2
Nuläge och bedömning av nuläget
2.1
2.1 Ordnande av social- och hälsovården i Nyland
I lagen om ordnande av social- och hälsovården och räddningsväsendet i Nyland (615/2021, nedan Nylandslagen) finns det bestämmelser om ansvaret för att ordna social- och hälsovård och om fördelningen av ansvaret mellan välfärdsområdena och HUS-sammanslutningen samt om ordnandet av HUS-sammanslutningens och Helsingfors stads förvaltning.
I enlighet med 4 § i Nylandslagen har fyra välfärdsområden i landskapet Nyland (Östra Nylands välfärdsområde, Mellersta Nylands välfärdsområde, Västra Nylands välfärdsområde, Vanda och Kervo välfärdsområde) samt Helsingfors stad det primära organiseringsansvaret för social- och hälsovården. HUS-sammanslutningen har organiseringsansvaret för de uppgifter som den har enligt 5 § i Nylandslagen och för de uppgifter som har överförts till den med stöd av det organiseringsavtal för HUS som avses i 9 § i den lagen. Enligt organiseringsavtalet för HUS kan välfärdsområdena på olika sätt överföra uppgifter till HUS-sammanslutningen. Nylands välfärdsområden och Helsingfors stad har finansieringsansvar för HUS-sammanslutningens verksamhet. Fördelningen av finansieringsansvaret fastställs i grundavtalet för HUS-sammanslutningen.
2.2
2.2 Behandling av patientuppgifter i Nyland
Inom Nylands område har olika myndigheter organiseringsansvaret för hälso- och sjukvårdstjänsterna, och patientuppgifterna finns sålunda i olika personuppgiftsansvarigas register, till skillnad från i de övriga välfärdsområdena. I sitt utlåtande om social- och hälsovårdsreformen (GrUU 17/2021 rd – RP 241/2020 rd) har grundlagsutskottet inte framfört några särskilda synpunkter angående bestämmelserna om behandling av patientuppgifter i särlösningen för Nyland. Inom Nylands område bor cirka 30 procent av Finlands befolkning, i juni 2021 cirka 1,7 miljoner personer, vilket innebär att bestämmelserna om behandlingen av patientuppgifter inverkar på en betydande andel av befolkningen.
I enlighet med 58 § i lagen om ordnande av social- och hälsovård (612/2021) har välfärdsområdena rätt att trots sekretessbestämmelserna behandla kunduppgifter i sina register. Vart och ett av Nylands välfärdsområden, Helsingfors stad och HUS-sammanslutningen har sina egna myndigheter, så mellan dem är det fråga om utlämnande och inte användning av uppgifter. Därför kan bestämmelserna inte vara helt likadana som i andra välfärdsområden. De övriga personuppgiftsansvarigas patientuppgifter kan med stöd av ett tillstånd för utlämnande lämnas ut från Kanta-tjänsterna omedelbart efter det att en tjänstetillhandahållare har fört in uppgifterna i Kanta-tjänsterna. Vehko T, Kyytsönen M, Jormanainen V, Hautala S, Saranto K, Vänskä J, Keränen N, Reponen J: (2021). Kanta-palvelut terveydenhuollossa ja sosiaalihuollossa sekä väestön Omakannan käyttö. (Kanta-tjänsterna inom hälso- och sjukvården och socialvården samt befolkningens användning av Mina Kanta-sidorna). Tutkimuksesta tiiviisti 67/2021 (på finska). Institutet för hälsa och välfärd, Helsingfors. Dessutom ger lagen om patientens ställning och rättigheter (785/1992, nedan patientlagen) möjlighet att på grundval av samtycke lämna ut patientuppgifter. På grundval av samtycke kan till exempel till en remiss fogas de patientuppgifter som det bedöms att behövs i den vård som ges på basis av remissen. I patientlagen finns också bestämmelser om rätten att utan samtycke lämna ut uppgifter, om patienten på grund av medvetslöshet eller någon annan motsvarande orsak inte kan fatta beslut om att ge samtycke. I dessa så kallade nödsituationer kan uppgifter också lämnas ut från Kanta-tjänsterna oberoende av tillstånd för eller förbud mot att lämna ut uppgifter.
2.3
2.3 Gemensamt register enligt 9 § i hälso- och sjukvårdslagen
I enlighet med 9 § i hälso- och sjukvårdslagen (1326/2010) har verksamhetsenheterna inom hälso- och sjukvården inom sjukvårdsdistriktets område ett gemensamt register. Mellan verksamhetsenheterna inom sjukvårdsdistriktets område får patientuppgifter lämnas ut till andra verksamhetsenheter efter det att patienten har informerats om det gemensamma patientregistret. Patienten har också rätt att förbjuda utlämnade av sina uppgifter. I regeringens proposition till riksdagen med förslag till lagar om ändring av lagstiftningen om social- och hälsovården och räddningsväsendet samt av vissa andra lagar med anledning av lagstiftningen om inrättande av välfärdsområden och om en reform av ordnandet av social- och hälsovården och räddningsväsendet (RP 56/2921 rd) föreslås det att 9 § i hälso- och sjukvårdslagen ska upphävas.
I regeringens proposition RP 90/2010 rd, där 9 § i hälso- och sjukvårdslagen behandlas, konstateras följande på sida 102: ”Vården av en patient börjar ofta med ett besök inom primärvården, där det konstateras att patienten lider av en sjukdom, och i ett visst skede av vården behövs det ofta specialkunnande.
Inom den specialiserade sjukvården är man i fråga om såväl utbildning och erfarenhet som ordnandet och genomförandet av verksamheten utrustad med sådant specialkunnande. När specialkunnande behövs konsulterar primärvården den specialiserade sjukvården, eller så sänds patienten över till ett sjukhus för fortsatta undersökningar eller vård. Efter undersökningarna och vården på sjukhus återgår i allmänhet ansvaret för patientens fortsatta vård till primärvården. Vården av patienten kan dock även inledas direkt inom den specialiserade sjukvården, t.ex. vid en jourmottagning, och då är det ofta nödvändigt att få de uppgifter om patientens sjukdomar och behandlingar som finns i primärvårdens journalhandlingar.
I de fall som nämnts är det, oberoende av administrativa gränser, nödvändigt att från både primärvården och den specialiserade sjukvården få tillgång till uppgifter om patientens sjukdomshistora när han eller hon undersöks eller vårdas. Man håller på att bygga upp ett nationellt hälso- och sjukvårdsarkiv i vårt land, och efter att det är klart är det möjligt att oberoende av vårdplatsen få tillgång till de patientuppgifter som behövs för vården av patienten. Det dröjer dock ännu flera år innan det nationella hälso- och sjukvårdsarkivet kan förverkligas.
Av denna anledning föreslås det i 1 mom. att journalhandlingarna inom primärvården och den specialiserade vården för de klienter som bor inom området för ett sjukvårdsdistrikt bildar ett gemensamt register över patientuppgifter inom hälso- och sjukvården. Detta gemensamma register över patientuppgifter föreslås innehålla alla handlingar från de kommunala verksamhetsenheterna, oberoende av när de har gjorts upp eller hur de har sparats. Det gemensamma registret kan däremot inte omfatta privata verksamhetsenheter inom hälso- och sjukvården – inte ens fast de helt skulle ägas av kommunen eller samkommunen. Med stöd av bestämmelsen är det möjligt att se till att sådana patientuppgifter som är nödvändiga för god vård är lättare tillgängliga än nu inom sjukvårdsdistriktets område.”
Såsom det framgår på sidan 102 i motiveringen till regeringens proposition (RP 90/2010 rd) var det ursprungligen tänkt att regleringen av behandlingen av personuppgifter i enlighet med 9 § i hälso- och sjukvårdslagen skulle vara en tillfällig lösning tills uppgifterna oberoende av administrativa gränser finns tillgängliga i ett nationellt hälso- och sjukvårdsarkiv. Med ett hälso- och sjukvårdsarkiv avsågs riksomfattande informationssystemtjänster, med andra ord de så kallade Kanta-tjänsterna, genom vilka det redan en längre tid har varit möjligt att oberoende av de administrativa gränserna och på basis av ett omfattande samtycke av patienten som gäller tills vidare få ovannämnda patientuppgifter av tjänstetillhandahållare inom hälso- och sjukvården i hela Finland. I fortsättningen kommer i och med lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården (784/2021, nedan kunduppgiftslagen) även klientuppgifter inom socialvården att oberoende av organisationsgränser vara tillgängliga med stöd av ett tillstånd att lämna ut uppgifter.
Social- och hälsovårdsministeriet har begärt en utredning av Folkpensionsanstalten om huruvida de uppgifter som avses i 9 § i hälso- och sjukvårdslagen förmedlas i realtid också via Kanta-tjänsterna från en tjänstetillhandahållare till en annan. Enligt Folkpensionsanstalten kan uppgifterna lämnas ut i realtid genast när de har överförts från patientdatasystemet till Kanta-tjänsterna. Kanta-tjänsterna är inte ett arkiv för patientuppgifter, utan en mycket omfattande och internationellt mycket högt uppskattad helhet av informationssystem. I den ingår bland annat ett informationslager enligt lagen om informationshantering inom den offentliga förvaltningen (906/2019, nedan informationshanteringslagen). Den omfattar dock inte något egentligt användargränssnitt genom vilket yrkesutbildade personer skulle kunna se patientuppgifterna, utan det är respektive leverantör av patientdatasystem som ska genomföra sådana gränssnitt. Med tanke på ordnandet och produktionen av tjänster kan de patientuppgifter som förts in i Kanta-tjänsterna förmedlas i realtid även i Nyland.
2.4
2.4 Förslag till upphävande av 9 § i hälso- och sjukvårdslagen (RP 56/2021 rd)
Eftersom det inte längre finns regeringspropositionsenliga motiveringar för att 9 § ska finnas kvar i hälso- och sjukvårdslagen och eftersom det har bedömts att paragrafen i fråga om bestämmelserna om registerföring och behandling av personuppgifter inte motsvarar Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan den allmänna dataskyddsförordningen, och grundlagens krav, har det vid ministeriet redan en längre tid identifierats ett behov av att upphäva 9 § i hälso- och sjukvårdslagen som onödig. I och med regeringens proposition till riksdagen med förslag till lagstiftning om inrättande av välfärdsområden och om en reform av ordnandet av social- och hälsovården och räddningsväsendet samt till lämnande av underrättelse enligt artiklarna 12 och 13 i Europeiska stadgan om lokal självstyrelse (RP 241/2020 rd) övergår dessutom organiseringsansvaret från kommunerna, samkommunerna och sjukvårdsdistrikten till välfärdsområdena, Nylands välfärdsområden, Helsingfors stad och HUS-sammanslutningen. Den i 9 § i hälso- och sjukvårdslagen nämnda samkommunen för ett sjukvårdsdistrikt och kommunerna inom sjukvårdsdistriktets område sköter inte längre uppgifterna i fråga (RP 241/2020, regeringens proposition till riksdagen med förslag till lagstiftning om inrättande av välfärdsområden och om en reform av ordnandet av social- och hälsovården och räddningsväsendet samt till lämnande av underrättelse enligt artiklarna 12 och 13 i Europeiska stadgan om lokal självstyrelse). Upphävandet av 9 § i hälso- och sjukvårdslagen är en följd av ovannämnda regeringsproposition.
De gällande bestämmelserna enligt 9 § 2 mom. i hälso- och sjukvårdslagen är, även om de har tillkommit genom grundlagsutskottets medverkan (GrUU 41/2010 rd) allmänna, och behandlingen av personuppgifter är inte kopplad till nödvändighetskriteriet (se GrUU 15/2018 rd) eller behovet (GrUU 17/2016 rd, s. 2–3 och GrUU 38/2016 rd, s. 3). Såsom grundlagsutskottet har konstaterat visar till exempel social- och hälsovårdsministeriets förordning om journalhandlingar (298/2009) att det i och för sig är möjligt att utfärda betydligt noggrannare bestämmelser om patientuppgifter inom hälso- och sjukvården. I 9 § i hälso- och sjukvårdslagen anges det inte heller tydligt vilken aktör som ska pröva om patientuppgifter ska lämnas ut. Å andra sidan har utskottet ansett att grundlagen inte tillåter en generös och ospecificerad rätt att få uppgifter, inte ens om den är förenad med nödvändighetskriteriet (se till exempel GrUU 71/2014 rd, s. 3/I, GrUU 62/2010 rd, s. 4/I, GrUU 59/2010 rd, s. 4/I–II), vilket den i detta fall inte är. Enligt 15 § i informationshanteringslagen ska myndigheterna säkerställa genom adekvata säkerhetsåtgärder i fråga om sina informationsmaterial att informationsmaterialets oföränderlighet har verifierats tillräckligt väl, att informationsmaterialen har skyddats mot tekniska och fysiska skador och att informationsmaterialens ursprung, uppdatering och felfrihet har verifierats. Enligt informationshanteringslagen ska dessutom med beaktande av vad som särskilt föreskrivs om rätten till information och om skydd för personuppgifter, myndigheten se till att informationsmaterialet är tillgängligt och att materialet med tillhörande metadata kan utnyttjas i ett allmänt maskinläsbart format, om materialet kan omvandlas direkt från originalformatet till maskinläsbart format. Enligt 4 § 2 mom. i lagen om elektronisk behandling av klientuppgifter inom social- och hälsovården (159/2007, nedan klientuppgiftslagen), som gällde när RP 56/2021 rd bereddes, ska det av en elektronisk klienthandling finnas endast ett original som är specificerat med en identifikation. För att tillhandahålla en tjänst eller av någon annan grundad anledning kan av originalet tas en kopia av vilken det ska framgå att handlingen är en kopia. Utgångspunkten är alltså att social- och hälsovårdsaktörerna i Nyland endast ska använda de ursprungliga kundhandlingarna i Kanta-tjänsterna.Bland annat professor Tomi Voutilainen har fäst uppmärksamhet vid detta i sitt utlåtande den 9 december 2020 till grundlagsutskottet om den nya kunduppgiftslagen (RP 212/2020 rd) se s. 3 (på finska).. Behandling av kopierade patientuppgifter i enlighet med 9 § i hälso- och sjukvårdslagen är inte heller lämpligt med hänsyn till minimeringsprincipen enligt artikel 5 i den allmänna dataskyddsförordningen.
Bestämmelserna i 9 § i hälso- och sjukvårdslagen är föråldrade och problematiska i konstitutionellt hänseende.
Social- och hälsovårdsutskottet har i sitt betänkande ShUB 16/2021 rd konstaterat att i ”sakkunnigutfrågningar har det lyfts fram ett problem som hänför sig till behandlingen av patientuppgifter i Nylands välfärdsområden. Problemet är att förslaget inte innehåller bestämmelser om ett sådant samregister för HUS-området som för närvarande finns bestämmelser om i 9 § i hälso- och sjukvårdslagen. Utskottet konstaterar att beredningen av ärendet har tagits in i det så kallade Sote100-lagförslaget (RP 56/2021 rd). Utskottet anser det vara viktigt att säkerställa att integrationen av information i praktiken inte äventyras i Nyland och utskottet kommer att behandla registerföringen i välfärdsområdena i Nyland i samband med propositionen i fråga.”
Eftersom den reglering som ersätter 9 § förutsätter sådana bestämmelser om behandling av sekretessbelagda och känsliga personuppgifter som begränsar de grundläggande fri- och rättigheterna, kan ändringar inte göras i samband med riksdagsbehandlingen av regeringspropositionen i fråga. Ändringar förutsätter konsekvensbedömningar enligt normal god lagberedning, inklusive konsekvensbedömningar av dataskydd samt konsekvensbedömningar och höranden i enlighet med informationshanteringslagen. Grundlagsutskottet har i sin utlåtandepraxis också starkt kritiserat bristfälligt beredda regeringspropositioner, som man i samband med riksdagsbehandlingen har varit tvungen att avsevärt omarbeta och bereda på nytt. I till exempel GrUU 4/2021 rd konstateras att ”ändringarna inte kan göras i riksdagen utan måste göras i en regeringsproposition. Utskottet har ansett att det är nödvändigt och hör till god lagstiftningssed att beredningen av ett ärende åläggs statsrådet, i synnerhet om det i en regeringsproposition föreslås mycket avgörande ändringar som i väsentlig grad påverkar de grundläggande lösningarna i propositionen (GrUU 9/2020 rd, s. 3, GrUU 26/2017 rd, s. 76, se även GrUU 75/2014 rd, s. 8/II). Utskottet anser dessutom att det är klart att sådana regleringslösningar ska föreläggas grundlagsutskottet för ny bedömning.” Enligt regeringens uppfattning är detta dock möjligt genom denna kompletterande regeringsproposition.
2.5
2.5 Personuppgiftsansvar och rätt att behandla patientuppgifter i den personuppgiftsansvariges verksamhet
I 58 § i lagen om ordnande av social- och hälsovård och i 25 § i Nylandslagen finns det bestämmelser om personuppgiftsansvaret för de behöriga myndigheter inom välfärdsområdena och HUS-sammanslutningen som ansvarar för att ordna social- och hälsovårdstjänsterna. Helsingfors nämns inte särskilt i bestämmelserna, eftersom det var tänkt att Helsingfors skulle ingå i begreppet välfärdsområde.
I 58 § 2 mom. i lagen om ordnande av social- och hälsovård föreskrivs det om rätten för verksamhetsenheter inom ett välfärdsområde att trots sekretessbestämmelserna behandla patientuppgifter som finns i det ifrågavarande välfärdsområdets register. Med sekretessbestämmelser avses bland annat 13 § i patientlagen, där begreppet utomstående och samtycke som villkor för utlämnande av uppgifter är bundna till begreppet verksamhetsenhet. Motsvarande bestämmelser saknas i 25 § i Nylandslagen.
5
Alternativa handlingsvägar
5.1
Handlingsalternativen och deras konsekvenser
I regel är de gällande bestämmelserna i patientlagen, kunduppgiftslagen, lagen om ordnande av social- och hälsovård och Nylandslagen tillräckliga för att säkerställa tillgången till nödvändiga patientuppgifter för tjänstetillhandahållarna inom hälso- och sjukvården i landskapet Nyland. Eftersom det i social- och hälsovårdsutskottets betänkande förutsätts en proposition med förslag till ytterligare bestämmelser har man identifierat flera olika möjliga ytterligare bestämmelser. De grundar sig på tjänstetillhandahållarens rätt att få uppgifter och lämna ut patientuppgifter, inklusive patientens rätt att bestämma om utlämnande av uppgifter genom tillstånd och förbud samt på den personuppgiftsansvariges och personuppgiftsbiträdets ansvar.
Förslag till permanenta bestämmelser om utlämnande av patientuppgifter inom social- och hälsovården ges i samband med totalreformen av lagstiftningen om informationshantering. På detta sätt säkerställs det att lagstiftningen blir enhetlig på riksnivå och förståelig för kunderna och de yrkesutbildade personerna. Alternativt hade separata ytterligare bestämmelser för Nyland kunnat föreslås i samband med detta lagförslag, varvid helheten av bestämmelser skulle ha blivit mer svårbegriplig och trots det inte nödvändigtvis skulle ha motsvarat behoven hos aktörerna i Nyland.
Eftersom det kan ta några år att i de patientdatasystem som tjänstetillhandahållarna använder genomföra den behandling av uppgifter som föreslås i samband med totalreformen, innehåller denna proposition ett förslag till temporär lagstiftning tills de permanenta bestämmelserna träder i kraft. Den föreslagna temporära lösningen motsvarar de nuvarande bestämmelserna om utlämnande av patientuppgifter i 9 § i hälso- och sjukvårdslagen. Patientuppgifter får lämnas ut med stöd av lag, och patienten har förbudsrätt, men bestämmelserna föreskriver inte något gemensamt register.
De övriga alternativ som identifierades i beredningsskedet är följande:
1) En hybridmodell med utlämnande som grundar sig på både samtycke och lagstiftning.
2) Rätt att få de patientuppgifter som är nödvändiga för att ordna och producera vård för patienten.
3) Efter det att patienten har informerats och gett ett omfattande tillstånd för utlämnande av uppgifter kan patientuppgifter lämnas ut på så sätt att patienten har förbudsrätt.
4) HUS-sammanslutningen som en självständig personuppgiftsansvarig, som har rätt att behandla kunduppgifter från välfärdsområdena och Helsingfors stad, vilka har det primära organiseringsansvaret, på samma sätt som en tjänstetillhandahållare som handlar för välfärdsområdenas och Helsingfors stads räkning.
5) Omdefiniering av personuppgiftsansvaret på grundval av det primära organiseringsansvaret på så sätt att endast välfärdsområdena och Helsingfors stad är personuppgiftsansvariga och att HUS-sammanslutningen är personuppgiftsbiträde för deras räkning.
6) Ett gemensamt register enligt den allmänna dataskyddsförordningen, utöver vilket det föreskrivs om yrkesutbildade personers rätt att behandla uppgifter från andra personuppgiftsansvariga i Nyland.
7) Ytterligare bestämmelser endast till den del som det ännu inte finns patientuppgifter att tillgå i Kanta-tjänsterna.
8) Utlämnande av uppgifter mellan primärvården och den specialiserade sjukvården med stöd av lag.
Nedan följer en närmare beskrivning av olika alternativ, deras genomförbarhet och bedömning av dem i förhållande till gällande lagstiftning.
5.1.1
5.1.1 Hybridmodell
I fråga om sådan brådskande vård enligt 5 § 2 mom. 3 punkten i Nylandslagen och sådan prehospital akutsjukvård enligt 5 § 2 mom. 4 punkten i den lagen som hör till HUS-sammanslutningens organiseringsansvar skulle välfärdsområdet och Helsingfors stad trots sekretessbestämmelserna ha rätt att till HUS-sammanslutningen lämna ut sådana patientuppgifter som är nödvändiga för att ge tjänsterna i fråga.
Man bör komma ihåg att patientuppgifter redan med stöd av den gällande kunduppgiftslagen får lämnas ut från Kanta-tjänsterna och med stöd av patientlagen på grundval av samtycke. I 13 § 3 mom. 3 punkten i patientlagen finns det också bestämmelser om utlämnande av patientuppgifter utan samtycke, om det inte kan fås till exempel på grund av att patienten är medvetslös.
Det föreslås inga nya bestämmelser om de tjänster som enligt 5 § 2 mom. 1 punkten i Nylandslagen med stöd av 45 § i hälso- och sjukvårdslagen och de tjänster som enligt 5 § 2 mom. 6 punkten i Nylandslagen ska centraliseras till HUS-sammanslutningen. Eftersom det för det första inte är fråga om brådskande vård och för det andra patienter också kan hänvisas till centraliserade tjänster utanför Nyland, är det motiverat att behandla personuppgifter på ett sätt som är förenligt med behandlingen av personuppgifter i andra områden. Patientuppgifterna ska således finnas tillgängliga i Kanta-tjänsterna, med remissen och på basis av patientens samtycke.
Den nya lagstiftningen gäller endast rätten att lämna ut patientuppgifter vid brådskande vård och prehospital akutsjukvård. Dessutom ska tjänstetillhandahållare i landskapet Nyland kunna lämna ut patientuppgifter med stöd av samtycke enligt gällande bestämmelser, om de anser det behövligt att genomföra ett alternativt sätt att lämna ut patientuppgifter utöver de riksomfattande informationssystemtjänsterna. Ett samtycke enligt patientlagen förutsätter skriftligt samtycke, men det finns inget motsvarande formkrav för ett samtycke enligt den allmänna dataskyddsförordningen.
När det gäller kunderna kan den föreslagna ändringen anses vara relativt liten. Med beaktande av den gällande lagstiftningen är den enda ändringen att i brådskande situationer och vid prehospital akutsjukvård skulle patientuppgifter få lämnas ut utan samtycke också när patienten är kapabel att ge sitt samtycke. Å andra sidan är det dock fråga om en ytterligare begränsning av patientens självbestämmanderätt. Huruvida denna begränsning är godtagbar och proportionell måste begrundas med kritisk blick. Dessutom bör det beaktas att lagstiftningen om kunduppgifter inom social- och hälsovården redan för närvarande upplevs som svårbegriplig och splittrad, och alla ytterligare bestämmelser för särskilda situationer bidrar till att öka svårbegripligheten och att göra tillämpningen mer utmanande. Jämfört med invånarna i andra välfärdsområden avviker utlämnandet av uppgifter om invånarna i Nyland på så sätt att det då det är fråga om utlämnande av patientuppgifter via de riksomfattande informationssystemtjänsterna krävs antingen samtycke enligt gällande lag eller tillstånd för utlämnande i de fall då det inte är fråga om brådskande vård eller prehospital akutsjukvård, eftersom HUS-sammanslutningen och välfärdsområdenas myndigheter är åtskilda instanser.
Dessutom ska de ytterligare bestämmelserna också bedömas med hänsyn till genomförbarheten. De ändringar som lagstiftningen förutsätter ska genomföras i alla behövliga patientdatasystem som används av tjänstetillhandahållarna i landskapet Nyland. När det gäller den föreslagna nya möjligheten att lämna ut uppgifter utan samtycke och förbudsrätten vid brådskande vård och prehospital akutsjukvård har det inte framförts kritik eller någon beskrivning av den tid som genomförandet kräver. Enligt responsen från aktörerna kommer emellertid genomförandet av uttryckligen samtycket i informationssystemen att ta 3–5 år och vara ett funktionellt tungt förfarande som påstås äventyra patientsäkerheten.
5.1.2
5.1.2 Rätt att få nödvändiga patientuppgifter
Att reglera rätten att få uppgifter innebär att HUS-sammanslutningen trots sekretessbestämmelserna ska ha rätt att få sådana patientuppgifter från Nylands välfärdsområde och Helsingfors stad som är nödvändiga för den vård av patienten som HUS-sammanslutningen har organiseringsansvar för. Bestämmelser om motsvarande rätt för välfärdsområdena och Helsingfors stad att få uppgifter om HUS-sammanslutningens patientuppgifter ska också utfärdas.
Rätten att få uppgifter kopplas sålunda till såväl uppgifternas nödvändighet som till syftet med patientens vård. Å ena sidan motsvarar detta grundlagsutskottets tidigare utlåtandepraxis. Å andra sidan blir rätten att få uppgifter som potentiellt omfattar alla patientuppgifter de facto för omfattande, varvid det enligt grundlagsutskottets utlåtandepraxis inte räcker med att koppla rätten till nödvändighetskriteriet.
I praktiken ska den myndighet som behöver uppgifterna lägga fram en begäran om uppgifter. Den aktör som lämnar ut uppgifterna ska bedöma vilka patientuppgifter som är nödvändiga i förhållande till begäran. Å andra sidan, såsom i samband med beredningen av kunduppgiftslagen har identifierats, är det den behandlande som kan göra en slutlig bedömning av vilka uppgifter som är nödvändiga i den berörda patientens situation. Enligt 15 § i kunduppgiftslagen får yrkesutbildade personer ha åtkomsträttigheter till endast sådana kunduppgifter som är nödvändiga för arbetsuppgiften och den tjänst som ges. Eftersom utlämnaren ska besluta om de uppgifter som lämnas ut, är erhållandet av uppgifterna med andra ord beroende av vilka resurser det finns att besvara begäranden om uppgifter och hur snabbt man hinner besvara begärandena. Uppgifterna kan i och för sig lämnas ut genom gemensamma informationssystem.
Det är oklart vilket mervärde den ovan beskrivna rätten att få uppgifter skulle ge utöver den gällande lagstiftningen.
När det gäller kunderna tryggar modellen integritetsskyddet, eftersom den som lämnar ut uppgifter överväger endast utlämnande av nödvändiga uppgifter. Å andra sidan är uppgifterna inte till nytta för vården av patienten, om de inte kan lämnas ut i tid med hjälp av begäranden om uppgifter. Jämfört med invånarna i andra välfärdsområden rör sig patientuppgifterna mellan primärvården och HUS specialiserade sjukvård utöver genom Kanta-tjänsterna endast genom begäranden om uppgifter. Uppgifterna är inte tillgängliga i realtid om inte tjänstetillhandahållarna har organiserat besvarandet av begärandena om uppgifter i realtid.
När det gäller de yrkesutbildade personerna ska de yrkesutbildade personer som behöver uppgifter begära dem och den utlämnande parten kan inte nödvändigtvis lämna ut uppgifterna i tid med tanke på patientens vårdbehov. Om begäran om uppgifter framställs innan patienten är på mottagningen, kan det vara svårt att veta vilka uppgifter som behövs. Om begäran framställs när patienten redan är på mottagningen, är begäran och erhållandet av uppgifter redan försenade.
I informationssystemen ska det också finnas funktioner för begäran om och utlämnande av uppgifter, så att uppgifterna kan lämnas ut mellan olika tjänstetillhandahållare oberoende av om de använder samma patientdatasystem eller olika system.
5.1.3
5.1.4 Utlämnande av patientuppgifter på grundval av att patienten har informerats och gett ett omfattande tillstånd för utlämnande och har förbudsrätt
Modellen motsvarar bestämmelserna i kundsuppgiftslagen om utlämnande av kunduppgifter genom Kanta-tjänsterna. På det sättet motsvarar modellen också grundlagsutskottets utlåtande om kunduppgiftslagen och kan möjligen också tillämpas i en snävare miljö. Tillståndet för utlämnande och förbudet enligt kunduppgiftslagen gäller endast Kanta-tjänsterna. Med andra ord skulle Nyland få en parallell helhet av tillstånd, information och förbud. Att förstå helheten är en utmaning för patienterna och de yrkesutbildade personerna. Den nya informationen, tillstånden för utlämnande och förbuden ska föras in i de patientdatasystem som används i Nyland. Om man ville synkronisera införandet med Kanta-tjänsterna så att samma tillstånd för utlämnande och förbud gäller både i Nyland och i Kanta-tjänsterna, skulle det kräva att genomförandet av Kanta-tjänsterna ändras, vilket kräver tid. Dessutom kan helheten vara rörig för befolkningen i andra områden. Det är oklart vilket mervärde arrangemanget skulle ge utöver den gällande lagstiftningen.
5.1.4
5.1.5 HUS-sammanslutningen som en självständig personuppgiftsansvarig, som har rätt att behandla kunduppgifter från välfärdsområdena och Helsingfors stad, vilka har det primära organiseringsansvaret, på samma sätt som en tjänstetillhandahållare som handlar för välfärdsområdenas och Helsingfors stads räkning
Modellen grundar sig på att välfärdsområdena och Helsingfors stad har det primära organiseringsansvaret, så att HUS-sammanslutningen får behandla patientuppgifter från välfärdsområdena och Helsingfors stad som om den skulle handla för deras räkning. HUS-sammanslutningen skulle sålunda inte betraktas som utomstående. Välfärdsområdena och Helsingfors stad kan dock inte handla för HUS-sammanslutningens räkning, så de kan inte ha motsvarande rätt till de patientuppgifter som finns i HUS-sammanslutningens registerföring.
5.1.5
5.1.6 Välfärdsområdena och Helsingfors stad som personuppgiftsansvariga och HUS-sammanslutningen som personuppgiftsbiträde
Modellen grundar sig på att välfärdsområdena och Helsingfors stad har det primära organiseringsansvaret, så att endast de är personuppgiftsansvariga med organiseringsansvar. Att HUS-sammanslutningen är personuppgiftsansvarig skulle behöva strykas ur författningarna. HUS-sammanslutningen skulle endast producera tjänster och vara personuppgiftsbiträde för välfärdsområdenas och Helsingfors stads räkning. Välfärdsområdena och Helsingfors stad skulle då besluta om syftena med och medlen för behandlingen av personuppgifter. När det gäller HUS-sammanslutningens verksamhet kommer modellen sannolikt inte att motsvara den faktiska situationen, och då kan modellen inte heller regleras.
5.1.6
5.1.7 Gemensamt register enligt den allmänna dataskyddsförordningen samt en yrkesutbildad persons rätt att behandla uppgifter från andra personuppgiftsansvariga i Nyland
Modellen grundar sig på att tjänstetillhandahållarna i landskapet Nyland är gemensamt personuppgiftsansvariga. Dessutom ska det föreskrivas om yrkesutbildade personers rätt att behandla patientuppgifter från tjänstetillhandahållarna i Nyland. Den allmänna dataskyddsförordningen handlar i sig om gemensamt personuppgiftsansvar och inte om ett gemensamt register. Gemensamt personuppgiftsansvar ger inget mervärde med tanke på utlämnandet av uppgifter (jfr GrUU 7/2019 rd) och löser inte de problem som nämns, utan det fastställer endast de gemensamt personuppgiftsansvarigas ansvar i förhållande till tryggandet av den registrerades rättigheter.
Om det föreskrevs om ett gemensamt register, kunde den lämpligaste modellen vara att varje välfärdsområde och HUS-sammanslutningen gemensamt registerför tjänsterna, eftersom de olika välfärdsområdena inte har gemensamt ansvar för att ordna tjänsterna. En förutsättning för gemensamt personuppgiftsansvar är att de personuppgiftsansvariga tillsammans fastställer syftena och medlen, vilket inte nödvändigtvis motsvarar den faktiska situationen. Enligt social- och hälsovårdsministeriets uppfattning hänger det största problemet i Nyland samman med utlämnandet av patientuppgifter och inte med att tillgodose de registrerades rättigheter.
I samband med beredningen av lagen diskuterade social- och hälsovårdsministeriet bland annat med dataombudsmannens byrå om olika alternativ för registerföring av klient- och patientuppgifter i Nyland och även utanför Nyland. Som ett alternativ identifierades också gemensamt personuppgiftsansvar. Vid diskussionerna kom man fram till att den modell som föreslås i regeringspropositionen motsvarar den situation som motsvarar det faktiska organiseringsansvaret. Dessutom motsvarar den registerföring som föreslås i regeringspropositionen de riktlinjer för registerföring som anges i den allmänna dataskyddsförordningen och i Europeiska dataskyddsstyrelsens (och Europeiska datatillsynsmannens) riktlinjer. Det gemensamma personuppgiftsansvaret motsvarar inte det faktiska organiseringsansvaret på det sätt som det föreskrivs om ansvaret, och det skulle vara mycket svårt att fördela de olika personuppgiftsansvarigas ansvar i synnerhet när organiseringsansvaret och därigenom innehållet i registerföringen ändras. Dessutom skulle det vara svårt för de registrerade att förstå ett sådant arrangemang. Emellertid kunde ett faktiskt gemensamt personuppgiftsansvar enligt den allmänna dataskyddsförordningen vara ett tydligt arrangemang ur den registrerades synvinkel om personuppgiftsansvaret ständigt ändras, eftersom den registrerade i en problemsituation kan kontakta vilken som helst av de gemensamt personuppgiftsansvariga. I samband med totalreformen av social- och hälsovården bereds bestämmelser om situationer där personuppgiftsansvaret ändras. Grundlagsutskottet förutsatte inte gemensamt personuppgiftsansvar i Nyland i sitt utlåtande GrUU 17/2021 rd om propositionen med förslag till lagar om reformen av social- och hälsovården.
Det gemensamma personuppgiftsansvaret enligt artikel 26 i den allmänna dataskyddsförordningen ändrar inte heller på något sätt praxis för behandlingen av uppgifter, utan behandlingen bestäms av lagstiftningen om behandling av personuppgifter och av principen om att myndigheterna verkar separat och av begreppen verksamhetsenhet och utomstående. Bestämmelserna i 9 § i hälso- och sjukvårdslagen har utarbetats för informationsutbytet mellan sjukvårdsdistriktens områden. Efter det att välfärdsområdena är inrättade finns det inte längre några sjukvårdsdistrikt i Nyland. Bestämmelserna om det gemensamma registret i 9 § i hälso- och sjukvårdslagen utfärdades ursprungligen så att patientuppgifter ska vara tillgängliga för konsultation inom den specialiserade sjukvården, för jourbesök inom den specialiserade sjukvården, för vård på grundval av remiss och för förmedling av respons om vård. Syftet med det gemensamma registret är att temporärt ge möjlighet till utlämnande av uppgifter tills motsvarande uppgifter finns tillgängliga genom Kanta-tjänsterna. Dessutom bör det beaktas att det gemensamma registret enligt 9 § i hälso- och sjukvårdslagen inte motsvarar det som i den allmänna dataskyddsförordningen avses med gemensamt personuppgiftsansvar. I enlighet med 9 § i hälso- och sjukvårdslagen är varje verksamhetsenhet en självständig personuppgiftsansvarig, och ett gemensamt register gör det endast möjligt att lämna ut uppgifter mellan dem på grunder som avviker från bestämmelserna i patientlagen. Social- och hälsovårdsministeriet anser att utgångspunkten är att klient- och patientuppgifterna ska röra sig i Nyland med stöd av samma lagstiftning om behandling av personuppgifter som i andra områden i Finland. Informationsgången främjas i synnerhet av de ändringar som genomförs genom den nya kunduppgiftslagen. För att medborgarna ska behandlas lika överallt i Finland måste också behandlingen av personuppgifter genomföras enligt samma principer överallt.
5.1.7
5.1.8 Ytterligare bestämmelser endast till den del som det ännu inte finns tillgängliga patientuppgifter i Kanta-tjänsterna
Modellen innehåller kompletterande bestämmelser till den del patientuppgifterna inte finns att tillgå i Kanta-tjänsterna. Vid utlämnandet av uppgifter ska i första hand Kanta-tjänsterna utnyttjas inom ramen för kundens tillstånd för utlämnande och förbud, eller i enlighet med 13 § 3 mom. 3 punkten i patientlagen när villkoren uppfylls. Kunduppgiftslagen innehåller bestämmelser om de olika skeden enligt vilka patientuppgifter förs in i Kanta-tjänsterna. Utgångspunkten är att de viktigaste patientuppgifterna redan nu ska föras in i Kanta-tjänsterna på grundval av de steg som förutsätts i anslutningsskedet och senast 2021. Senast den 1 oktober 2026 ska en handling över tidsbeställning, de bilddiagnostiska undersökningar och laboratorieresultat som är en följd av screeningundersökningar, sådana intyg och utlåtanden som är avsedda för andra myndigheter och instanser samt dödsattester börja föras in. Senast den 1 oktober 2029 ska uppgifter om strålbelastning, video- och ljudupptagningar samt fotografier, biosignaler, de bilder som mun- och tandvårdsenheterna sparat samt andra bilder, såsom ritningar och illustrationer, börja sparas.
Det centrala är hur väl de uppgifter som förts in i Kanta-tjänsterna räcker till för att motsvara de faktiska informationsbehoven och vilka uppgifter som behöver lämnas ut utanför Kanta-tjänsterna. Med stöd av patientlagen kan uppgifterna i fråga redan för närvarande lämnas ut på grundval av samtycke eller med stöd av 13 § 3 mom. 3 punkten även utan samtycke. Endast i fråga om brådskande vård och prehospital akutsjukvård kan det finnas behov av att föreskriva om sådan kompletterande rätt att få uppgifter som är kopplad till de patientuppgifter som är nödvändiga för att ordna och tillhandahålla vård för patienten.
Kunden kan ha svårt att bilda sig en uppfattning om vilka patientuppgifter som har förts in i de riksomfattande informationssystemtjänsterna och som kan förmedlas genom dessa, och vilka uppgifter som inte har förts in eller kan förmedlas. Å andra sidan kan kunden på Mina Kanta-sidor granska vilka uppgifter som har förts in i de riksomfattande informationssystemtjänsterna, men för andra patientuppgifter finns det inte motsvarande synlighet.
5.1.8
5.1.9 Utlämnande av patientuppgifter med stöd av lag mellan välfärdsområdena i Nyland, Helsingfors stad och HUS-sammanslutningen
Enligt en modell som i funktionellt hänseende motsvarar situationen i andra välfärdsområden får patientuppgifter lämnas ut direkt mellan primärvården och den specialiserade sjukvården, det vill säga varje välfärdsområde i Nyland samt Helsingfors stad och HUS-sammanslutningen, med stöd av lag som om det var fråga om patientuppgifter från samma myndighet. En kund har inte rätt att förbjuda att hans eller hennes patientuppgifter lämnas ut och inte heller att genom sitt samtycke bestämma att hans eller hennes patientuppgifter att kan lämnas ut. Även om modellen funktionellt sett motsvarar hur de som arbetar i andra välfärdsområden för en och samma myndighets räkning, som har organiseringsansvar, får behandla patientuppgifter är det i Nyland dock fråga om utlämnande av patientuppgifter mellan myndigheter. Patientuppgifterna har ett gemensamt användningsändamål, men myndigheterna har sina egna avgränsade uppgiftsområden, som de ansvarar för.
Med tanke på kunden är modellen sannolikt förståelig. Patientuppgifterna ska vara tillgängliga på samma sätt inom primärvården och den specialiserade sjukvården som i andra områden utan att kunden särskilt behöver bestämma om utlämnandet av sina uppgifter. Modellen ger inte kunden fler samtycken och förbud att administrera utöver de tillstånd för utlämnande, de samtycken och de förbud som omfattas av de riksomfattande informationssystemtjänsterna. Modellen är dock helt ny i förhållande till grundlagsutskottets tidigare tolkningspraxis, eftersom de patientuppgifter som lämnas ut enligt modellen inte begränsas på något sätt och det inte är möjligt att koppla utlämnandet till det nödvändiga eller behövliga. Modellen omfattar inga element med hjälp av vilka kunden kan utöva sin självbestämmanderätt. Vid behandlingen av patientuppgifter ska man dock beakta de krav i kunduppgiftslagen som gäller till exempel beviljande av åtkomsträttigheter endast till nödvändiga kunduppgifter och säkerställande av en vårdrelation.
5.2
Lagstiftning och andra handlingsmodeller i utlandet
Behandling av personuppgifter
Europeiska kommissionen har utrett lagstiftningsmodellerna för behandling av patientuppgifter inom hälso- och sjukvården i medlemsstaterna. I utredningen särskiljs grunderna för behandling i samband med hälso- och sjukvårdsverksamhet och grunderna för delning av uppgifter mellan tjänstetillhandahållare inom hälso- och sjukvården eller yrkesutbildade personer inom hälso- och sjukvården.
Utredningen visar att grunderna för behandling av personuppgifter enligt den allmänna dataskyddsförordningen varierar stort mellan medlemsstaterna och att det i vissa länder används flera grunder för behandling. Som behandlingsgrunder används såväl samtycke som kombinationer av den allmänna dataskyddsförordningens artikel 6.1 c om fullgörande av en rättslig förpliktelse eller artikel 6.1 e om det allmännas intresse och artikel 9.2 h om hälso- och sjukvård eller artikel 9.2 i om allmänt intresse på folkhälsoområdet.
I samband med hälso- och sjukvårdsverksamhet används samtycke som behandlingsgrund i tolv medlemsstater, såsom Frankrike, Belgien, Bulgarien, Danmark och Tyskland.
Fullgörandet av en rättslig förpliktelse i kombination med hälso- och sjukvård enligt artikel 9.2 h i den allmänna dataskyddsförordningen är den behandlingsgrund som används mest. Den används i 21 medlemsstater. I nio medlemsstater kopplas fullgörande av en rättslig förpliktelse åter samman med allmänt intresse på folkhälsoområdet enligt artikel 9.2 i.
Det allmänna intresset enligt artikel 6 i den allmänna dataskyddsförordningen kombineras i tolv medlemsstater med hälso- och sjukvård enligt artikel 9.2 h och i åtta medlemsstater med allmänt intresse på folkhälsoområdet enligt artikel 9.2 i.
Samma behandlingsgrunder används också när uppgifter delas mellan tjänstetillhandahållare och yrkesutbildade personer inom hälso- och sjukvården. Samtycke används som behandlingsgrund i 17 medlemsstater, såsom Finland, Sverige, Danmark, Tyskland och Frankrike. Nitton medlemsstater använder en kombination av fullgörande av en rättslig förpliktelse och hälso- och sjukvård som behandlingsgrund, och sju medlemsstater en kombination av fullgörande av en rättslig förpliktelse och allmänt intresse på folkhälsoområdet. En kombination av allmänt intresse och allmänt intresse på folkhälsoområdet används av sju medlemsstater och en kombination av allmänt intresse och hälso- och sjukvård används av tre medlemsstater. Andra kombinationer används i fyra länder (Tyskland, Spanien, Lettland och Österrike).
11
Förhållande till grundlagen samt lagstiftningsordning
Inom social- och hälsovården behandlas känsliga uppgifter som kan gälla exempel en patients hälsotillstånd, sjukdom eller funktionsnedsättning eller behandlingar eller andra åtgärder. Det kan också finnas uppgifter om en persons behov av socialvård eller erhållna socialvårdstjänster, stödåtgärder och andra socialvårdsförmåner.
Hälso- och sjukvårdslagens 9 § är av betydelse med tanke på det skydd för privatlivet och personuppgifter som tryggas i 10 § i grundlagen. De föreslagna bestämmelserna är av betydelse också med tanke på Europeiska unionens stadga om de grundläggande rättigheterna. I artikel 7 i stadgan tryggas respekten för privatlivet och i artikel 8 vars och ens rätt till skydd av de personuppgifter som rör honom eller henne.
Enligt grundlagsutskottet är det i regel tillräckligt med tanke på 10 § 1 mom. i grundlagen att bestämmelserna uppfyller kraven enligt den allmänna dataskyddsförordningen. Enligt utskottet bör skyddet för personuppgifter i första hand tillgodoses med stöd av den allmänna dataskyddsförordningen och den nationella allmänna lagstiftningen. Lagstiftaren bör således vara restriktiv när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som den allmänna dataskyddsförordningen medger (se GrUU 14/2018 rd, s. 4–5).
Enligt grundlagsutskottets utlåtandepraxis är det klart att behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i den allmänna dataskyddsförordningen måste bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (se GrUU 14/2018 rd, s. 5).
Grundlagsutskottet har konstaterat att särskild hänsyn bör tas till att inskränkningar i skyddet för privatlivet i respektive regleringssammanhang måste bedömas utifrån de allmänna villkoren för inskränkningar av de grundläggande fri- och rättigheterna (se GrUU 42/2016 rd, s. 2–3 och de utlåtanden som nämns där). Lagstiftarens handlingsutrymme vid utfärdandet av bestämmelser om behandling av känsliga personuppgifter begränsas i synnerhet av att skyddet för personuppgifter delvis ingår i skyddet för privatlivet som tryggas i samma moment i 10 § i grundlagen. Lagstiftaren bör tillgodose denna rätt på ett sätt som är godtagbart med avseende på de grundläggande fri- och rättigheterna överlag. Utskottet har därför ansett att särskilt tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013 rd, s. 2/II), vilket inneburit att inrättandet av register med sådana uppgifter måste bedömas mot villkoren för inskränkningar i de grundläggande fri- och rättigheterna, särskilt lagstiftningens acceptabilitet och proportionalitet (GrUU 29/2016 rd s. 4–5 och till exempel GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (se till exempel GrUU 38/2016 rd, s. 3).
Hälsouppgifter är en sådan särskild kategori av personuppgifter som avses i artikel 9 i den allmänna dataskyddsförordningen som enligt huvudregeln i artikel 9.1 inte får behandlas. Enligt artikel 9.2 ska punkt 1 inte tillämpas om något av kraven i artikel 9.2 a–j uppfylls. Personuppgifter som hör till särskilda kategorier av personuppgifter får enligt detta behandlas bland annat med uttryckligt samtycke av den berörda personen (led a).
Grundlagsutskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet (GrUU 13/2016 rd, GrUU 14/2009 rd, s. 3/I). Även i enlighet med skäl 51 i den allmänna dataskyddsförordningen bör de särskilda personuppgifter som avses i artikel 9 och som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheterna och friheter åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Utskottet har därför särskilt påpekat att det måste finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt och att bestämmelserna måste vara detaljerade och omfattande, inom de ramar som den allmänna dataskyddsförordningen tillåter (GrUU 65/2018 rd, s. 45, GrUU 15/2018 rd, s. 40).
Grundlagsutskottet har bedömt bestämmelserna om myndigheternas rätt att få och skyldighet att lämna ut uppgifter trots sekretessbestämmelserna med avseende på skyddet för privatliv och personuppgifter i 10 § 1 mom. i grundlagen och då noterat bland annat vad och vem rätten att få uppgifter gäller och hur rätten är kopplad till nödvändighetskriteriet (GrUU 15/2018 rd). Myndigheternas rätt att få och möjlighet att lämna ut uppgifter kan gälla "behövliga uppgifter" för ett visst syfte, om lagen ger en uttömmande förteckning över innehållet i uppgifterna. Om innehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att "uppgifterna är nödvändiga" för ett visst syfte (se till exempel GrUU 17/2016 rd, s. 2–3). I sina analyser av exakthet och innehåll har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art. Om de föreslagna bestämmelserna om utlämnande av information också hänför sig till känsliga uppgifter, har ett villkor för att lagförslaget kan behandlas i vanlig lagstiftningsordning varit att bestämmelserna måste preciseras så att de följer grundlagsutskottets praxis för bestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess (GrUU 38/2016 rd, s. 3). Å andra sidan har grundlagsutskottet ansett att grundlagen inte tillåter en vag och ospecificerad rätt att få uppgifter, låt vara att den är knuten till nödvändighetskriteriet (se till exempel GrUU 71/2014 rd s. 3/I, GrUU 62/2010 rd, s. 4/I och GrUU 59/2010 rd, s. 4/I).
Behovet av bestämmelser som är mer detaljerade än den allmänna dataskyddsförordningen bör dock motiveras i varje enskilt fall, också inom ramen för förordningen. Då finns det skäl att det riskbaserade synsättet i förordningen också vägs in. Utskottet har framhållit att även lagstiftningen om behandling av känsliga personuppgifter bör vara så tydlig och begriplig som möjligt (GrUU 14/2018 rd, s. 6).
Konstitutionen ska enligt 1 § 2 mom. i grundlagen trygga människovärdets okränkbarhet och den enskilda människans frihet och rättigheter samt främja rättvisa i samhället. Omnämnandet av individens rättigheter och frihet omfattar också individens självbestämmanderätt som utgör grunden för utövningen av många andra fri- och rättigheter, med andra ord friheten att bestämma över sig själv och sitt handlande (RP 309/1993 rd, s. 45/II). Bestämmelsen i 1 § 2 mom. i grundlagen ger uttryck för de grundläggande värderingarna i grundlagen och ska beaktas vid tolkningen av grundlagens övriga bestämmelser (RP 1/1998 rd, s. 74/I).
Enligt 10 § i grundlagen är vars och ens privatliv tryggat. Begreppet privatliv kan förstås som ett samlande begrepp för en persons privata krets. Utgångspunkten för skyddet för privatliv är att individen har rätt att leva sitt eget liv utan godtycklig eller ogrundad inblandning av myndigheter eller andra utomstående. Till privatlivet hör bland annat individens rätt att själv bestämma om sig själv och sin kropp (RP 309/1993 rd, s. 56–57). Även rätten till privatliv medverkar alltså till att uppfylla självbestämmanderätten.
Grundlagsutskottet har ansett att rätten att bestämma över information om sig själv bör anses vara central med avseende på skyddet av personuppgifter (se till exempel GrUU 23/2020 rd, s. 9, GrUU 2/2018 rd, s. 8). Grundlagsutskottet har ansett att självbestämmanderätten är kopplad till ett flertal grundläggande fri- och rättigheter, särskilt till 7 § om personlig frihet och integritet och 10 § om skydd för privatlivet i grundlagen (se GrUU 48/2014 rd, s. 2/II).
I 6 § i patientlagen finns det bestämmelser om patientens självbestämmanderätt. När det gäller rätten att bestämma över information om sig själv är det av betydelse att sekretessbelagda uppgifter i journalhandlingar enligt 13 § 2 mom. inte får lämnas ut utan patientens skriftliga samtycke. Motsvarande bestämmelser finns i klientlagen. I båda lagarna finns det också bestämmelser om situationer där självbestämmanderätten kan begränsas till exempel genom att lämna ut uppgifter som är nödvändiga för vården av patienten till en annan verksamhetsenhet inom hälso- och sjukvården, om samtycke inte kan fås på grund av att patienten är medvetslös eller på grund av någon annan jämförbar orsak.
Utskottet har i sin praxis särskilt lyft fram behovet av reglering i de fall där personuppgifterna behandlas av en myndighet (se till exempel GrUU 14/2018 rd, s. 4). Grundlagsutskottet har dock tidigare också fäst uppmärksamhet vid att bestämmelserna i 8 § i personuppgiftslagen (523/1999), som stiftades med utskottets medverkan (GrUU 25/1998 rd) och senare upphävdes, tillät behandling av personuppgifter i första hand på grundval av samtycke. Också känsliga personuppgifter kunde med stöd av 12 § i den lagen behandlas i undantagsfall, om den registrerade hade gett sitt uttryckliga samtycke till det (GrUU 1/2018 rd, s. 9). Enligt grundlagsutskottet kan motsvarande konstateras om offentlighetslagen, som har stiftats med grundlagsutskottets medverkan. Enligt 26 § i den lagen kan en myndighet ur en sekretessbelagd myndighetshandling lämna ut uppgifter bland annat när sekretessplikt har föreskrivits till skydd för någons intressen och denne samtycker till att uppgifter lämnas ut. Ett sådant dokument kan innehålla känsliga personuppgifter. (GrUU 43/1998 rd, se även GrUU 42/2016 rd, s. 3).
Enligt artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna ska personuppgifter behandlas på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Enligt artikel 6 i den allmänna dataskyddsförordningen är behandlingen av personuppgifter lagenlig bland annat när den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Enligt artikel 9 i den allmänna dataskyddsförordningen kan särskilda personuppgiftsgrupper som motsvarar känsliga uppgifter likaså behandlas på grundval av samtycke, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet mot behandling av särskilda kategorier av personuppgifter inte kan upphävas av den registrerade. Enligt skäl 43 i den allmänna dataskyddsförordningen bör samtycket dock inte utgöra en giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. Detta gäller särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.
Enligt grundlagsutskottet kan till följd av det anförda under vissa förutsättningar trots bestämmelserna i grundlagen också behandling av känsliga personuppgifter stödja sig på samtycke, även om det är fråga om myndighetsverksamhet. Detta undanröjer dock inte behovet av att, i synnerhet i den nu aktuella typen av sammanhang med nära koppling till de grundläggande fri- och rättigheterna och de mänskliga rättigheterna, säkerställa att regleringen i sin helhet skapar tillräckliga förutsättningar för ett faktiskt skydd av känsliga personuppgifter (GrUU 20/2020 rd, s. 5–6).
I sitt utlåtande med avgörande om regeringens proposition med förslag till lag om hälso- och sjukvård (RP 90/2010 rd) tog grundlagsutskottet (GrUU 41/2010 rd, s. 2–3) ställning till det gemensamma patientregister som patientjournalerna vid den kommunala primärvården och specialiserade sjukvården inom samkommunen för ett sjukvårdsdistrikt bildar. Enligt grundlagsutskottet ger patientens rätt att förbjuda att uppgifterna används och skyldigheten att informera patienten om möjligheten i denna typ av situationer fullgoda garantier för att patientens självbestämmanderätt tillgodoses, även om utlämnande av känsliga uppgifter om patienters hälsotillstånd mellan verksamhetsenheterna inte krävde tillstånd av patienten enligt förslaget. Grundlagsutskottet framhävde att för denna bedömning av självbestämmanderätten och särskilt för skyddet av patientuppgifter är bestämmelser om uppföljning av patientuppgifterna och kravet att det datatekniskt måste säkerställas att det finns en vårdrelation mellan patienten och den som begär uppgifter av betydelse. Den föreslagna regleringen utgjorde inget konstitutionellt problem. Utskottet underströk dock att det i fråga om sådana register som i likhet med patientregistret finns på flera ställen och innehåller känsliga uppgifter är extra viktigt att informationssäkerheten fungerar och förhindrar missbruk och att systemet införs samtidigt som registret börjar användas.
Grundlagsutskottet har uttryckt oro över vad syftet med den valda regleringen, som lösgör sig från kravet på samtycke, innebär med tanke på att det måste finnas godtagbara grunder för en inskränkning av självbestämmanderätten. Utskottet noterar också att en inskränkning av självbestämmanderätten inte kan motiveras med att förverkligandet av självbestämmanderätten kräver betydande tekniska ändringar i informationssystemen. Grundlagsutskottet har ansett det möjligt att trots sekretessbestämmelserna binda utlämnandet av uppgifter även till att det är nödvändigt för ett visst syfte, om det datainnehåll som utlämnas inte har specificerats i lagstiftningen.
Grundlagsutskottet har i sitt utlåtande om den nya kunduppgiftslagen (GrUU 4/2021) ansett att bestämmelser som bättre säkerställer självbestämmanderätten kan göras vid riksdagsbehandlingen på så sätt att den föreslagna begränsningen av självbestämmanderätten inte är huvudregel, utan att det i stället föreskrivs att samtycke är ett villkor för utlämnande enligt 20 och 21 §. Grundlagsutskottet anser att det trots grundlagen kan föreskrivas om ett sådant brett samtycke som avses i den gällande lagen, om samtycket kan begränsas genom förbud av det slag som föreslås i 18 § (se även GrUU 10/2012 rd, s. 2–4). Regleringen av samtycket ska uppfylla de villkor som nämns i utskottets praxis. Samtycket ska grunda sig till exempel på tillräcklig information som ges i ett förfarande enligt 15 § (se även till exempel GrUU 23/2020 rd, s. 4–5), det ska vara frivilligt och det ska också kunna återkallas. Om sättet att ge sitt samtycke ska det föreskrivas exempelvis på motsvarande vis som i den gällande lagen. Enligt grundlagsutskottet skapar en sådan reglering i den aktuella lagstiftningskontexten tillräckliga förutsättningar för ett faktiskt förverkligande av självbestämmanderätten (se även GrUU 20/2020 rd, s. 5–6). Utskottet betonar att detta inte hindrar att det i samtyckeskravet bestäms om undantag och annan rätt att få information på det sätt som föreskrivs exempelvis i 13 § i patientlagen. Det väsentliga är då att det på det sätt som den allmänna dataskyddsförordningen förutsätter föreskrivs om behandlingen i en lag som uppfyller förutsättningarna enligt förordningen och som utgör den grund för behandlingen som avses i artiklarna 6 och 9 i förordningen.
Grundlagsutskottet har i sitt utlåtande GrUU 7/2019 rd om förslaget till lag om behandling av personuppgifter i migrationsförvaltningen och till vissa lagar som har samband med den konstaterat att de uppgifter som förs in i personregister är sådana upptagningar som innehas av myndigheterna och som avses i 12 § 2 mom. i grundlagen (GrUU 3/2009 rd, s. 2/I). Bestämmelserna om sekretess och utlämnande av uppgifter trots sekretess i offentlighetslagen, som tillämpas såsom allmän lag på migrationsförvaltningen, grundar sig på principen om att myndigheterna verkar separat. I sin lagtillämpning är myndigheterna självständiga i relation till varandra. På rätten att få uppgifter ur myndigheternas personregister och på annat utlämnande av personuppgifter ur dessa personregister tillämpas enligt 2 § i lagförslaget vad som föreskrivs i offentlighetslagen. Enligt 13 § i offentlighetslagen är den myndighet som innehar handlingarna behörig att besluta om behandlingen och utlämnandet av handlingarna. Grundlagsutskottet fäster med anledning av offentlighetsprincipen enligt 12 § 2 mom. i grundlagen och kravet på lagbundenhet vid utövning av offentlig makt enligt 2 § 3 mom. i grundlagen uppmärksamhet vid att det av bestämmelserna om samregisteransvarighet inte tydligt framgår vilken myndighet som är behörig att lämna ut uppgifter.
Enligt samma utlåtande anser grundlagsutskottet att lagförslagets bestämmelser om samregisteransvarighet och behandling av personuppgifter inom ramen för den inte är tillräckligt klara med tanke på 10 § i grundlagen, trots att man med anledning av grundlagsutskottets utlåtande GrUU 62/2018 rd har strävat efter att precisera regleringen i fråga om myndigheternas befogenheter och rätt att få information, ändamålsbundenheten vid behandlingen av personuppgifter och vedertagen praxis i fråga om myndigheternas rätt att få och lämna ut uppgifter trots sekretessplikten. Förvaltningsutskottet måste ytterligare precisera och förtydliga regleringen väsentligt. Regleringen måste till alla delar uppfylla de krav som beskrivs i grundlagsutskottets ovan nämnda praxis. Denna precisering är ett villkor för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning.
Grundlagsutskottet påpekar också i ovannämnda utlåtande att ett behörigt beaktande av ställningstagandet om lagstiftningsordning också kan kräva att de grundläggande lösningarna i regleringen ändras. Om den föreslagna regleringen av samregisteransvarighet inte möjliggör exempelvis sådan reglering om myndigheternas rätt att trots sekretessbestämmelserna få och lämna ut uppgifter som förutsätts i 10 § i grundlagen, måste den regleringsmodell som baserar sig på samregisteransvarighet slopas. Utskottet fäster uppmärksamhet vid att enligt motiveringen till propositionen har som alternativ bedömts en modell där endast Migrationsverket är personuppgiftsansvarig i ärendehanteringssystemet för utlänningsärenden och endast utrikesministeriet är personuppgiftsansvarig i det nationella informationssystemet för viseringar. Då kan andra myndigheters rätt att få information lösas genom att föreskriva om utlämnande av information mellan myndigheter (s. 37). Enligt utredning till utskottet kommer den allmänna dataskyddsförordningen antagligen inte att i strid med motiveringen (s. 38) hindra en sådan regleringslösning. Förvaltningsutskottet bör noggrant utreda om de olika alternativen är förenliga med förordningen.
I grundlagsutskottets utlåtande GrUU 17/2021 om RP 241/2020 rd konstateras att i 58 § i lagen om ordnande av social- och hälsovård föreslås det bestämmelser om registerföring av klient- och patientuppgifter som uppkommit i välfärdsområdenas verksamhet och de klient- och patientuppgifter som överförts till välfärdsområdena från kommuner och samkommuner, om utlämnande av uppgifter ur klient- och patientregister till privata tjänsteproducenter som producerar social- och hälsovårdstjänster för välfärdsområdena och om de privata tjänsteproducenternas skyldighet att spara klient- och patientuppgifter i välfärdsområdenas klient- och patientregister. Enligt 4 § 1 mom. 4 punkten i lagförslag 28 som gäller offentlighetslagen är de myndigheter som avses i offentlighetslagen välfärdsområdenas och välfärdssammanslutningarnas myndigheter och inte det välfärdsområde som 58 § i förslaget till lag om ordnande av social- och hälsovård hänvisar till. Enligt 58 § i den föreslagna lagen om ordnande av social- och hälsovård är välfärdsområdet en sådan personuppgiftsansvarig som avses i den allmänna dataskyddsförordningen när det gäller klient- och patientuppgifter som uppkommer i den verksamhet som omfattas av dess organiseringsansvar samt för de klient- och patientuppgifter som överförts från kommunernas och samkommunernas förvaltning till välfärdsområdet. I den informativa hänvisningsbestämmelsen står det att bestämmelser om dessa klient- och patientuppgifter och om behandlingen av dem finns i klientlagen, patientlagen, klienthandlingslagen, klientuppgiftslagen, offentlighetslagen och dataskyddslagen. Utifrån den föreslagna regleringen förblir det oklart till vilka delar den personuppgiftsansvariges skyldigheter gäller välfärdsområdet och till vilka delar myndigheterna. Regleringen och dess förhållande till det som särskilt föreskrivs om klient- och patientuppgifter enligt hänvisningarna i bestämmelsen måste preciseras. I samband med riksdagsbehandlingen av RP 41/2020 rd gjorde social- och hälsovårdsutskottet ovannämnda preciseringar som grundlagsutskottet förutsatte så att de behöriga myndigheter som ansvarar för ordnandet av social- och hälsovårdstjänster är personuppgiftsansvariga enligt den allmänna dataskyddsförordningen för de patientuppgifter som uppkommer i den verksamhet som omfattas av deras organiseringsansvar och för de patientuppgifter som överförts till dem från kommunernas och samkommunernas förvaltning.
Bedömning
I förslaget till lag om ordnande av social- och hälsovården och räddningsväsendet i Nyland i RP 241/2020 rd och i denna proposition har strävan varit att beakta det nationella handlingsutrymme som den allmänna dataskyddsförordningen tillåter. I detta förslag ingår endast sådana specialbestämmelser som kompletterar den allmänna dataskyddsförordningen och dataskyddslagen och som har bedömts vara nödvändiga i Nyland för att social- och hälsovårdsreformen ska kunna genomföras.
I lagförslaget har man fäst särskild uppmärksamhet vid särskilda kategorier av personuppgifter och bedömt om regleringen är tillräcklig till denna del. När det gäller känsliga uppgifter har det bedömts att skyddet av den registrerades personuppgifter förutsätter mer detaljerad reglering i fråga om myndighetens registerföringsuppgift och utlämnandet av personuppgifter. Lagförslaget bedöms uppfylla de krav som följer av 10 § i grundlagen i enlighet med vad grundlagsutskottet tidigare har ansett att 9 § i hälso- och sjukvårdslagen är godtagbar lagstiftning.
De föreslagna bestämmelserna i 25 § i Nylandslagen och de föreslagna bestämmelserna i 64 a § i införandelagen gäller behandlingen av personuppgifter som hör till särskilda kategorier av personuppgifter och av personuppgifter som annars ska betraktas som känsliga. Vidare innebär behandlingen av personuppgifter enligt de nämnda paragraferna behandling av patientuppgifter som finns i omfattande databaser, som också kan bedömas vara förenade med särskilda risker med tanke på skyddet av de registrerades personuppgifter.
Behandling av personuppgifter enligt detta lagförslag gäller endast behandlingen av personuppgifter hos myndigheterna i landskapet Nyland. På grund av särlösningen för ordnandet av social- och hälsovården i landskapet Nyland är de föreslagna bestämmelserna en förutsättning för att lagstiftningen ska kunna verkställas även i Nyland. De tillfälliga bestämmelserna om utlämnande av patientuppgifter behövs för att genomförandet av reformen ska kunna tryggas och patientsäkerheten säkerställas i övergångsskedet. Genom att trygga tillgången till patientuppgifter tryggas patienternas jämlikhet i förhållande till andra välfärdsområden också med tanke på patientsäkerheten och kvaliteten på vården.
På behandlingen av personuppgifter tillämpas skyddsåtgärder enligt kunduppgiftslagen, såsom beviljande av åtkomsträttigheter till nödvändiga kunduppgifter i enlighet med social- och hälsovårdsministeriets förordning, som utfärdas med stöd av 15 § i kunduppgiftslagen, datatekniskt säkerställande av vårdrelationen och produktion av logguppgifter över utlämnande.
De föreslagna bestämmelserna bedöms tillsammans med dataskyddslagens bestämmelser om skyddsåtgärder uppfylla de krav som följer av 10 § i grundlagen.
På ovannämnda grunder anser regeringen att propositionen är förenlig med grundlagen och att den föreslagna lagen kan behandlas i vanlig lagstiftningsordning. Regeringen anser det dock önskvärt att grundlagsutskottet ger ett utlåtande i frågan.