2016-10-26
Statens medicinsk-etiska råd (Smer) har getts tillfälle att yttra sig över delbetänkandet Hur står det till med den personliga integriteten? En kartläggning av integritetskommittén. Smer lämnar härmed följande synpunkter.
Sammanfattning
Smer välkomnar utredningens kartläggning och analys av riskerna för integritetsintrång på olika områden. Rådet anser att den är viktig inte minst för att kunna bedöma vilka åtgärder eller insatser som behövs för att säkerställa respekten för den enskildes integritet i olika sammanhang.
Smer anser sammanfattningsvis att:
- det är oroväckande att det bedöms föreligga allvarliga risker för den personliga integriteten i samband med hantering av personuppgifter inom hälso- och sjukvården samt inom socialtjänstens användning av välfärdsteknik. Det är därmed också angeläget att konkreta förslag på åtgärder presenteras i syfte att förbättra situationen.
- det är oroväckande och anmärkningsvärt att flera landsting ännu inte anpassat sina system så att de klarar kraven som ställs i patientdatalagen (2008:355).
- det i delbetänkandet saknas en analys kring dels riskerna med föräkringsföretagens möjlighet att inhämta hälsouppgifter från journaler som förs inom barn- och skolhälsovården, dels avsaknaden av en lagstadgad tystnadsplikt för anställda i försäkringsföretag.
- de risker för den personliga integriteten som utredningen uppmärksammat när det gäller försäkringsverksamhet bör analyseras vidare i syfte att bedöma om det behövs ytterligare lagstiftning eller regelverk på området.
- förslaget om att utvidga Datainspektionens uppdrag m.m. är positivt.
Inledning
Smer har i uppdrag att belysa medicinsk-etiska frågor ur ett övergripande samhällsperspektiv. Rådets synpunkter är således begränsade till de områden som är av medicinsk-etisk relevans. Smer har tidigare i flera remissvar påpekat att den ökande informationsöverföringen inom hälso- och sjukvården aktualiserar viktiga frågor kring skyddet av den personliga integriteten samt betonat vikten av att denna värnas och att känsliga personuppgifter skyddas.
Smer har vidare ett pågående projekt om etiska aspekter kring så kallade egenmätningar, där data samlas in via mobilappar och kroppsnära teknik, för att ge användaren (och ibland även andra) möjlighet att analysera hälsan på olika sätt. Inom ramen för detta arbete aktualiseras flera frågor kring integritet som rör bl.a. insamlingen av hälsodata, betydelsen av användarens samtycke, i vilket syfte insamlade uppgifter används och behandlingen av känsliga personuppgifter. Här kan det finnas en motsättning mellan individens intresse av skydd för sina personuppgifter och t.ex. privata företags intresse av att på olika sätt använda informationen i vinstsyfte.
Integritetsskyddskommitténs kartläggning av riskområden
Kommittén har gjort en omfattande kartläggning och analys av riskerna för integritetsintrång på olika områden. Smer välkomnar kartläggningen och anser att den är viktig inte minst för att kunna bedöma vilka åtgärder eller insatser som behövs för att säkerställa respekten för den enskildes integritet i olika sammanhang. Såsom Smer uppfattat det kommer slutbetänkandet bl.a. att följa upp de risker som kartläggningen identifierat och ge förslag på konkreta åtgärder för att komma till rätta med problemen. Rådet ser fram emot att ta del av dessa.
Hälso- och sjukvård och välfärdsteknik inom socialtjänst
Såsom utredningen konstaterar är den information som dokumenteras inom hälso- och sjukvården och socialtjänsten av mer integritetskänslig karaktär än den som registreras i många andra sammanhang. Det krävs således extra uppmärksamhet kring integritetsaspekterna på detta område. Det är vidare avgörande att det regelverk som syftar till att skydda den enskilde från oacceptabla integritetsintrång följs. Smer anser därför att det är oroväckande och anmärkningsvärt att utredningens kartläggning visar att flera landsting fortfarande inte anpassat sina system så att de klarar kraven som ställs i patientdatalagen (2008:355). Utredningen pekar också generellt på bristande regelefterlevnad och okunskap om lagstitningen från vårdgivarnas sida, vilket är allvarligt.
Andra risker som uppmärksammas berör ledning och ansvarstagande över informationssystemen, bristen på gemensam infrastruktur och bristande informationssäkerhet. Att kommittén bedömer att det föreligger allvarliga risker för den personliga integriteten i samband med hantering av personuppgifter inom hälso- och sjukvården anser Smer vara mycket oroväckande. Det är således uppenbart att omfattande åtgärder behöver vidtas för att komma till rätta med problemen i detta avseende. Smer hoppas att utredningen i slutbetänkandet kommer med konkreta förslag på åtgärder i detta avseende i syfte att förbättra situationen.
Smer har tidigare diskuterat användningen av av välfärdsteknik och digitala tjänster och dess konsekvenser för den personliga integriteten i rapporten Robotar och övervakning i vården av äldre – etiska aspekter från 2015. Rådet anser att det är positivt att dessa frågor också uppmärksammas av utredningen. Såsom utredningen konstaterar innefattar användningen av tekniska lösningar i socialtjänsten såsom kameraövervakning, GPS-sändare och sensorer, hantering av mycket känsliga uppgifter om enskilda personer med stort hjälpbehov. Detta kräver att ansvariga beslutsfattare och personal är medvetna om lagstiftningen samt är vaksamma på att inte den enskildes integritet kränks. Såsom utredningen beskriver finns också oklarheter i lagstiftningen kring om personer med nedsatt beslutsförmåga kan erbjudas insatser med olika typer av välfärdsteknik. Smer framhåller bl.a. i rapporten att en etisk bedömning alltid måste göras innan en ny hälsorobot eller övervakning med kamera eller GPS börjar användas i vårdverksamheten. Därefter måste en bedömning göras om det är lämpligt att i det enskilda fallet använda tekniken utifrån individens egen inställning, förutsättningar och behov osv. Smer anser att det är oroande att det bedöms föreligga allvarliga risker för den personliga integriteten i samband med hantering av personuppgifter inom socialtjänstens användning av välfärdsteknik. Det är således angeläget att åtgärder vidtas skyndsamt för att minimera dessa risker.
Forskning och statistik
Sverige utmärker sig när det gäller det allmännas möjlighet att undersöka sina invånares liv utifrån olika databaser med forsknings- och statistikändamål. Såsom utredningen konstaterar finns stora samlingar uppgifter inom forskningen som kan vara synnerligen integritetskänsliga. Sammantaget är slutsatsen att hanteringen av integritetskänsliga personuppgifter för forskningsändamål innebär en allvarlig risk för den personliga integriteten, särskilt när uppgifterna hanteras utan stöd av samtycken eller med stöd av samtycken som är brett formulerade eller som lämnats tidigare i livet.
Smer har i flera remissvar kommenterat etiska aspekter i relation till de befolkningsbaserade register som används för forskning. Smer har delat uppfattningen att registren är en viktig forskningsresurs, men framhållit att registrens framtid är beroende av allmänhetens och registerdeltagarnas förtroende för registren och att detta bibehålls genom att de hanteras på ett etiskt invändningsfritt sätt. Smer har också kommenterat det problematiska med breda samtycken när det gäller forskningsregistren och vikten av att deltagarna inser vad uppgifterna kan komma att användas till. Vad som är en etiskt godtagbar avvägning mellan deltagarens intresse av att veta vad lämnade uppgifter ska användas för och forskarens intresse av att kunna använda insamlade uppgifter för forskning, måste analyseras från fall till fall.
Försäkringsverksamhet
Utredningen konstaterar att försäkringsföretag behöver behandla personuppgifter för premieberäkning, statistik, marknadsföring, skadereglering och förebyggande av skador. Mycket av den information som företagen är intresserade av att samla in är känslig. Ett svenskt försäkringsföretag har lanserat en sjuk- och olycksfallsförsäkring som ger rabatt på premien när kunden rör på sig i vardagen vilket mäts genom en mobilapp. Försäkringsföretagen får i vissa fall också tillgång till känsliga uppgifter om enskildas hälsotillstånd, t.ex. i patientjournaler, när försäkringstagaren lämnar sitt samtycke för detta. Utredningen ifrågasätter om nuvarande reglering är tillräcklig för att skydda den enskildes integritet när det kommer nya möjligheter att ta del av t.ex. journaluppgifter via nätet och genom olika hälsokonton.
Smer har i tidigare remissvar särskilt lyft fram riskerna med försäkringsföretagens möjlighet att inhämta hälsouppgifter från journaler som förs inom barn- och skolhälsovården och avsaknaden av en lagstadgad tystnadsplikt för anställda i försäkringsföretag. Smer saknar en analys av dessa frågor i delbetänkandet. Smer instämmer med utredningen att nya möjligheter till informationsinhämtning för försäkringsföretagen, genom t.ex. mobila appar, och informationsöverföring, från t.ex. e-journaler och hälsokonton, aktualiserar nya integritetsrisker. Såsom utredningen konstaterar ställer detta krav på företagen vad gäller ansvar, information till kunderna, rutiner och säkerhet. Utredningen bedömer att det finns påtagliga risker för den personliga integriteten i samband med försäkringsföretagens verksamhet. Utredningen ser vidare en risk för att utvecklingen ytterligare kan rubba balansen mellan försäkringstagaren och dennes försäkringsgivare. Smer anser att de risker som utredningen uppmärksammat bör analyseras vidare i syfte att bedöma om det behövs ytterligare lagstiftning eller regelverk på området. Det är också viktigt mot bakgrund av utredningens bedömning att framtida hantering av personuppgifter inom försäkringsverksamheten kan innefatta allvarliga risker för den personliga integriteten.
Förslag om utvidgning av Datainspektionens uppdrag m.m.
Smer är positiv till utredningens förslag att Datainspektionens uppdrag att följa och beskriva utvecklingen på it-området när det gäller frågor som rör personlig integritet och ny teknik ska utvidgas till att även omfatta de legala förutsättningarna för integritetsskyddet, samt en analys av utvecklingen. Det är bra att en myndighet följer utvecklingen på ett mer övergripande plan. Smer anser vidare att det förefaller naturligt att Datainspektionen, som redan gör ett värdefullt arbete på området, ges detta uppdrag. Smer instämmer också i förslaget att utvecklingen på området bör sammanställas i en årlig rapport till regeringen som sedan överlämnar denna tillsammans med en skrivelse till riksdagen. Förhoppningsvis ökar detta kunskapen bland beslutsfattare om hur den tekniska och digitala utvecklingen påverkar den personliga integriteten vilket kan leda till en ökad medvetenhet kring brister i lagstiftningen och nödvändiga åtgärder för att upprätthålla skyddet för densamma.
Beslut om remissvaret har fattats på rådets ordinarie sammanträde den 21 oktober 2016. I beslutet deltog ledamöterna Kjell Asplund (ordförande), Finn Bengtsson, Sven-Olov Edvinsson, Åsa Gyberg-Karlsson och Anna-Lena Sörenson. Vid behandlingen av ärendet deltog även de sakkunniga Ingemar Engström, Olle Olsson, Göran Hermerén, Ann Johansson, Nils-Eric Sahlin, Elisabet Wennlund och Bengt Rönngren. Utredningssekreterare Helena Teréus har berett ärendet.