landskapslagstiftningen ställer.
Det intrång i patientens integritet som lagförslaget obestridligen innebär vägs enligt landskapsregeringens mening upp av de specifika och detaljerade bestämmelserna avseende personuppgiftsbehandlingens ändamål, behandlingens omfattning och de tekniska och organisatoriska skyddsåtgärder som ska vidtas för att förhindra obehörig åtkomst till personuppgifter. Mot den bakgrunden bedömer landskapsregeringen att lagförslaget uppfyller de kriterier som ställs på sekundär användning av känsliga personuppgifter. De föreslagna nya 15a‒e §§ kan således också anses vara proportionerliga ur ett integritetsperspektiv.
1.7.4 Landskapsregeringen förslag
Landskapsregeringen föreslår att det till landskapslagen om hälso- och sjukvård fogas nya 15a‒e §§, som gör det möjligt för ÅHS att under lagenliga, ordnade och kontrollerade former upprätta och fortlöpande föra kvalitetsregister i syfte att följa upp, utvärdera och säkra verksamhetens kvalitet, framställa statistik och tillgodose den vetenskapliga forskningens behov av information. Med hänvisning till vad som anförts ovan under kapitel 1.4 föreslås de nya paragraferna träda i kraft vid samma tidpunkt som en ny landskapslag om cybersäkerhet och motståndskraft. I nämnda landskapslag, som för närvarande är under beredning, föreslås bestämmelser om den behöriga myndighet som i enlighet med artikel 8.1 och kapitel VII i NIS2-direktivet ska utöva tillsyn över hälso- och sjukvårdens informationssystem intas.
1.8 Förslagets konsekvenser
1.8.1 Ekonomiska konsekvenser
Av 23 § 2 mom. i landskapslagen (2012:69) om landskapets finansförvaltning framgår att landskapets tillgångar ska användas på ett sätt som är till nytta för det åländska samhället. Att kvalitetsregistren har ett stort potentiellt värde för det åländska folkhälsoarbetet, framgår av beskrivningen i kapitel 1.2. Enligt artikel 5.1 i dataförvaltningsakten ska medlemsstaterna säkerställa att myndigheterna har de resurser som krävs för att kunna säkerställa att de vidareutnyttjade uppgifternas skyddade karaktär bevaras. De tekniska åtgärder som ÅHS måste vidta för att kunna säkerställa ett adekvat skydd för de registrerades grundläggande rättigheter och intressen kan komma att kräva investeringar. Eftersom kvalitetsregistrens informationsinnehåll kan läggas till grund för detaljerade analyser om t.ex. olika vårdformers kostnadseffektivitet, torde registren på sikt också kunna bidra till inbesparingar inom hälso- och sjukvården.
Enligt den föreslagna 15b § 2 mom. 2 punkten ska registerstyrgruppen i form av en kostnads-nyttoanalys beräkna, eller i vart fall uppskatta, den totala kostnaden för att upprätta och förvalta ett kvalitetsregister. Den totala kostnaden ska sedan bedömas i förhållande till kvalitetsregistrets förväntade nytta. Det är slutligen lagtinget som med budgeten och budgetprocessen som styrmedel avgör om ett kvalitetsregister ska upprättas.
1.8.2 Administrativa konsekvenser
Den som behöver få tillgång till uppgifter som samlats in till ett kvalitetsregister måste begära ut uppgifterna ur registret, varvid myndigheten ska pröva om uppgifterna kan lämnas ut. Detta förfarande kan medföra en viss administrativ belastning för den eller de registerhållare som avses i den föreslagna 15b § 6 mom., i synnerhet om samma person utsetts som registerhållare för flera kvalitetsregister och det finns ett stort intresse av att vidareutnyttja registrens informationsinnehåll exempelvis för forskningsändamål eller statistikframställning. Landskapsregeringen bedömer att den föreslagna registerförvaltningsmodellen med en registerstyrgrupp och registerhållare för varje register som upprättas kan implementeras i verksamheten inom ramen för ÅHS befintliga personalresurser. Landskapsregeringen kan konstatera att den specialsakkunskap som medlemmarna i registerstyrgruppen förutsätts ha enligt den föreslagna 15b § 1 mom. redan finns inom ÅHS.
Den föreslagna bestämmelsen om biståndsskyldighet i 15b § 7 mom. kan innebära ett visst merarbete för personalen vid landskapsregeringens allmänna förvaltning, och då i synnerhet dess digitaliseringsenhet.
1.8.3 Konsekvenser för den enskilde patientens personliga integritet
Såsom redan anförts ovan under kapitel 1.7.3 anses behandling av känsliga personuppgifter alltid innebära en allvarlig kränkning av den registrerades personliga integritet. Ett dataintrång som inträffat p.g.a. hälso- och sjukvårdshuvudmannens underlåtenhet att vidta tillräckliga tekniska eller organisatoriska skyddsåtgärder kan leda till långtgående negativa konsekvenser för de registrerade. Känsliga personuppgifter som rör en enskilds hälsa kan i orätta händer komma att användas för t.ex. identitetsstöld, utpressning och andra kriminella eller bedrägliga ändamål. Utöver händelser av ovannämnda slag betraktas som personuppgiftsincident också när personuppgifter oavsiktligt eller olagligt förstörs, förloras, ändras eller lämnas ut utan stöd i författning. Det ankommer i sista hand på den personuppgiftsansvarige att med hjälp av lämpliga skyddsåtgärder både minska risken för att personuppgiftsincidenter inträffar och, ifall en sådan incident ändå äger rum, begränsa de skadliga konsekvenserna därav. Att vidta åtgärder för att minska riskerna för intrång i den enskildes integritet blir ännu mer angeläget när patientens samtycke för personuppgiftsbehandlingen inte inhämtas. Då accentueras vikten av att noggrant överväga vem som ska få åtkomst till uppgifter och för vilka syften.
Landskapsregeringen anser att de i 15a‒e §§ föreslagna villkoren för sekundär användning av personuppgifter i kvalitetsregister utgör sådana adekvata och effektiva skyddsåtgärder som krävs för att säkerställa personuppgifternas konfidentialitet, tillgänglighet och integritet. Eftersom förslaget innebär att känsliga hälsouppgifter kommer att förvaras på flera ställen inom verksamheten, framträder också vikten av att det finns enhetliga rutiner och förfarandesätt för att t.ex. förstöra de personuppgifter som inte längre behövs för de ändamål för vilka de samlades in för i kvalitetsregistren.
2. Preciserade regler om vårdgarantin för icke-brådskande specialsjukvård
2.1 Gällande bestämmelser om vårdgarantin inom den specialiserade sjukvården
Bestämmelser om vårdgarantin inom primärvården och den specialiserade sjukvården finns i 20 § i hälso- och sjukvårdslagen. Av 20 § 2 mom. i hälso- och sjukvårdslagen följer att vård som konstaterats vara medicinskt nödvändig ska ordnas senast inom tre månader från att behovet konstaterades. Den som är akut sjuk ska dock omedelbart få den vård som hens tillstånd förutsätter. När det gäller icke-brådskande vård inom den specialiserade sjukvården, krävs en på läkarundersökning grundad remiss för behandling. Bedömningen av vårdbehovet ska göras senast inom tre veckor från den tidpunkt då remissen anlände till enheten för specialsjukvård.
ÅHS verksamhetsberättelse ska innehålla en redogörelse för verksamhetens arbete med vårdgarantin och i vilken utsträckning det funnits behov av att köpa in tjänster från andra vårdproducenter p.g.a. svårigheter att följa de angivna tidsfristerna för vårdgarantin.
2.2 Behov av precisering i bestämmelserna om vårdgarantin inom den specialiserade sjukvården
Riksdagens justitieombudsman (JO) utförde år 2014 en inspektion av verksamheten vid Ålands landskapsregerings hälso- och sjukvårdsbyrå och ÅHS, varvid särskild uppmärksamhet fästes vid vårdgarantins uppfyllelse. Efter att ha berett hälso- och sjukvårdsbyrån och ÅHS tillfälle att inkomma med en utredning om hur vårdgarantin efterlevs inom den specialiserade sjukvården på Åland, beslöt den biträdande justitieombudsmannen (BJO) i februari 2019 att utreda frågan på eget initiativ. I sin utredning granskade BJO på vilket sätt de tidsfrister som gäller för vårdgarantin inom den specialiserade sjukvården följs upp och publiceras för allmänheten och på vilket sätt tillsynsmyndigheten (i detta fall Ålands miljö- och hälsoskyddsmyndighet, ÅMHM) följer upp efterlevnaden av garantin. BJO konstaterade att hälso- och sjukvårdslagen innehåller två tidsfrister för icke-brådskande vård inom den specialiserade sjukvården: tre veckor för bedömning av inkommen remiss (inledande av bedömningen av vårdbehovet) och sex månader för ordnande och inledande av vården från det att vårdbehovet konstaterats. Såsom vårdgarantin är utformad i den åländska hälso- och sjukvårdslagen, innehåller den ingen tidsfrist för bedömningen av vårdbehovet. Enligt BJO påverkar detta också ÅHS möjligheter att kunna fullfölja sina förpliktelser enligt 21 § i hälso- och sjukvårdslagen, som ålägger myndigheten att med högst sex månaders mellanrum offentliggöra uppgifter om de väntetider som avses i 20 § i hälso- och sjukvårdslagen.[19]
Vidare anför BJO att det oftast krävs undersökningar, besök hos specialist, laboratorieundersökningar och bilddiagnostik för att bedöma vårdbehovet. Enligt BJO utgör den tid som behövs för dessa specialistbesök och undersökningar en gråzon som inte fångas upp av bestämmelserna i den åländska hälso- och sjukvårdslagen. Bestämmelserna om vårdgarantin i hälso- och sjukvårdslagens 20 § förefaller ha utformats för att motsvara de numera upphävda bestämmelserna om vårdgarantin i lagen om specialiserad sjukvård (FFS 1062/1989). I 52 § i rikets hälso- och sjukvårdslag (FFS 1326/2010), som trädde i kraft den 1 maj 2011, görs en tydlig skillnad mellan den tid inom vilken en remiss som inkommit till sjukhuset ska bedömas (tre veckor), den tid inom vilket bedömningen av vårdbehovet ska ske i sådana fall där särskilda undersökningar behövs (tre månader) och den tid inom vilken vården därefter ska ordnas och inledas (sex månader).
Eftersom bestämmelserna om vårdgarantin i hälso- och sjukvårdslagens 20 § 3 mom. inte tar i beaktande den tid som behövs för att besöka en specialist eller göra olika undersökningar, har den specialiserade sjukvården i nuläget endast tre veckor på sig (från det att remissen anlände) att bedöma vårdbehovet. En förutsättning för att den specialiserade sjukvården inom ÅHS ska ha tillräckliga tidsmässiga resurser för att utreda vårdbehovet, är att den nuvarande tre veckors tidsfristen för att hantera remissen kan utökas med en tre månaders tidsfrist, i sådana fall där bedömningen av vårdbehovet förutsätter särskilda specialistutlåtanden eller undersökningar.
2.3 Landskapsregeringens förslag
Med hänvisning till det ovan anförda föreslår landskapsregeringen att bestämmelserna i hälso- och sjukvårdslagens 20 § 3 mom. om vårdgarantin för icke-brådskande vård inom den specialiserade sjukvården ändras i syfte att precisera och klarlägga skillnaden mellan den tid inom vilken en remiss som inkommit till ÅHS ska bedömas, den tid inom vilken bedömningen av vårdbehovet ska ske och den tid inom vilken vården därefter ska ordnas och inledas.
2.4 Förslagets konsekvenser
Förslaget att införa en tidsfrist om tre månader för bedömning av vårdbehovet i sådana fall där bedömningen förutsätter särskilda undersökningar eller ett specialistutlåtande innebär att ÅHS får möjlighet att hantera remisser inom större tidsramar. Därmed skapas också bättre förutsättningar för den specialiserade sjukvården inom ÅHS att göra fullständiga bedömningar av vårdbehovet. Eftersom förslaget ger ökad tydlighet och förutsägbarhet i ÅHS remisshantering, kan den också förväntas stärka rättssäkerheten för den enskilde patienten i dennes kontakt med vården.
Det bör säkerställas att ÅHS har de ekonomiska, administrativa och personella resurser som behövs för att kunna erbjuda vård inom de tidsramar som anges i den föreslagna 20 § 3 mom. Om ÅHS inte klarar av att erbjuda vård inom de gränser som vårdgarantin stipulerar, måste en betalningsförbindelse utfärdas så att vården kan ges vid någon annan vårdproducent på ÅHS bekostnad.
3. Lagstiftningsbehörighet
Inledningsvis kan konstateras att hälso- och sjukvården är ett område som enligt de allmänna grundsatserna för den rättsliga och legislativa kompetensfördelningen mellan EU och dess medlemsstater anses falla under nationell behörighet. Detta innebär att varje medlemsstat ansvarar för utformandet av sin egen hälso- och sjukvårdspolitik genom antagandet av de regler som krävs för bl.a. förvaltning, organisation, resursfördelning, kvalitets- och säkerhetsarbete och tillhandahållande av hälso- och sjukvård.[20]
Lagförslaget om kvalitetsregister innehåller bestämmelser om behandling av personuppgifter. Dataskydd är ett rättsområde som inte särskilt omnämns i förteckningarna över landskapets och rikets lagstiftningsbehörighet i självstyrelselagens 18 och 27 §§. Enligt väletablerad praxis från Högsta domstolen (HD) och Ålandsdelegationen (ÅD) har landskapet behörighet att lagstifta om behandling av personuppgifter inom de rättsområden som annars också faller under landskapets lagstiftningsbehörighet enligt självstyrelselagen.[21] Hälso- och sjukvård hör enligt 18 § 12 punkten i självstyrelselagen till landskapets lagstiftningskompetens, med de undantag som anges nedan.
Enligt 27 § 24 punkten i självstyrelselagen är administrativa ingrepp i den personliga friheten att hänföra till rikets behörighet. Av motiveringen till nämnda lagrum framgår att ”ingrepp i den personliga friheten regleras i rikslagstiftningen på samtliga rättsområden inklusive gällande bestämmelser om sinnesjuklagstiftningen, såvitt angår den del av lagstiftningen som innefattar trygghet i den personliga okränkbarheten och oantastligheten […]”[22]. Betraktat i ljuset av den nuvarande terminologin på området (bl.a. har begreppet mentalvårdsarbete ersatts med begreppet förebyggande av psykisk ohälsa) bedömer landskapsregeringen att det inte är möjligt att inta bestämmelser i hälso- och sjukvårdslagen som tillåter behandling av uppgifter om psykiatriska tvångsingripanden i kvalitetsregister. En annan fråga som dryftats i samband med beredningen av föreliggande lagförslag är huruvida det faller under landskapets lagstiftningsbehörighet att reglera om behandlingen av vaccinationsuppgifter i kvalitetsregister. Enligt landskapsregeringens mening framgår det tämligen tydligt av beskrivningen i bl.a. 14 § i lagen (FFS 1227/2016) om smittsamma sjukdomar att vaccinering är nära anknutet till smittsamma sjukdomar, som hör till rikets lagstiftningsbehörighet enligt 27 § 29 punkten i självstyrelselagen. Samtidigt bör det noteras att uppföljningen av både smittsamma sjukdomar och vaccinationer sker med hjälp av riksomfattande register (eller s.k. nationella register), inte genom kvalitetsregister. Dessa riksomfattande register upprätthålls av Institutet för hälsa och välfärd.[23] Med hänvisning till det ovan anförda bedömer landskapsregeringen att det i nuläget inte är möjligt för ÅHS att med stöd av 30 § 9 punkten i självstyrelselagen behandla uppgifter om vaccination i ett kvalitetsregister.
Vidare framgår av 27 § 29 punkten i självstyrelselagen att även kastrering och sterilisering, avbrytande av havandeskap, konstbefruktning och rättsmedicinska undersökningar utgör rikets behörighet.
Landskapsregeringen har i tidigare sammanhang bedömt att frågor som anknyter till människans genom och genteknik är att hänföra till rikets lagstiftningsbehörighet på grundval av 27 § 42 punkten i självstyrelselagen. Denna slutsats verkar huvudsakligen ha grundats på Högsta domstolens utlåtande nr 1046 om ett förslag till en landskapslag om genteknik och genetiskt modifierade organismer, givet den 21 mars 1996.[24]
Att informationssäkerhet är nära anknutet till dataskydd, framgår tydligt av bl.a. artiklarna 32, 35 och 89 i dataskyddsförordningen. Vad som i tidigare sammanhang anförts om behörighetsfördelningen mellan Åland och riket i dataskyddsfrågor torde rimligtvis även kunna tillämpas analogt i fråga om informationssäkerhet. Enligt detta synsätt skulle informationssäkerhet utgöra en landskapsangelägenhet när frågan har en direkt koppling till ett rättsområde som faller under landskapets behörighet.
Framställning av sådan statistik som belyser de åländska förhållandena utgör landskapets behörighet enligt 18 § 24 punkten i självstyrelselagen.
Även vetenskaplig forskning har ansetts höra till landskapets behörighet när det utgör en integrerad del av sådan verksamhet som omfattas av lagtingets lagstiftningsbehörighet.[25]
4. Beredningsarbetet
Föreliggande lagförslag har utarbetats som tjänstemannauppdrag vid lagberedningen i samarbete med landskapsregeringens hälso- och sjukvårdsbyrå och landskapsregeringens dataskyddsombud. Lagförslaget har varit ute på remiss under tiden 26.3‒8.5.2024, varvid utlåtanden begärts av följande instanser: ÅHS, Ålands statistik- och utredningsbyrå, Ålands ombudsmannamyndighet, Kommunernas socialtjänst k.f, Ålands miljö- och hälsoskyddsmyndighet, Datainspektionen på Åland, Rädda Barnen på Åland r.f. samt landskapsregeringens enhet för rättsliga och internationella frågor, digitaliseringsenheten och landskapsarkivet. Av dessa har Ålands statistik- och utredningsbyrå, Ålands ombudsmannamyndighet, Rädda Barnen på Åland r.f., landskapsregeringens enhet för rättsliga och internationella frågor samt landskapsarkivet inkommit med yttranden inom föreskriven tid. ÅHS har meddelat att myndigheten inte har något att anmärka mot lagförslaget.
Landskapsregeringen har med anledning av de framförda synpunkterna gjort vissa justeringar i de föreslagna 15b § 2 mom. 8 punkten samt 15e § 1 och 2 mom.
Detaljmotivering
1. Landskapslag om ändring av landskapslagen om hälso- och sjukvård
15a § Kvalitetsregister. Paragrafen innehåller specifika bestämmelser om de allmänna villkor som ska gälla för ÅHS behandling av känsliga personuppgifter om hälsa i kvalitetsregister. Av bestämmelserna framgår vilka uppgifter som får behandlas, för vilka ändamål dessa uppgifter får behandlas och under vilka förutsättningar uppgifter kan lämnas ut ur ett kvalitetsregister. Eftersom paragrafen reglerar sekundär användning av hälsouppgifter, har bestämmelserna utformats på sådant sätt att de föreskriver en möjlighet, inte en skyldighet, för ÅHS att använda uppgifterna även för andra syften än det primära ändamålet för vilket de ursprungligen samlats in, dvs. för att erbjuda vård och behandling till patienter. Ett viktigt syfte med paragrafen är att tillsammans med den föreslagna 15d § möjliggöra tillgängliggörandet av känsliga personuppgifter som omfattas av sekretess över de sekretessgränser som finns såväl inom ÅHS (mellan dess olika verksamhetsenheter) som mellan myndigheter och andra aktörer. Utöver vad som angetts i kapitel 1.6 ovan, behövs de sekretessbrytande bestämmelserna i paragrafens 4 mom. och i 15d § 2 och 3 mom. också för att underlätta rättstillämpningen och undvika rättslig osäkerhet, både när det gäller att vidareutnyttja uppgifter internt inom ÅHS och när uppgifter ska lämnas ut till tredje parter.
I paragrafens 1 mom. anges de särskilda ändamål för vilka personuppgifter får samlas in och fortsättningsvis behandlas i kvalitetsregister. Behandling av personuppgifter i kvalitetsregister får ske för ett eller flera av de ändamål som avses i 1‒3 punkterna. I 1 punkten anges att det ska vara möjligt för ÅHS att vidareutnyttja hälsouppgifter i kvalitetsregister för att systematiskt följa upp, utvärdera och säkra hälso- och sjukvårdens kvalitet. Bestämmelsen föranleds av 15 § i hälso- och sjukvårdslagen som förutsätter att ÅHS ska bedriva ett systematiskt och kontinuerligt kvalitetsarbete. Rent konkret kan kvalitetssäkringsarbetet enligt 1 mom. 1 punkten t.ex. innebära uppföljning och utvärdering av behandlingen av en viss sjukdom eller en viss behandlingsmetod. Det bör betonas att intern verksamhetsuppföljning-, utvärdering- och säkring inte kan likställas med forskning, även om vetenskaplig metod används i sådant arbete. Begreppen uppföljning och utvärdering beskriver två olika typer av förfaranden eller angreppssätt. Något förenklat kan sägas att uppföljning görs löpande och rutinmässigt för att beskriva och följa en utveckling, medan tyngdpunkten vid utvärdering läggs på att analysera, bedöma eller värdera en utveckling. I praktiken bygger en utvärdering oftast på den uppföljningsinformation som tidigare samlats in. Om det t.ex. vid regelbunden uppföljning upptäckts avvikelser, är nästa naturliga steg att utvärdera dessa avvikelser genom närmare analys.
Med ändamålet statistikföring i 1 mom. 2 punkten avses sådan behandling av personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat. Enligt skäl 162 i ingressen till dataskyddsförordningen innebär behandling av personuppgifter för statistiska ändamål att resultatet av behandlingen inte består av personuppgifter, utan av aggregerade personuppgifter. Hälsouppgifter som samlas in till ett kvalitetsregister kan användas både för ÅHS interna arbete med kvalitetsutveckling och kvalitetssäkring och lämnas ut till ÅSUB för framställning av folkhälsorelaterad statistik enligt vad som föreskrivs i 11 mom.
Forskning som bedrivs som ett led i vården och behandlingen av en patient anses ingå i en myndighets hälso- och sjukvårdsverksamhet enligt 13 § i rikets patientlag. I 1 mom. 3 punkten avses med vetenskaplig forskning sådan forskning där dokumentation enbart sker i forskningssyfte och där forskningen inte har någon direkt betydelse för vården av en enskild patient. Det kan exempelvis handla om kliniskt eller folkhälsovetenskapligt forskningsarbete vars resultat och slutsatser kan komma det åländska samhället till gagn. Enligt skäl 159 i ingressen till dataskyddsförordningen kan begreppet vetenskaplig forskning bl.a. avse sådan forskning som utförs av ett allmänt intresse inom folkhälsoområdet. Att sådan forskning ska utgöra en självständig verksamhetsgren inom ÅHS, och således vara helt åtskild från bl.a. den typ av forskning som bedrivs som ett led i vården av en patient (se 13 § i rikets patientlag), innebär att det uppstår en ny sekretessgräns inom myndigheten (mellan vårdverksamheten och den vetenskapliga forskningen) som också måste tas i beaktande vid den interna tilldelningen av åtkomstbehörigheter till kvalitetsregister (se förslag till 15c § 1 och 2 mom.). Av det ovan sagda följer också att den information som genereras av vetenskapliga forskningsprojekt inte ska journalföras, utan dokumenteras enligt andra kriterier. Om forskningsresultatet har betydelse för vården, kan ÅHS och forskningshuvudmannen sinsemellan komma överens om hur informationen ska överlämnas till ÅHS.
Att en yrkesverksam person inom vården har laglig rätt att behandla känsliga personuppgifter om hälsa för sådan forskning som bedrivs som ett led i vården och behandlingen av en patient, betyder inte att denna person per automatik också ska ha åtkomsträtt till samma patientuppgifter när dessa samlats in till ett kvalitetsregister för att tillgodose den vetenskapliga forskningens behov. Om personen behöver ta del av hälsouppgifter som samlats in till ett kvalitetsregister, exempelvis för att bedriva klinisk forskning, måste denna begära ut uppgifterna från kvalitetsregistret. Huruvida en sådan begäran kan beviljas eller inte, beror på om den yrkesverksamma personen tilldelats behörighet att ta del av uppgifterna (om behörighetstilldelningen och personalens åtkomsträtt till uppgifter i kvalitetsregister, se detaljmotiveringen till 15c § 1 mom. nedan). Det bör i detta sammanhang erinras om att det är strängt förbjudet för en yrkesverksam person inom vården att utnyttja sin åtkomsträtt till hälsouppgifter som lagras i patientregistret för att bedriva sådan vetenskaplig forskning som avses 1 mom. 3 punkten. Vad som ovan anförts om sekretessgräns mellan ÅHS vårdverksamhet och verksamhetsgrenen vetenskaplig forskning ska även gälla i fråga om förhållandet mellan vårdverksamhet och de övriga sekundära ändamål som anges i 1 mom. 1‒2 punkterna; även i dessa fall bör åtkomsten till hälsouppgifter i kvalitetsregister hållas tekniskt separerad från de andra åtkomstmöjligheter (t.ex. tillgång till uppgifter i journalsystemet) som tilldelats ÅHS personal.
Bestämmelsen i paragrafens 2 mom. ger uttryck för principen om proaktiv informationssäkerhet, vilket innebär att lagenligheten och säkerheten för ordnandet av en tjänst ska säkerställas innan tjänsten tas i bruk. Det följer bl.a. av artikel 32 i dataskyddsförordningen att den personuppgiftsansvarige även måste ta i beaktande informationssäkerhetsaspekter vid säkerställandet av den registrerades personliga integritet. Grundlagsutskottet har vid flera tillfällen betonat vikten av att det finns en tillräcklig nivå på säkerhet i nätverks- och informationssystem när ett register börjar användas. Betydelsen av noggrann säkerhetsplanering och regelbundet utförda systembesiktningar är särskilt framträdande när känsliga personuppgifter som omfattas av sekretess behandlas för sekundära ändamål. Vid underlåtenhet att uppfylla de minimikrav som uppställs i kapitel IV i NIS2-direktivet kan tillsynsmyndigheten ålägga producenten av informationssystemtjänsten att avhjälpa bristerna i systemet eller, om bristerna inte avhjälpts inom föreskriven tid, förbjuda användningen av ett eller flera kvalitetsregister till dess att bristerna har avhjälpts. Såsom framgår av 15b §, ska det vid ÅHS finnas en registerstyrgrupp, ett slags internt kontrollorgan, som har till uppgift att säkerställa att kvalitetsregistren uppfyller de krav och villkor som ställs på informationssäkerhet och dataskydd i EU-lagstiftningen och i landskapslagstiftningen (se detaljmotiveringen till 15b §).
I 3 mom. anges att ÅHS är personuppgiftsansvarig för behandlingen av personuppgifter i kvalitetsregister. För att skydda den registrerades grundläggande rättigheter och intressen, förutsätts i artikel 23.2 e i dataskyddsförordningen att den personuppgiftsansvarige identifieras i lag. Den personuppgiftsansvariges skyldigheter regleras bl.a. i kapitel IV i dataskyddsförordningen.
Av 4 mom. framgår att det i kvalitetsregister får behandlas uppgifter om en patients hälsotillstånd, om vidtagna eller planerade åtgärder samt andra personliga förhållanden som dokumenterats i en journalhandling i samband med tillhandahållandet av patientvård. Såsom har redogjorts för i kapitel 1.3.3 ska personuppgiftsbehandlingen i kvalitetsregister grunda sig på dataskyddsförordningens artikel 9.2 i, till den del känsliga personuppgifter om hälsa behandlas i syfte att säkra verksamhetens kvalitet (1 mom. 1 punkten), och på artikel 9.2 j när känsliga hälsouppgifter ska användas för vetenskaplig forskning och statistikföring (1 mom. 2‒3 punkterna). Anledningen till att den åländska dataskyddslagen saknar bestämmelser om sådan behandling av känsliga personuppgifter som är nödvändig av allmänna folkhälsoskäl enligt dataskyddsförordningens artikel 9.2 i är att denna typ av behandling i de flesta fall också kan definieras som sådan behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g i dataskyddsförordningen.[26] Eftersom syftet med behandlingen av personuppgifter i 1 mom. 1 punkten är att säkerställa höga kvalitets- och säkerhetsnormer för vården, är det också ändamålsenligt att artikel 9.2 i utgör den rättsliga grunden för behandlingen till denna del.
Enligt 2 § i social- och hälsovårdsministeriets förordning om journalhandlingar (FFS 94/2022) innefattar journalhandlingarna patientjournalen och de därtill hörande patientuppgifter, samt uppgifter eller handlingar som gäller medicinsk undersökning av dödsorsak, liksom även andra uppgifter och handlingar som uppkommit i samband med ordnandet och genomförandet av patientvården eller som erhållits någon annanstans ifrån. Det har dels p.g.a. journalhandlingarnas omfångsrika innehåll, dels det faktum att riket har lagstiftningsbehörighet i vissa frågor inom hälso- och sjukvårdens område, varit nödvändigt att så specifikt som möjligt ange de kategorier av personuppgifter som får behandlas i kvalitetsregister. Därtill har i förtydligande syfte, och på grundval av de slutsatser som drogs i kapitlen 1.7.1 och 3, uttryckligen angetts vilka uppgifter som inte får behandlas i kvalitetsregister.
I 4 mom. listas kategorivis de hälsouppgifter som enligt landskapsregeringens mening utgör en nödvändig förutsättning för att ÅHS ska kunna bedriva ett systematiskt kvalitetsarbete i enlighet med 15 § i hälso- och sjukvårdslagen. Uppräkningen är uttömmande, vilket innebär att andra uppgifter inte får överföras från journalsystemet (eller andra administrativa system som används inom ÅHS) till ett kvalitetsregister. Den indelning i olika hälsouppgiftskategorier som finns i 1‒8 punkterna motsvarar både till sin struktur och precisionsgrad bestämmelserna i 5 § i lagen (FFS 668/2008) om institutet för hälsa och välfärd och vad som i 27 § i lagen om behandling av kunduppgifter inom social- och hälsovården föreskrivs om innehållet i journalhandlingar. I stället för att enbart utgå från nödvändighetsprincipen, syftar den valda regleringsmodellen till att så utförligt som möjligt specificera vilka uppgifter som får användas och lämnas ut för de sekundära ändamål som anges i 1 mom. Grundlagsutskottet har vid flera tillfällen påpekat att behandlingen av känsliga personuppgifter ska regleras genom exakta och noga avgränsade bestämmelser.[27]
Uppgifter som får behandlas i ett kvalitetsregister enligt 1 punkten ger information om enskilda registrerades socioekonomiska bakgrund och ställning (yrke, utbildning och demografiska data). De föreslagna 2‒5 och 8 punkterna innehåller uppgifter som kan hänföras till den enskilt största och viktigaste gruppen, nämligen vårddata. Denna uppgiftskategori är tänkt att bilda själva stommen i ett kvalitetsregisters informationsinnehåll. Slutligen innehåller den föreslagna 6 punkten s.k. organisatoriska data, dvs. uppgifter om verksamhetsenheter, personal och kostnader. De ovan redovisade uppgiftskategorierna illustrerar också hur omfattande begreppet uppgift om hälsa är enligt den definition av begreppet som ges i skäl 35 i ingressen till dataskyddsförordningen.
Personbeteckningen som identifieringsuppgift är nödvändig för att kunna bedöma kvaliteten på den tillhandahållna vården och servicen. Av 31 § 2 mom. i dataskyddslagen framgår att personbeteckning får behandlas inom hälso- och sjukvården. I och med att pseudonymisering, kryptering och anonymisering av personuppgifter föreslås som lämpliga skyddsåtgärder vid utlämnande av uppgifter för vetenskaplig forskning och statistikföring (se detaljmotivering till 12 mom.), har användningen av direkta identifieringsuppgifter i kvalitetsregistren begränsats till det absolut nödvändiga.
I linje med den valda regleringsmodellen, och på grundval av den delade behörighet som råder mellan landskapet och riket på hälso- och sjukvårdens område, anges i 3 punkten också vilka personuppgiftskategorier som inte får användas för sekundära ändamål i kvalitetsregister. Trots den potentiella nytta som ett kvalitetsregister kan förväntas tillföra det åländska folkhälsoarbetet, innebär den nuvarande behörighetsfördelningen mellan landskapet och riket också påtagliga begränsningar med tanke på kvalitetsregistrens framtida användningsmöjligheter. Det bör särskilt noteras att genetiska uppgifter inte får behandlas i kvalitetsregister, t.ex. för att undersöka de genetiska orsakerna till sällsynta diagnoser.
Uppgift om en patients dödsorsak kan ha särskilt stor betydelse såväl för långtidsuppföljningen av vårdkvaliteten som för utvärderingen av den genomgångna behandlingens effekt. Enligt landskapsregeringens bedömning föreligger inga hinder ur behörighetssynpunkt att behandla uppgifter om dödsorsak i sådana fall där dödsorsaken fastställts på annat sätt än genom rättsmedicinsk undersökning/obduktion eller vad som i lagen (FFS 127/2005) om dödförklaring föreskrivs om dödförklaring av en försvunnen person. Det ska m.a.o. inte vara tillåtet att behandla uppgifter om dödsorsak i kvalitetsregister, när döden inträffat under sådana omständigheter som avses i 7 § i lagen (FFS 459/1973) om utredande av dödsorsak.
Trots att journalhandlingarna med all den dokumentation de innehåller kan ge den helhetsbild över vården som behövs för att följa upp och utvärdera verksamhetens kvalitet, bör det dessutom vara möjligt att till ett kvalitetsregister överföra uppgifter som inte införts i en patientjournal. Det kan t.ex. röra sig om uppgifter som registrerats i en vårdsituation eller i samband med vårdadministrationen och som gäller de hälso- och sjukvårdstjänster som patienten fått. Enligt landskapsregeringens mening är en sådan ordning motiverad med hänsyn till det utrymme för diskretion som 12 § 1 mom. i rikets patientlag ger en yrkesutbildad person inom hälso- och sjukvården att bedöma vilka uppgifter som behöver antecknas i journalhandlingar för att ordna, planera, tillhandahålla och följa upp vården och behandlingen av en patient. Eftersom rikets patientlag inte innehåller sådana uppgiftsspecifika bestämmelser om yrkesutbildade personers skyldighet att göra anteckningar i journalhandlingar som finns i 5 kap. lagen (FFS 703/2023) om behandling av kunduppgifter inom social- och hälsovården (som inte tillämpas på Åland), kan det inte heller utan vidare förväntas att all data som genereras i samband med t.ex. intensivvård och annan monitorering faktiskt ingår i journalhandlingarna. Detsamma torde även gälla uppgifter som genom olika metoder samlats in för att mäta patientnöjdhet och patientupplevelser; även om sådana uppgifter inte blivit registrerade för det primära ändamålet vårddokumentation, kan de likväl vara ytterst värdefulla för det särskilda syftet kvalitetssäkring. Eftersom det i samtliga fall rör sig om behandling av personuppgifter om hälsa, såsom begreppet definieras i skäl 35 i ingressen till dataskyddsförordningen, bör utgångsläget vara att alla uppgifter som samlas in till ett kvalitetsregister också är av samma känslighetsgrad och ska behandlas i enlighet därmed. I sammanhanget bör det betonas att det även i sådana fall där uppgifter inte hämtas från journalhandlingar förutsätts strikt iakttagande av nödvändighetsprincipen. Likaså måste det säkerställas att överföringen av uppgifter alltid sker genom säkra tekniska lösningar samt att den registrerade blir regelrätt informerad om de ändamål för vilka dennes personuppgifter kan komma att bli behandlade.
Av skäl som närmare anges i kapitel 1.7.1 föreskrivs i 5 mom. att det i kvalitetsregister inte får behandlas klientuppgifter som Ålands hälso- och sjukvård fått tillgång till genom sådant samarbete med socialvården som avses i 19 och 19a §§. Det torde då närmast röra sig om klientuppgifter som med stöd av 7 § i landskapslagen (2020:26) om klienthandlingar inom socialvården, nedan kallad klienthandlingslagen, antecknats i handlingar som innehas av ÅHS.
I 6 mom. uppmärksammas den registrerades rätt att motsätta sig sådan personuppgiftsbehandling som sker i syfte att uppfylla ändamålen i 1 mom. 1‒3 punkterna. Den registrerades rätt att motsätta sig personuppgiftsbehandlingen ska respekteras i alla sammanhang, oavsett om personuppgifterna behandlas internt inom en vårdenhet eller lämnas ut till en annan myndighet. Det handlar med andra ord om ett s.k. opt out- förfarande där den registrerade har möjlighet att när som helst motsätta sig behandlingen av personuppgifter. Bestämmelsen kan anses ligga i linje med de grundläggande principerna om patientens självbestämmande och integritet som slås fast i 6 § i rikets patientlag. Enligt nämnda lagrum ska hälso- och sjukvårdsverksamhet så långt som möjligt utföras och genomföras i samråd med patienten. Vad gäller minderåriga registrerades rättigheter ska bestämmelserna i 7 § i rikets patientlag vara analogt tillämpliga; det ska således vara möjligt för vårdnadshavare att göra invändningar mot sekundär användning av uppgifter rörande barn. Barn som utifrån ålder och mognad kan ta ställning till frågan ska dock själv kunna motsätta sig behandlingen. Om en myndig patient p.g.a. mental störning, psykisk utvecklingsstörning eller någon annan orsak saknar förmåga att ta ställning till eller uttrycka sin inställning till behandlingen av personuppgifter i kvalitetsregister, kan dennes lagliga företrädare eller en nära anhörig förbjuda den sekundära användningen av uppgifterna. Grundlagsutskottet har slagit fast att patientens självbestämmanderätt inom hälso- och sjukvården är nära kopplad till grundlagens 7 § om personlig frihet och integritet samt 10 § om skydd för privatlivet.[28] Med hänsyn till det ovan anförda, och utifrån hur 32 § i dataskyddslagen är utformad, bör det antas en restriktiv förhållning till möjligheten att göra undantag från den registrerades rätt att motsätta sig behandling av känsliga personuppgifter som avser hen själv. En sådan begränsning av den registrerades rättigheter har i förevarande fall inte ansetts vara vare sig nödvändigt eller proportionerligt för att säkerställa det allmänna folkhälsointresset enligt artikel 23 i dataskyddsförordningen. Att värna om frivilligheten har ansetts vara viktigt för att skydda den enskildes personliga integritet och för att bevara tilltron till registerföringen.
Av artikel 13.3 i dataskyddsförordningen följer att den registrerade ska upplysas om rätten att motsätta sig personuppgiftsbehandlingen i samband med att denne informeras om syftet med den planerade vidarebehandlingen. Informationen ska lämnas när personuppgiftsbehandlingen påbörjas eller, om detta inte är möjligt, så snart som möjligt därefter. Ifall det är nödvändigt att samla uppgifter om en patient till flera separata kvalitetsregister, bör denne också delges information om varje register som personuppgifterna kommer att överföras till. Den registrerade har också rätt att på begäran få information om t.ex. de forskningsprojekt till vilka hens personuppgifter lämnats ut. Det ovan sagda tillämpas även i sådana fall då uppgifter om en patient som fått vård eller behandling med stöd av landskapslagen (2014:28) om tillämpning på Åland av lagen om gränsöverskridande hälso- och sjukvård ska behandlas i kvalitetsregister. Av artikel 4.2 e punkten i Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård framgår nämligen att medlemsstaterna ska säkerställa att ”den grundläggande rätten till personlig integritet vid behandling av personuppgifter skyddas i överensstämmelse med nationella åtgärder som genomför gemenskapens bestämmelser om skydd av personuppgifter”.
Rätten att motsätta sig personuppgiftsbehandling kan också ha vissa kvalitetsmässiga implikationer; utan en sådan spärrmöjlighet kan det nämligen inte uteslutas att patienter håller inne med viktig information, t.ex. av rädsla för att uppgifterna kan komma att spridas okontrollerat eller hamna i orätta händer.
15b § Förvaltning och styrning av kvalitetsregister. I paragrafen fastställs det organisatoriska ramverket för ÅHS registerförvaltning. Det övergripande syftet med regleringen är att skapa en adekvat och effektiv intern kontrollmekanism för att säkerställa och underlätta efterlevnaden av dataskyddsförordningen och övrig relevant säkerhetslagstiftning (främst NIS2-direktivet och den landskapslagstiftning varigenom direktivet genomförs på Åland). De föreslagna bestämmelserna är avsedda att utgöra sådana förfarandemässiga och organisatoriska åtgärder som avses i 13 § 4, 9‒11 punkterna i data-skyddslagen (åtgärder för att skydda den registrerades rättigheter vid behandling av känsliga personuppgifter). I skäl 44 i ingressen till NIS2-direktivet uppmuntras medlemsstaterna att genom lagstiftningsåtgärder främja och utveckla en riskhanteringskultur som inbegriper riskbedömning och genomförande av säkerhetsåtgärder som är anpassade till riskerna. För att kunna övervaka, följa upp och utvärdera behandlingen av känsliga personuppgifter i kvalitetsregistren, är det viktigt att organisationens egenkontroll genomförs systematiskt och under ordnade former. Av punkt 7.2 i ÅHS reglemente följer bl.a. att den interna kontrollen ska säkerställa att de regler och riktlinjer som finns följs och att möjliga risker identifieras, analyseras och förebyggs.
Den i paragrafen föreskrivna registerförvaltningsmodellen med en registerstyrgrupp och registerhållare syftar framför allt till att förebygga de risker som är förknippade med sekundär användning av känsliga personuppgifter. Ambitionen har varit att skapa sådana organisatoriska förutsättningar för samverkan och kunskapsutbyte som kan underlätta för ÅHS att fullgöra sina skyldigheter enligt dataskyddsförordningen och övrig angränsande säkerhetslagstiftning. På sikt handlar det också om att kunna bibehålla den enskilde individens förtroende för hälso- och sjukvårdens hantering av patientuppgifter.
Registerstyrgruppen är avsedd att vara ett rådgivande och samordnande organ, vars verksamhet ska präglas av ett sektoröverskridande förhållningssätt och samarbete. Dess ansvarsområde ska omspänna samtliga faser i ett kvalitetsregisters livscykel ‒ allt från upprättande till avveckling av ett register. Avsikten är att registerstyrgruppen ska koordinera arbetet med riskhantering och sårbarhetsanalys i fråga om kvalitetsregister och aktivt ingripa i missförhållanden som kan uppstå vid registerföringen. Styrgruppen ska också besluta om kvalitetsregistrens inriktning och strategiska utveckling. Den ska däremot inte ha behörighet att fatta rättsligt bindande förvaltningsbeslut i ärenden som rör myndighetsutövning mot enskilda. Med tanke på den snabba utveckling som för närvarande pågår inom e-hälsoområdet kan registerstyrgruppens roll och funktion komma att behöva ses över allteftersom omständigheterna ändras.
Eftersom ÅHS styrelse enligt 11 § 2 mom. i hälso- och sjukvårdslagen ansvarar för att den interna kontrollen är ändamålsenlig och tillräcklig, ska den också fatta beslut om såväl tillsättandet av registerstyrgruppen som utnämningen av styrgruppens ledamöter, inklusive ordförande och vice ordförande. Styrelsens beslut om utnämning av styrgruppsledamöterna kan verkställas utan hinder av vad som i hälso- och sjukvårdslagens 12 § anges om att landskapsregeringen ska fastställa beslut som innebär betydande ändringar av organisationen. Enligt motiven till hälso- och sjukvårdslagen ska 12 § tillämpas restriktivt och med beaktande av ÅHS ställning som en fristående myndighet med en relativt stor frihet att besluta om sina inre angelägenheter.
I registerstyrgruppen ska samlas den kompetens som krävs för att förvalta och använda kvalitetsregistren på ett rättsenligt, effektivt och säkert sätt. De sakkunniga inom medicin och medicinsk forskning förutsätts ha både den vetenskapliga kunskap och beprövade erfarenhet som behövs för att kunna avgöra
1) det eller de ändamål för vilka ett kvalitetsregister ska upprättas, samt
2) vilka personuppgifter (bland de som räknas upp i 15a § 4 mom. 1‒8 punkterna) det är nödvändigt att behandla för att registret ska kunna uppfylla sin funktion.
Mot bakgrund av vad som föreskrivs i artikel 35.2 i dataskyddsförordningen om föregående samråd i samband med konsekvensbedömning, kan det te sig ändamålsenligt att utse ÅHS dataskyddsombud som medlem i registerstyrgruppen. I styrelsen måste också finnas tillräcklig expertis inom området informationssäkerhet, inte minst för att säkerställa förenligheten med de rättsliga krav som följer av 2 mom. 5 punkten och 15a § 2 mom. Kunskap avseende statistik behövs för att bedöma hur och i vilken utsträckning hälsodata kan användas i kvalitetsutvecklingsarbetet.
I 2 mom. 1‒6 punkterna anges de åtgärder som ska vidtas innan ett kvalitetsregister inrättas. Grundlagsutskottet har vid flera tillfällen poängterat vikten av att alla dataskydds- och informationssäkerhetsarrangemang som är nödvändiga för att förhindra missbruk och olaga integritetsintrång ska vara fungerande och tillgängliga genast när systemet tas i bruk. Vidare anför utskottet att det i och för sig är nödvändigt, men inte tillräckligt, att i efterhand fortlöpande övervaka att behandlingen av personuppgifter är nödvändig och laglig exempelvis med hjälp av logguppgifter.[29]
När registerstyrgruppen enligt 1 punkten bedömer behovet av och ändamålsenligheten i att upprätta och föra kvalitetsregister, ska den ta i beaktande de medicinska professionernas intresse av kvalitetssäkring- och uppföljning av vården.
Kostnads- och nyttoanalysen enligt 2 punkten ska framför allt ses som ett beslutsunderlag för styrelsen när den ska avgöra huruvida upprättandet av ett nytt kvalitetsregister ska ingå i det förslag till budget med motiveringar som styrelsen årligen ska tillställa landskapsregeringen enligt 4 § 2 mom. 1 punkten i hälso- och sjukvårdslagen. Kostnads- och nyttoanalysen bör åtminstone innehålla en bedömning av de budgetmässiga konsekvenser som upprättandet och upprätthållandet av föreliggande kvalitetsregister kan medföra.
Likaså ankommer det på registerstyrgruppen att säkerställa att endast hälsouppgifter som är nödvändiga för att uppnå syftet med vidarebehandlingen samlas in till ett kvalitetsregister. Bestämmelsen i 3 punkten syftar således till att uppfylla principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen. Det torde ändå i praktiken vara så att de hälsouppgifter som är relevanta för sekundär användning typiskt sett finns hos vissa verksamhetsenheter inom ÅHS. Eftersom regelverket kring kvalitetsregister bygger på frivillighet, ska det vara upp till ledningen för berörd verksamhetsenhet/klinik att i samverkan med registerstyrgruppen bestämma vilka uppgifter som ska samlas in till kvalitetsregistret och vilka personer inom enheten som har rätt att få tillgång till uppgifterna. Frågan om när det kan anses vara nödvändigt att behandla personuppgifter i ett kvalitetsregister ska avgöras utifrån ett medicinskt perspektiv.
Enligt 4 punkten ska registerstyrgruppen också ha till uppgift att organisera och genomföra arbetet med konsekvensbedömningar avseende dataskydd innan ett kvalitetsregister upprättas och tas i bruk. Detta förutsätter att registerstyrgruppen bildat sig en någorlunda klar uppfattning om ändamålen och villkoren för samt omfattningen av den tilltänkta vidarebehandlingen av personuppgifter i kvalitetsregistret. Konsekvensbedömningen ska bl.a. innehålla en uppskattning av risken för att en personuppgiftsincident ska inträffa samt en bedömning av de tänkbara konsekvenser som en sådan incident kan ha för organisationen och de registrerade. Riskens storlek ska bedömas utifrån hur allvarliga konsekvenserna av en möjlig incident är för de registrerade och sannolikheten för att de olika scenarierna realiseras. Huvudsaken är att registerstyrgruppen fastställer en nivå på säkerheten i kvalitetsregistren som är lämplig i förhållande till den föreliggande risken. Även om kvalitetsregistren körs på samma tekniska plattform, kan det finnas betydande skillnader i registrens ändamål, omfattning och den övergripande riskbilden. Utgångspunkten bör därför vara att en konsekvensbedömning ska utföras separat för varje kvalitetsregister som ÅHS ämnar ta i bruk. Genom att se till att informationssystemet uppfyller alla de säkerhetskrav som NIS2-direktivet och landskapslagstiftningen ställer (5 punkten), och genom att vidta andra lämpliga skyddsåtgärder för att skydda de registrerades integritet (exempelvis behörighetsbaserad åtkomstkontroll, insamling av loggdata, pseudonymisering, kryptering mm.), kan den risk som är förknippad med behandlingen av känsliga personuppgifter reduceras till en godtagbar nivå.
Av 6 punkten följer att registerstyrgruppen ska bestämma villkoren för tilldelning av behörighet för åtkomst till personuppgifter i ett kvalitetsregister. Behörigheten ska, i enlighet med vad som föreskrivs i 15c § 1 mom., anpassas och begränsas till vad som är nödvändigt för att en anställd ska kunna utföra sina arbetsuppgifter. Villkoren för tilldelning av behörighet för åtkomst till uppgifter i ett kvalitetsregister ska utformas så att de både skyddar den registrerades integritet och säkerställer tillgången till de uppgifter som är nödvändiga för att kvalitetsregistret ska kunna användas för det ändamål för vilket det upprättats. Registerstyrgruppen ska också tillse att det sker systematiska och regelbundna kontroller av åtkomsten till uppgifter i kvalitetsregistren och att det finns ändamålsenliga rutiner för hur logghantering och åtkomstkontroll görs.
Den i 7 punkten föreskrivna skyldigheten för ÅHS att förse en gemensam informationspunkt med information om vilka uppgifter som gjorts tillgängliga för sekundär användning i kvalitetsregister, och vilka villkor som ställts upp för sådan användning, följer av dataförvaltningsakten. Av artikel 8.1 i dataförvaltningsakten följer att medlemsstaterna ska inrätta ett nytt organ eller utse ett befintligt organ som gemensam informationspunkt. Den gemensamma informationspunkten kan vara länkad till regionala eller lokala informationspunkter. I riket har myndigheten för digitalisering och befolkningsdata utsetts som gemensam informationspunkt. Eftersom den gemensamma informationspunkten ska vara behörig att ta emot förfrågningar eller ansökningar om vidareutnyttjande av bl.a. sekretessbelagda hälsouppgifter (artikel 3.1 d punkten), ska den föra en förteckning över de datakällor som finns tillgängliga vid regionala och lokala informationspunkter tillsammans med relevant information som beskriver bl.a. villkoren för vidareutnyttjandet av dessa data. Enligt artikel 8.2 i dataförvaltningsakten ska den gemensamma informationspunkten, när så är möjligt och lämpligt, automatiskt överföra dessa förfrågningar eller ansökningar till den behöriga myndighet som avses i artikel 7.1, i detta fall ÅHS (se även detaljmotiveringen till 7 mom.).
Av 8 punkten följer att registerstyrgruppen ska minst vartannat år granska och pröva de ställningstaganden den själv gjort enligt 1 punkten. Genom den föreslagna bestämmelsen säkerställs att det för respektive kvalitetsregister sker en kontinuerlig bedömning av personuppgiftsbehandlingens fortsatta nödvändighet och laglighet. Såvida styrgruppen kommer fram till att det inte längre är nödvändigt att föra ett kvalitetsregister för de ändamål som anges i 15a § 1 mom., ska den se till att de personuppgifter som ingår i registret raderas eller avidentifieras. Detta får dock endast ske under förutsättning att landskapsregeringen inte fattat beslut om att de personuppgifter som ingår i kvalitetsregistret ska bevaras under längre tid än 10 år i enlighet med vad som föreskrivs i 15e § 1 mom.
Förfaringssättet i 3 mom. grundar sig bl.a. på artikel 20 i NIS2-direktivet som anger att väsentliga och viktiga entiteters ledningsorgan ska godkänna och övervaka efterlevnaden av de riskhanteringsåtgärder för informations- och cybersäkerhet som myndigheten ska vidta för att uppfylla riskhanteringskraven i artikel 21. Följaktligen kan ledningsorganet också ställas till svars för myndighetens underlåtenhet att följa kraven i nämnda artikel 21. Det bör påpekas att styrelsen enligt punkt 1.5 i reglementet för ÅHS ska besluta om målsättningarna och metoderna för ÅHS kvalitetsutvecklingsarbete.
Enligt 4 mom. ska det vara möjligt för styrelsen att tillsätta arbetsgrupper för att stöda registerstyrgruppens verksamhet. Medlemmarna i en extra tillsatt arbetsgrupp kan exempelvis ha den tekniska kompetens eller andra färdigheter som behövs för att kunna göra mer omfattande och djupgående analyser av specifika frågor som rör kvalitetsregister.
Enligt 5 mom. får i reglementet för ÅHS närmare föreskrivas om registerstyrgruppens interna rutiner, processer och arbetssätt. De regler om vilka det kan föreskrivas om i reglementet utgör inga ytterligare intrång i den registrerades personliga integritet än vad som följer av de föreslagna lagrummen.
I 6 mom. anges att det för varje kvalitetsregister ska utses en registerhållare som ska ansvara för den löpande hanteringen av kvalitetsregistret. Styrelsen ska utse registerhållaren innan registret tas i bruk och under förutsättning att ÅHS beviljats medel för att upprätta och föra kvalitetsregister (dvs. att kvalitetsregister upptagits som ett anslag i ÅHS budget). En anställd inom ÅHS kan samtidigt vara registerhållare och medlem i registerstyrgruppen. En anställd som besitter bred kompetens inom medicin och medicinsk forskning samt har en god helhetssyn över hela ÅHS verksamhet kan utses som registerhållare för flera kvalitetsregister.
Anledningen till att styrelsen ska utse registerhållaren står att finna i 2.2 punkten fjärde stycket i reglementet för ÅHS enligt vilken styrelsen beslutar om ändring av tjänst som tillsätts av styrelsen. Enligt vad som kan utläsas av 4c § i tjänstemannalagen (1987:61) för landskapet Åland kan det att en tjänsteman utses till registerhållare innebära en ändring av den tilltänkta personens tjänst. I förevarande fall kan det dock varken anses vara fråga om en väsentlig ändring av en tjänst eller en försämring av den anställdes anställningsvillkor.
I 7 mom. 1 punkten ställs krav på att registerhållaren ska ha ingående kunskaper om kvalitetsregistrets innehåll och funktionalitet. Detta torde i praktiken förutsätta att registerhållaren har specialistkompetens inom det medicinska område för vars behov kvalitetsregistret upprättats.
Enligt 2 punkten ska den som vill få tillgång till uppgifter i ett kvalitetsregister i första hand hänvisas till registerhållaren för att få full visshet om registrets informationsinnehåll och för att kunna fastställa huruvida de insamlade uppgifterna är relevanta med tanke på syftet med den tilltänkta vidarebehandlingen. Om den initiala förfrågningen sedan utmynnar i en begäran om utlämnande av uppgifter ur registret, ska registerhållaren, med beaktande av relevanta bestämmelser i offentlighetslagen, förvaltningslagen (2008:9) för landskapet Åland, de föreslagna 15a och 15c-e §§ samt registerstyrgruppens specificerande anvisningar, pröva om uppgifterna kan lämnas ut. När det gäller utlämnande av uppgifter för forskningsändamål, ska vid prövningen av begäran särskilt bedömas om de efterfrågade uppgifterna kan lämnas ut utan risk för men eller skada för den enskilde vars personuppgifter berörs. Att registerhållaren i sådana fall är skyldig att samråda med registerstyrgruppen i enlighet med vad som föreskrivs i 3 punkten, grundar sig på uppfattningen att en multiprofessionellt sammansatt sakkunniggrupp kan förväntas kunna bidra med värdefulla synpunkter om forskningens förenlighet med de krav som ställs i den föreslagna 15d § 3 mom. och de eventuella risker som utlämnandet kan medföra för den registrerade. Det slutliga beslutet ska emellertid fattas av registerhållaren, som även ska bedöma och besluta om utlämnande av uppgifter ur kvalitetsregistret i sådana fall som avses i 15a § 1 mom. 1‒2 punkterna. Registerhållaren ska, på grundval av ett sådant användarregister som avses i 15c § 2 mom., kontrollera att endast behörig personal inom Ålands hälso- och sjukvård får tillgång till uppgifter i ett kvalitetsregister.
Uppgifter ur ett kvalitetsregister får aldrig lämnas ut utan att en begäran om utlämnande tillställts myndigheten ÅHS. Detta gäller oavsett om den som begär ut uppgifter är en extern aktör eller en anställd inom ÅHS (p.g.a. de föreslagna bestämmelserna om behörighetstilldelning och den interna kontrollen av anställdas åtkomst till uppgifter i kvalitetsregister, torde det i sistnämnda fall ofta räcka med en mer rutinartad prövning). De anställda inom ÅHS ska med andra ord inte ha direktåtkomst till uppgifter i ett kvalitetsregister, dvs. rätt att på egen hand söka efter information i registret. En sådan åtkomstform har ur dataskyddsperspektiv ansetts vara av mycket integritetskänslig karaktär.
Det bör understrykas att det är ÅHS som i egenskap av personuppgiftsansvarig har det yttersta ansvaret för att personuppgifterna behandlas lagenligt och korrekt i dess verksamhet. Detta ansvar kan inte delegeras vidare. Registerstyrgruppen och registerhållarna ska däremot ha det verkställande ansvaret för att genomföra den personuppgiftsansvariges ansvar enligt dataskyddsförordningen.
I syfte att förtydliga roll- och ansvarsfördelningen mellan ÅHS och landskapsregeringen har i 8 mom. intagits bestämmelser som befäster landskapsregeringens skyldighet att bistå ÅHS med viss teknisk och juridisk expertis i frågor som berör vidarebehandling av känsliga personuppgifter. Bestämmelsen är av informativ karaktär och återger det huvudsakliga innehållet i 2a § 3 mom. i landskapslagen (2021:165) om vidareutnyttjande av information från landskaps- och kommunalförvaltningen, sådant detta lagrum lyder i landskapslagen 2024/8. Såsom konstaterats i kapitel 1.5 blir dataförvaltningsakten tillämplig när sekretessbelagda uppgifter om hälsa tillgängliggörs för vidareutnyttjande i kvalitetsregister. Landskapsregeringen noterar emellertid att artikel 7.3 e punkten i dataförvaltningsakten (om bistånd vid överföring av sekretessbelagda data som inte är personuppgifter) inte är relevant i det aktuella sammanhanget. Ifrågavarande bestämmelse har därför utelämnats från förslaget. Eftersom samtycke inte utgör en rättslig grund för behandling av personuppgifter i ett kvalitetsregister, kan sådant stöd med att inhämta den registrerades samtycke som avses i dataförvaltningsaktens artikel 7.3 d punkten bara bli aktuellt om den personuppgiftsansvarige (ÅHS) beslutat att inhämta samtycke i ett integritetshöjande syfte (se detaljmotivering till 15d § 3 mom.). Att landskapsregeringen vid behov kan bistå ÅHS IT-avdelning och den övriga förvaltningen med tekniskt stöd och vägledning, t.ex. i hur hälsodata bäst kan struktureras och lagras för att vara lätttillgängligt samt hur kraven på pseudonymisering och anonymisering ska uppnås, kan vara av stor betydelse såväl i det initiala planeringsarbetet inför upprättandet av ett kvalitetsregister som i den dagliga registerförvaltningen. Enligt landskapsregeringens initiala uppfattning torde stödet mestadels handla om hur olika säkerhetsmässiga krav och villkor ska förverkligas rent tekniskt. Samtidigt är det viktigt att landskapsregeringens bistånd förverkligas i samverkan med det samordningsansvariga organet inom ÅHS, dvs. registerstyrgruppen, bl.a. för att säkerställa att det drivs en enhetlig linje i digitaliseringsfrågor. Det bistånd som landskapsregeringen ger måste emellertid ske med respekt för ÅHS ställning som en fristående förvaltningsmyndighet. Detta innebär bl.a. att landskapsregeringen inte får styra hur ÅHS ska agera i sin myndighetsutövning mot enskilda eller i hur rättsregler ska tillämpas. Enligt landskapsregeringens mening är det därför varken lämpligt eller ändamålsenligt att med stöd av artikel 7.2 i dataförvaltningsakten bemyndiga den behöriga myndigheten (LR) att fatta beslut om utlämnande av uppgifter ur kvalitetsregister. Det finns m.a.o. ingen anledning att avvika från det förfaringssätt som fastställts i 4 kap. 15 § i offentlighetslagen enligt vilken en begäran om att få ta del av en myndighetshandling ska göras till den myndighet där handlingen förvaras.
15c § Åtkomsträtt och logguppföljning. I paragrafen läggs grunden för den s.k. inre sekretessen, vars syfte är att säkerställa att yrkesverksamma personer och andra anställda inom ÅHS endast har åtkomst till sådana uppgifter i ett kvalitetsregister som är absolut nödvändiga för deras arbetsuppgifter. Tilldelningen av åtkomsträttigheter till uppgifter i ett kvalitetsregister utgör den enskilt viktigaste administrativa skyddsåtgärden för att förhindra obehörig behandling av personuppgifterna. Genom den föreslagna bestämmelsen i 1 mom. säkerställs att yrkesutbildade personer och andra anställda inom ÅHS endast har tillgång till uppgifter i kvalitetsregistren som är nödvändiga med tanke på deras arbetsuppgifter. I likhet med vad som gäller för vårdgivare i riket enligt bestämmelserna i lagen om behandling av kunduppgifter inom social- och hälsovården ska åtkomstkontrollen bestå av tre huvudsakliga delar. Den personuppgiftsansvarige ska således:
1) fastställa vilka yrkesutbildade personer och andra anställda inom organisationen som ska ha åtkomsträtt till hälsouppgifter som samlats till ett kvalitetsregister (utöver bestämmelserna i 1 mom. regleras detta även i 15b § 2 mom. 6 punkten),
2) föra register över de personer inom ÅHS som har rätt att använda uppgifter i kvalitetsregister (om detta föreskrivs i 2 mom.), och
3) för uppföljning och övervakning samla in registerspecifika logguppgifter över all användning och utlämnande av patientuppgifter (se 3 mom. nedan).
Bestämmelserna i 2 mom. motsvarar vad som i 9 § 3 mom. i rikets lag om behandling av kunduppgifter inom social- och hälsovården föreskrivs om tjänstetillhandahållarens skyldighet att föra register över de yrkesutbildade personer och andra anställda som har beviljats åtkomsträtt till hälsouppgifter i ett informationssystem. Därtill specificeras vilka uppgifter som ska antecknas i det s.k. användarregistret.
I 3 mom. föreskrivs om ÅHS skyldighet att föra logg över varje kvalitetsregister som tagits i bruk. Loggen bildar den behandlingshistorik som behövs för att kunna ta ställning till om det förekommit obehörig åtkomst till personuppgifter som förvaras i kvalitetsregister. ÅHS ska genomföra systematiska och återkommande kontroller för att bevaka om sådan obehörig åtkomst förekommit; det ska m.a.o. inte räcka att göra kontroller endast i särskilda fall när obehörig åtkomst misstänkts.
I likhet med vad som föreskrivs i 22 § 3 mom. i klienthandlingslagen anges i 4 mom. att närmare bestämmelser om de uppgifter som ska föras in i loggarna får utfärdas genom landskapsförordning. Bestämmelserna i landskapsförordningen ska då avgränsas så att de enbart föreskriver om sådana uppgifter som är nödvändiga för att följa upp de anställdas användning av hälsouppgifter i kvalitetsregistren.
15d § Utlämnande av uppgifter. I 1 mom. förtydligas den registrerades rätt att begära ut logguppgifter som gäller behandlingen av dennes personuppgifter. En begäran om utlämnande av logguppgifter ska handläggas i normal ordning i enlighet med förfarandereglerna i offentlighetslagen och förvaltningslagen (2008:9) för landskapet Åland. Enligt rådande förvaltningsrättslig praxis på hälso- och sjukvårdens område ska den registrerades rättigheter enligt artikel 15 i dataskyddsförordningen tillgodoses, såvida det inte finns grundad anledning att begränsa denna rätt att få tillgång till personuppgifter, t.ex. på den grunden att utlämnandet kan medföra allvarlig fara för den registrerades hälsa eller vård eller någon annans rättigheter (se 35 § i dataskyddslagen och 11 § i rikets lag om behandling av kunduppgifter inom social- och hälsovården). Det är viktigt att den registreraredes begäran att få ta del av uppgifter som rör denne själv prövas och bedöms utifrån samma premisser, oavsett om begäran avser uppgifter som lagrats i patientregistret eller i ett kvalitetsregister. Syftet med den föreslagna bestämmelsen är således att säkerställa förutsägbarhet och enhetlighet i rättstillämpningen.
I 2 mom. föreskrivs om möjligheten för ÅSUB att på begäran få tillgång till även andra uppgifter ur ett kvalitetsregister än de som omfattas av ÅHS uppgiftsskyldighet enligt 7 § i statistiklagen. Det rör sig i sådana fall om uppgifter som är äldre än fyra år vid tidpunkten för begäran om utlämnande. En förutsättning för att uppgifterna får lämnas ut är att de anonymiserats av ÅHS (för en närmare redogörelse om anonymisering som skyddsåtgärd, se detaljmotiveringen till 3 mom. nedan). Bestämmelserna i 2 mom. syftar till att underlätta framtagning av folkhälsostatistik som omspänner en längre tidsperiod.
Av 3 mom. framgår att uppgifter ur ett kvalitetsregister får lämnas ut för vetenskapliga forskningsändamål, förutsatt att vissa kriterier uppfylls. Såsom anförts ovan i detaljmotiveringen till 1 mom., ska paragrafens bestämmelser om vetenskaplig forskning inte tillämpas på sådan forskning som bedrivs som ett led i vården av patienter. Vad utlämnande av uppgifter för vetenskaplig forskning anbelangar, torde det i de flesta fall räcka med tillgång till uppgifter som endast indirekt, eller inte alls, kan härledas till en enskild person. Såvitt landskapsregeringen kan bedöma torde åtkomst till exempelvis personnummer oftast inte vara en nödvändig förutsättning för att kunna bedriva forskning. Utgångspunkten bör således vara densamma som när uppgifter samlas in för framställning av statistik enligt 2 § 3 mom. i statistiklagen. Enligt nämnda lagrum ska uppgifterna samlas in utan identifikationsuppgifter när så är möjligt med avseende på framställningen av statistiken. Samma förhållningssätt ska intas vid prövningen av tillstånd för att ta del av uppgifter för vetenskaplig forskning. När de efterfrågade uppgifterna lämnas ut utan den registrerades namn och personnummer, minskar också risken för integritetsintrång avsevärt. Noterbart vad gäller exempelvis registerforskning är att forskningsdata oftast utgörs av aggregerade uppgifter som beskriver en stor grupp personer i stället för en enskild individ. Det kan emellertid vara nödvändigt för en forskargrupp, som arbetar utifrån en mer kvalitativ forskningsansats, att få tillgång till direkt identifierbara personuppgifter, t.ex. när hälsodata från flera olika kvalitetsregister, som innehåller uppgifter om samma personer, ska samköras. För att dessa datamängder ska kunna sammanfogas till en helhet som är användbar för den kvalitativa forskningens behov, krävs en nyckel (vanligtvis personnummer) för att kunna fastställa vilka hälsodata som hör till vilken individ. I sådana fall kan det vara befogat att anta att tillgången till personuppgifter medför högre kvalitet och tillförlitlighet i forskningsresultatet.
Såsom framgår av både 11 § 1 mom. i dataskyddslagen och 23 § 3 mom. i offentlighetslagen skyddas personuppgifterna av stark sekretess, vilket innebär att uppgifter enbart får lämnas ut om det står klart/är uppenbart att samhällsintresset av forskningen väger över den risk för integritetsintrång som behandlingen kan innebära. Den berörda myndigheten behöver m.a.o. alltid göra en avvägning mellan nyttan av att uppgifter lämnas ut och intrånget i den personliga integriteten. Utgående från denna avvägning ska myndigheten sedan avgöra vilken typ av skyddsåtgärd som är mest lämplig i det enskilda fallet. Betraktat i ljuset av artikel 89.1 i dataskyddsförordningen kan pseudonymisering och kryptering, tillsammans med de organisatoriska åtgärder som avses i de föreslagna 7, 8 och 10 mom. samt 15b §, anses utgöra sådana skyddsåtgärder som bidrar till att minska, och i bästa fall t.o.m. eliminera, risken för röjande av sekretessbelagda uppgifter om enskilds hälsa. Dessa skyddsåtgärder kommer därför också att få en avgörande betydelse vid den rättsliga menprövning som registerhållaren i samråd med ÅHS registerstyrgrupp ska utföra när t.ex. ett forskarteam begär ut uppgifter ur ett kvalitetsregister för vetenskaplig forskning (se detaljmotivering för 15b § nedan). Med andra ord fråntar varken pseudonymisering eller kryptering myndigheten ansvaret att göra en menprövning i varje enskilt fall. Om forskning och statistikföring däremot bedrivs på helt och hållet avidentifierade uppgifter, förekommer inte heller längre någon behandling av känsliga personuppgifter i dataskyddsförordningens mening. Dataskyddsförordningen är m.a.o. inte längre tillämplig i sådana situationer. Uppgifterna kan dock inte anses vara avidentifierade så länge det finns en kodnyckel, en översättningsmekanism mellan personuppgift och pseudonym eller andra variabler med hjälp av vilka det går att identifiera en enskild person. Avidentifiering kan vara en lämplig skyddsåtgärd i synnerhet när det råder tveksamheter kring en forskningshuvudmans tekniska eller organisatoriska förutsättningar att skydda sekretessen.
Om myndigheten bedömer att de rättsliga förutsättningarna för utlämnande av uppgifter inte uppfylls, ska den fatta ett överklagbart beslut i ärendet. Forskare som beviljats tillstånd att ta del av uppgifter ur kvalitetsregister omfattas enligt offentlighetslagen av handlingssekretess, tystnadsplikt och förbud mot utnyttjande. Såsom påpekas i motiveringen till offentlighetslagens 20 § 4 mom. 6 punkten, kan utlämnandet av uppgifter för forskningsändamål vara förknippat med vissa risker.[30] Detta bör särskilt beaktas när myndigheten överväger att vidta olika integritetshöjande åtgärder i samband med utlämnande av uppgifter. I syfte att säkerställa de registrerades integritetsskydd, och för att tillförsäkra att principen om lagringsminimering blir vederbörligen beaktad när uppgifter lämnas ut till tredje man, föreskrivs i momentets sista mening att mottagarens rätt att förvara och använda icke avidentifierade uppgifter som lämnats ut ur ett kvalitetsregister endast omfattar den tid som forskningen förutsätter.
Det finns heller inga rättsliga hinder för ÅHS att inhämta samtycke från den registrerade för att säkerställa att denne förstått innebörden av den information som hen tidigare fått om myndighetens hantering av personuppgifter. I sådana fall skulle samtycket emellertid utgöra en integritetshöjande åtgärd, inte en separat rättslig grund som legitimerar behandlingen av personuppgifter (se t.ex. grundlagsutskottets utlåtande, GrUU 4/2021 rd).
15e § Bevarande och gallring av uppgifter. Genom paragrafen säkerställs att principen om lagringsminimering i artikel 5.1 e i dataskyddsförordningen efterlevs. Ifrågavarande princip innebär att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Registerstyrgruppen har till uppgift att säkra att principen efterlevs i praktiken (se bl.a. 15b § 2 mom. 8 punkten). För att den nationella lagstiftningen kan anses vara proportionerlig och befogad i förhållande till det mål som eftersträvas, i detta fall främjande av folkhälsan på Åland, förutsätts den enligt artikel 23.2 f i dataskyddsförordningen innehålla bestämmelser om bl.a. lagringstider för personuppgifter som behandlas för sekundära ändamål (se kapitel 1.3.4). Införandet av en särskild bestämmelse som anger lagringstiden har i förevarande fall ansetts vara förenligt även med artikel 6.3 b i dataskyddsförordningen. Även Ålandsdelegationen och grundlagsutskottet har vid flera tillfällen framhållit att förvaringstider hör till de frågor som bör regleras i lag utifrån bestämmelsen om de grundläggande fri- och rättigheterna i 10 § 1 mom. i grundlagen (FFS 731/1999).[31] Utifrån en avvägning mellan den enskildes personliga integritet och de ändamål som kvalitetsregistren avser att tillgodose har 10 år ansetts vara en lämplig yttersta gräns för hur länge de personuppgifter som ingår i ett kvalitetsregister får behandlas. Lagringstiden och skyldigheten att förstöra personuppgifterna efter att denna tid löpt ut motiveras i första hand av integritetsskäl. Vissa kvalitetsregister kan emellertid ha ett särskilt stort värde, till exempel för framtida forskning om olika cancersjukdomar. I likhet med vad som gäller i riket ska det i sådana fall vara möjligt för landskapsregeringen att, i enlighet med det förfaringssätt som anges i arkivlagens 6 § 2 och 4 mom., fatta beslut om att personuppgifter i enskilda kvalitetsregister ska bevaras under en längre tid än 10 år eller varaktigt.[32] Av 13 § 2 mom. i arkivlagen följer att känsliga personuppgifter får enbart behandlas för arkivändamål av allmänt intresse i den omfattning lämpliga skyddsåtgärder vidtagits i enlighet med 13 § i den åländska dataskyddslagen. Vad som i 15d § föreskrivs om utlämnande av uppgifter ur ett kvalitetsregister ska enligt 13d § 4 mom. i arkivlagen och 25 § i offentlighetslagen tillämpas även vid utlämnande av arkiverade personuppgifter. Vid den elektroniska arkiveringen av kvalitetsregister ska bestämmelserna i landskapsförordningen (2021:155) om arkivering av elektronisk information som ska förvaras mer än tio år och varaktigt iakttas. I sammanhanget bör även erinras om att den personuppgiftsansvarige har en skyldighet enligt 15a § 6 mom. att så snart som möjligt radera den enskildes personuppgifter ur registret, om denne motsatt sig personuppgiftsbehandlingen.
Enligt 2 mom. ska uppgifter som förts in i sådana användarregister som upprättats med stöd av 10 mom. för att kontrollera de anställdas åtkomst till hälsouppgifter förstöras senast tre år efter att det kvalitetsregister för vilket åtkomsträtt beviljats avvecklats eller överförts till landskapsarkivet för varaktig bevaring. Enligt 11 § i arkivlagen för landskapet Åland ska handlingar som ska förvaras varaktigt och som uppstått i landskapsregeringen underlydande myndigheters verksamhet överföras till landskapsarkivet vid den tidpunkt och på det sätt som landskapsregeringen beslutar.
Av 3 mom. framgår att ÅHS är skyldig att förvara de logguppgifter som samlats in med stöd av 3 mom. i minst 12 år efter att de uppstått. Anledningen till att logguppgifterna ska förvaras under en längre tid än de hälsouppgifter som samlats in till ett kvalitetsregister är att de kan behövas för att uppgöra, framställa eller försvara rättsliga anspråk, t.ex. med anledning av den personuppgiftsansvariges bristfälliga hantering av personuppgifter. Förvaringstiden är densamma som tillämpas inom hälso- och sjukvården i riket enligt bilagan till kunduppgiftslagen. I och med att förvaringstiden för logguppgifter är mer än tio år ska bestämmelserna i landskapsförordningen om arkivering av elektronisk information som ska förvaras mer än tio år och varaktigt iakttas.
Ikraftträdande- och övergångsbestämmelse. Såsom anförts ovan i kapitel 1.7.4, kommer frågor som rör bl.a. tillsynen över hälso- och sjukvårdens informationssystem att regleras i en särskild landskapslag om cybersäkerhet och motståndskraft, som för närvarande är under beredning. Avsikten är därför att den föreslagna ändringen av landskapslagen om hälso- och sjukvård ska träda i kraft vid samma tidpunkt som nämnda cybersäkerhetslag. Landskapsregeringen föreslår att ikraftträdandetidpunkten lämnas öppen för landskapsregeringen att fatta beslut om.
2. Landskapslag om ändring av 20 § landskapslagen om hälso- och sjukvård
20 § Vårdgarantin. Bestämmelserna i paragrafens 3 mom. preciseras så att det blir möjligt för den specialiserade sjukvården inom ÅHS att bedöma vårdbehovet inom tre månader från det att remissen anlände till enheten, under förutsättning att bedömningen av vårdbehovet kräver en bedömning av en specialist, laboratorieundersökningar eller bilddiagnostik. I övrigt föreslås inga ändringar i bestämmelserna i 3 mom.; den inledande bedömningen ska fortfarande påbörjas inom tre veckor från det att remissen anlände till den mottagande verksamhetsenheten. Likaså ska vården fortsättningsvis ordnas och inledas inom en skälig tid, dock senast inom sex månader från det att vårdbehovet konstaterades. Slutligen bör erinras om att vårdgarantin är avsedd att omfatta all typ av vård.
Ikraftträdande. Avsikten är att lagen ska träda i kraft så snart som möjligt. I enlighet med 20 § 2 mom. i självstyrelselagen föreslås datumet för ikraftträdande lämnas öppet för landskapsregeringen att fatta beslut om.
Lagtext
Landskapsregeringen föreslår att följande lag antas.
1.
L A N D S K A P S L A G
om ändring av landskapslagen om hälso- och sjukvård
I enlighet med lagtingets beslut fogas till landskapslagen (2011:114) om hälso- och sjukvård nya 15a‒15e §§ som följer:
15a §
Kvalitetsregister
Ålands hälso- och sjukvård får upprätta och föra kvalitetsregister för följande ändamål:
1) systematisk uppföljning, utvärdering och säkring av verksamhetens kvalitet,
2) statistikföring, och
3) vetenskaplig forskning.
Ett kvalitetsregister får inte tas i bruk innan det uppfyller de säkerhetskrav som ställs på hälso- och sjukvårdens informationssystem i landskapslagstiftningen.
Ålands hälso- och sjukvård är personuppgiftsansvarig för behandlingen av personuppgifter i kvalitetsregistren.
Följande personuppgifter som ingår i journalhandlingar eller i andra handlingar som upprättats inom Ålands hälso- och sjukvård i samband med att vård eller service tillhandahållits en patient får, oberoende av sekretessbestämmelserna och med stöd av artiklarna 9.2 i och 9.2 j i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), genom en teknisk anslutning eller på något annat elektroniskt sätt överföras till kvalitetsregister för sekundär användning, om sådan sekundär användning är nödvändig för de ändamål som anges i 1 mom.:
1) patientens namn, födelseort, folkbokföringsadress, utbildning, yrke, och personbeteckning eller, om personbeteckningen inte är känd, födelsetid,
2) grunden för och behovet av hälso- och sjukvårdstjänster,
3) uppgifter om sjukdom, sjukdomsförloppet, skada eller medicinskt tillstånd samt till dessa anknytande planer, åtgärder, beslut, observationer, diagnoser, behandlingsmetoder, undersökningsresultat, fysiologiska mätningar, prov, utlåtanden, intyg, medicinering, rehabilitering, uppföljning och motsvarande omständigheter som gäller patientens tillstånd, dock inte genetiska uppgifter, uppgifter om smittsamma sjukdomar, vaccineringar, psykiatrisk tvångsvård, avbrytande av havandeskap, kastrering, sterilisering, konstbefruktning och rättsmedicinska undersökningar,
4) dödsorsak, dock inte i sådana fall där dödsorsaken fastställts genom rättsmedicinsk undersökning, döden har orsakats av en smittsam sjukdom eller i sådana fall där en person förklarats död med stöd av lagen (FFS 127/2005) om dödförklaring,
5) bild-, ljud- och videoupptagningar som hänför sig till patientvården,
6) uppgifter om verksamhetsenhet och personal som deltagit i vården och andra resurser som använts för tjänsterna och kostnaderna för dessa resurser,
7) ställningstaganden som gjorts i fråga om val av behandlingsalternativ,
8) enkätsvar, intervjuer och andra opinionsundersökningar som ger uttryck för patientens upplevelse av och tillfredsställelse med hälso- och sjukvården.
Utöver de begränsningar som följer av 4 mom. 3‒4 punkterna får i ett kvalitetsregister inte behandlas klientuppgifter som Ålands hälso- och sjukvård har fått tillgång till genom sådant samarbete med socialvården som avses i 19 och 19a §§.
Personuppgifter får inte behandlas i ett kvalitetsregister, om den enskilde motsätter sig det. Om den enskilde motsätter sig personuppgiftsbehandlingen efter att uppgifterna tillgängliggjorts i kvalitetsregistret, ska uppgifterna raderas ur registret så snart som möjligt.
15b §
Förvaltning och styrning av kvalitetsregister
För intern styrning, uppföljning och kontroll av kvalitetsregister tillsätter styrelsen för Ålands hälso- och sjukvård för en treårsperiod en registerstyrgrupp som ska bestå av sakkunniga inom områdena medicin, vetenskaplig forskning, informationssäkerhet, dataskydd och statistik. Styrelsen för Ålands hälso- och sjukvård utser en ordförande och en vice ordförande bland registerstyrgruppens medlemmar.
Registerstyrgruppen ska
1) bedöma behovet av och ändamålsenligheten i att upprätta ett kvalitetsregister,
2) i form av en kostnads-nyttoanalys bedöma nyttan av ett kvalitetsregister i förhållande till de kostnader som förandet av registret innebär för verksamheten,
3) utifrån kvalitetsregistrets användningsändamål och inom de ramar som anges i 15a § 4 mom. specificera vilka personuppgifter som får behandlas i registret och vilka förfaranden som ska iakttas vid uppgiftsinsamlingen,
4) organisera och genomföra arbetet med konsekvensbedömningar enligt artikel 35 i dataskyddsförordningen för att identifiera och analysera vilka hot och integritetsrisker behandlingen av personuppgifter i ett kvalitetsregister kan medföra,
5) tillse att kvalitetsregistren uppfyller de krav på säkerhet som ställs på hälso- och sjukvårdens informationssystem i landskapslagstiftningen,
6) fastställa villkor för tilldelning av behörighet för åtkomst till uppgifter i kvalitetsregister samt se till att det finns rutiner för förändring, borttagning och regelbunden uppföljning av åtkomstbehörigheterna,
7) förse den gemensamma informationspunkten som avses i artikel 8 i Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten) med information om vilka uppgifter som gjorts tillgängliga för sekundär användning i kvalitetsregister och de villkor som ställts upp för sådan sekundär användning,
8) minst vartannat år för varje enskilt kvalitetsregister, som inte överförts till landskapsarkivet för bevarande, följa upp och bedöma nödvändigheten i att fortsätta föra registret.
Styrelsen för Ålands hälso- och sjukvård beslutar utifrån de bedömningar som gjorts enligt 2 mom. 1‒6 punkterna om det ska äskas anslag för upprättandet av ett kvalitetsregister i det budgetförslag som årligen ska tillställas landskapsregeringen.
Styrelsen för Ålands hälso- och sjukvård kan vid behov tillsätta arbetsgrupper som stöd för registerstyrgruppens verksamhet.
Närmare bestämmelser om registerstyrgruppens interna arbetsfördelning, behandling av ärenden och övriga verksamhetsarrangemang får intas i reglementet för Ålands hälso- och sjukvård.
Styrelsen för Ålands hälso- och sjukvård ska i samband med att ett kvalitetsregister upprättas utse en registerhållare som ska ansvara för driften av registret.
Registerhållaren ska
1) ha ingående kunskaper om kvalitetsregistrets innehåll och funktionalitet,
2) tillgodose rätten att ta del av uppgifter i kvalitetsregistret,
3) samråda med registerstyrgruppen innan beslut fattas av registerhållaren avseende en begäran om att få ta del av uppgifter ur kvalitetsregistret för vetenskaplig forskning.
Landskapsregeringen ska, när så är nödvändigt, bistå registerstyrgruppen och registerhållaren med sådant stöd som avses i artikel 7.4 a‒d punkterna i dataförvaltningsakten.
15c §
Åtkomsträtt och logguppföljning
Rätten att använda uppgifter som införts i kvalitetsregister ska avgränsas till sådana uppgifter som är nödvändiga för att en enskild yrkesutbildad person eller annan anställd personal inom Ålands hälso- och sjukvård ska kunna utföra sina arbetsuppgifter.
Ålands hälso- och sjukvård ska föra register över personal som på grund av sina arbetsuppgifter har rätt att behandla nödvändiga uppgifter i ett eller flera kvalitetsregister. I sådana användarregister ska antecknas namn och personnummer på de personer som beviljats åtkomsträtt till uppgifter i kvalitetsregister samt åtkomsträttigheternas omfattning och giltighetstid.
För att följa upp att endast behöriga personer har åtkomst till personuppgifter i kvalitetsregister ska Ålands hälso- och sjukvård särskilt för varje kvalitetsregister föra logg. I loggarna ska föras in uppgifter som är nödvändiga för att Ålands hälso- och sjukvård ska kunna göra systematiska och återkommande kontroller av åtkomsten till uppgifter i kvalitetsregister.
De logguppgifter som enligt 3 mom. ska användas för att följa upp åtkomsten till personuppgifter i ett kvalitetsregister ska förvaras så att de behåller sin integritet och oförvanskade form i minst 12 år efter logghändelsen.
Närmare bestämmelser om de uppgifter som ska registreras och föras in i loggarna får utfärdas genom landskapsförordning.
15d §
Utlämnande av uppgifter
Den registrerade har rätt att på skriftlig begäran ta del av logguppgifter som gäller behandlingen av dennes personuppgifter i kvalitetsregister. Den registrerade har dock inte rätt att få logguppgifter, om utlämnandet av uppgifterna kan medföra allvarlig fara för den registrerades hälsa eller vård eller för den registrerades eller någon annans rättigheter eller om utlämnandet av dem kan försvåra utredning av brott eller skada den allmänna ordningen och säkerheten.
Uppgifter i kvalitetsregister som inte omfattas av den uppgiftsskyldighet som gäller för landskapets myndigheter enligt 7 § i statistiklagen (1994:42) för landskapet Åland och som är äldre än fyra år vid tidpunkten för begäran om utlämnande får utan hinder av sekretessbestämmelserna lämnas ut till Ålands statistik- och utredningsbyrå, om behandlingen är nödvändig för framställning av statistik. Uppgifterna ska lämnas ut i anonymiserad form när det är möjligt med avseende på framställningen av statistiken.
Ur ett kvalitetsregister får det utan hinder av sekretessbestämmelserna i enskilda fall lämnas ut uppgifter som är nödvändiga för att bedriva vetenskaplig forskning, förutsatt att den vetenskapliga forskningens frihet är tryggad, att forskningen grundar sig på en forskningsplan, att det finns en ansvarig person eller en grupp som ansvarar för forskningen och att samhällsintresset av forskningen där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Om villkoren uppfylls och tillstånd kan beviljas för att ta del av uppgifter för vetenskaplig forskning, ska uppgifterna lämnas ut pseudonymiserade, krypterade eller anonymiserade, under förutsättning att dessa åtgärder inte hindrar forskningens syfte. Om uppgifterna lämnas ut i annan form än som anonymiserade, får mottagaren förvara och använda uppgifterna endast så länge som forskningen varar enligt forskningsplanen.
15e §
Bevarande och förstörande av uppgifter
Personuppgifter får sparas i ett kvalitetsregister i 10 år, varefter de ska förstöras omedelbart och på ett sådant sätt att utomstående inte får kännedom om dem. Landskapsregeringen kan dock i enlighet med vad som föreskrivs i arkivlagen (2004:13) för landskapet Åland besluta om att personuppgifter som ingår i ett kvalitetsregister ska bevaras en längre tid eller varaktigt, om det är nödvändigt för arkivändmål av allmänt intresse enligt artikel 9.2 j i dataskyddsförordningen.
Personuppgifter som ingår i sådana användarregister som avses i 15c § 2 mom. ska förstöras senast tre år efter att det kvalitetsregister till vilket åtkomsträtt beviljats avvecklats eller överförts till landskapsarkivet.
De logguppgifter som enligt 3 mom. ska användas för att följa upp åtkomsten till personuppgifter i ett kvalitetsregister ska förvaras så att de behåller sin integritet och oförvanskade form i minst 12 år efter logghändelsen
Denna lag träder i kraft den
2.
L A N D S K A P S L A G
om ändring av 20 § landskapslagen om hälso- och sjukvård
I enlighet med lagtingets beslut ändras 20 § 3 mom. landskapslagen (2011:114) om hälso- och sjukvård som följer:
20 §
Vårdgarantin
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Ålands hälso- och sjukvård ska ordna sin verksamhet inom den specialiserade sjukvården så att den som är akut sjuk omedelbart får den vård som hans eller hennes tillstånd förutsätter. För att få vård inom den specialiserade sjukvården för icke-brådskande sjukvård krävs en på läkarundersökning grundad remiss. Bedömningen av vårdbehovet ska inledas inom tre veckor från det att remissen anlände till den mottagande verksamhetsenheten. Om bedömningen av vårdbehovet förutsätter en bedömning av en specialist, särskild bildiagnostik eller särskilda laboratorieundersökningar, ska bedömningen och de behövliga undersökningarna göras inom tre månader från det att remissen anlände till verksamhetsenheten. Vård som konstateras vara medicinskt nödvändig ska, med beaktande av hur brådskande vården är, ordnas och inledas inom en skälig tid, dock senast inom sex månader från det att vårdbehovet konstaterades. För barn och ungdomar till och med 22 års ålder ska den vård inom psykiatrin som konstaterades vara nödvändig med beaktande av hur brådskande vården är ordnas inom tre månader om inte medicinska, terapeutiska eller andra motsvarande omständigheter kräver annat.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Denna lag träder i kraft den .
Mariehamn den 6 juni 2024 | |
L a n t r å d |
Katrin Sjögren |
Föredragande minister |
Arsim Zekaj |
Parallelltexter
· Parallelltexter till landskapsregeringens lagförslag nr 17/2023-2024
[1] Med uttrycket ”behandling av personuppgifter” avses bl.a. att samla in, registrera, organisera, använda, överföra, lämna ut, bevara, skydda eller förstöra personuppgifter, antingen elektroniskt eller manuellt.
[2] Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
[3] Se t.ex. GrUU 14/2018 rd.
[4] Se t.ex. 5 i § i lagen (FFS 668/2008) om Institutet för hälsa och välfärd och 7 kap. 1 § i den svenska patientdatalagen (SFS 2008:355).
[5] Sekretessbestämmelserna i rikets patientlag ska i enlighet med landskapslagen (2023:121) om ändring av 1 § landskapslagen om patientens ställning och rättigheter tillämpas på Åland även efter den 1 januari 2024 då lagen (FFS 703/2023) om kunduppgifter inom social- och hälsovården träder i kraft.
[6] Europeiska dataskyddsstyrelsen (EDPB), Gemensamt yttrande 03/2021 från EDPB och EDPS om förslaget till Europaparlamentets och rådets förordning om dataförvaltning (dataförvaltningsakten), version 1.1, den 9 juni 2021, s. 24.
[7] Landskapsregeringen noterar att det i vissa fall används olika begrepp i rikslagstiftningen och i EU-lagstiftningen för att beskriva en åtgärd som syftar till att behandla personuppgifter för andra ändamål än det för vilket uppgifterna ursprungligen samlades in och registrerades. I riket har lagstiftaren anammat begreppet sekundär användning (eller behandling av personuppgifter för sekundära ändamål) för att beskriva en sådan åtgärd som avses i artikel 6.4 i dataskyddsförordningen. EU-lagstiftaren har i sin tur valt att använda begreppet vidareutnyttjande i dataförvaltningsakten (Europaparlamentets och rådets förordning (EU) 2022/868 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724, medan begreppet sekundär användning figurerar i Europeiska kommissionens förslag till lagstiftning på det europeiska hälsodataområdet (COM 2022, 197 final), som uttryckligen syftar till att underlätta utlämning av hälsodata. Den föreslagna hälsodataförordningen EHDS är tänkt att komplettera de övergripande bestämmelserna i dataförvaltningsakten (se kapitel 1.5). Eftersom kvalitetsregistren kan komma att utgöra en del av ett större europeiskt e-hälsonätverk inom en nära framtid, bedömer landskapsregeringen att det i förevarande fall är mest ändamålsenligt att använda samma begreppsapparat som i den under beredning varande europeiska speciallagstiftningen på hälsodataområdet.
Vidare kan nämnas att man i Sverige också laborerat med begreppet vidareanvändning, delvis p.g.a. att begreppet sekundäranvändning lätt kan associeras med något mindre viktigt än det primära ändamålet vård. Se Statens Offentliga Utredningar (SOU 2023:76), Vidareanvändning av hälsodata för vård och klinisk forskning del 1, Stockholm 2023, s. 99.
[8] Se t.ex. GrUU 14/2018 rd och GrUU 52/2022 rd.
[9] Se t.ex. 4 § i lagen om behandling av personuppgifter vid Brottspåföljdsmyndigheten (FFS 1301/2021).
[10] GrUU 32/2012 rd och GrUU 9/2014 rd.
[11] Se även Regeringens proposition till riksdagen med förslag till lag om behandling av kunduppgifter inom social- och hälsovården och till lagar som har samband med den, RP 246/2022 rd, s. 70.
[12] Till exempel hemvård består av socialvårdens hemservice och ÅHS hemsjukvård.
[13] Enligt 2 § i landskapsförordningen (2020:112) om samverkansavtal inom socialvård och hälso- och sjukvård ska i samverkansavtalet mellan aktörerna regleras bl.a. de övergripande rutinerna för samarbetet.
[14] Ålands landskapsregering, Lag-PM om kvalitetsregister inom hälso- och sjukvård, den 9 maj 2023, Dnr ÅLR 2023/3521, s. 5; Ålands lagting, Ålands lagtings beslut om antagande av landskapslag om privat hälso- och sjukvård, den 18 december 2023, beslut LTB 96/2023, LF 1/2023‒2024.
[15] De kvalitetsregister som THL för närvarande ansvarar för är: diabetesregistret, HIV-registret, njursjukdomsregistret, kvalitetsregister för behandling av psykoser, ryggregistret, kvalitetsregistret för behandling av mun- och tandsjukdomar, hjärtregistret, intensivvårdsregistret och kvalitetsregistret för inflammatoriska ledsjukdomar. Se https://thl.fi/sv/teman/ledningen-av-social-och-halsovardstjanster/utvardering-och-uppfoljning/informationsunderlag-och-verktyg/nationella-kvalitetsregister-for-halso-och-sjukvarden.
[16] EU-domstolens dom i mål C-708/18, avkunnat den 11 december 2019, punkt 55.
[17] EU-domstolens dom i mål C-140/20, avkunnat den 5 april 2022, punkterna 53‒54.
[18] Se t.ex. EU-domstolens domar i följande mål: C-511/18, C-512/18 och C-520/18.
[19] Riksdagens biträdande justitieombudsman, Tillsynen av vårdgarantin på Åland, beslut av den 27 december 2022, dnr EOAK/1190/2019.
[20] Se artikel 168.7 i fördraget om Europeiska unionens funktionssätt (FEUF) av den 13 december 2007, Europeiska unionens officiella tidning nr C 326, 26/10/2012 s. 0001‒0390.
[21] Se t.ex. Högsta domstolens utlåtande gällande Ålands lagtings beslut 21.11.2018 om antagande av landskapslagar i punkterna 1‒17, givet den 5 mars 2019, OH2019/11.
[22] Regeringens proposition till Riksdagen med förslag till ny självstyrelselag för Åland, RP 73/1990 rd, s. 76.
[23] Det bör understrykas att föreliggande lagförslag har utformats med utgångspunkt i det rättsläge som rådde vid tidpunkten för beredningen. Ifråga om smittsamma sjukdomar och administrativa ingrepp i den personliga friheten finns det dock skäl att erinra om att den så kallade Ålandsarbetsgruppen som tillsattes av justitieministeriet den 24 mars 2023 föreslagit bl.a. att förvaltningsbehörigheten rörande bekämpning av smittsamma sjukdomar ska förtydligas och att lagstiftningsbehörigheten för sådana administrativa ingrepp i den personliga friheten som sker inom hälso- och sjukvården samt socialvårdens område ska överföras från riket till landskapet. Arbetsgruppens förslag skickades på remiss den 29 januari 2024. Ifall arbetsgruppens arbete resulterar i konkreta förändringar i behörighetsfördelningen mellan Åland och riket, kan det också finnas anledning att begrunda vilka konsekvenser dessa förändringar får för ÅHS rätt att behandla uppgifter om t.ex. smittsamma sjukdomar i kvalitetsregister.
[24] Se Ålands landskapsregering, Utlåtande gällande lagstiftningsbehörighet kring människans genom, protokoll från enskild föredragning den 14 augusti 2018, ÅLR 2018/916 samt Ålands landskapsregering, Utlåtande till regeringens proposition med förslag till biobankslag och till vissa lagar som har samband med den, den 23 februari 2021, ÅLR 2021/321. Samtidigt betonades vikten av att den åländska befolkningen ges möjlighet att lämna in sina prov till genomcentret i Finland och att den åländska hälso- och sjukvården ges tillgång till nödvändiga uppgifter i genomcentret på samma premisser som gäller för övriga vårdenheter inom hälso- och sjukvården i Finland.
[25] Se t.ex. 2 § 4 mom. i landskapslagen (2002:81) om högskolan på Åland enligt vilken det åligger högskolan att ”värna om vetenskapens trovärdighet, fri forskning och god forskningssed”.
[26] Ålands landskapsregering, lagförslag nr 14/2017‒2018, Dataskydd inom landskaps- och kommunalförvaltningen, den 8 mars 2018, s. 58.
[27] Se t.ex. GrUU 4/2021 rd.
[28] GrUU 15/2018 rd,
[29] Se t.ex. GrUU 4/2021 rd.
[30] Ålands landskapsregering, lagförslag nr 8/2020‒2021, Ny offentlighetslagstiftning, den 26 november 2020, s. 88‒89.
[31] Se t.ex. Ålandsdelegationens utlåtande avseende landskapslag om ändring av 9 och 17 §§ landskapslagen om allmänna handlingars offentlighet och landskapslag om ändring av 2 § landskapslagen om tillämpning i landskapet Åland av lagen om patientens ställning och rättigheter, nr 17/19, D 10 19 01 18 ‒ D 10 19 01 19 samt GrUU 17/2018 rd.
[32] Motsvarande beslut har fattats av riksarkivet rörande bl.a. Institutet för hälsa och välfärds register om cancersjukdomar, synskador och aborter. Se riksarkivets beslut av den 1 mars 2013, dnr. AL/4001/07.01.01.0.01/2013.