Yttrande över betänkandet Vidareanvändning av hälsodata för vård och klinisk forskning (SOU 2023:76)

Inledning

En övergripande synpunkt är att utvidgade möjligheter för företrädare inom vård och klinisk forskning att få tillgång till hälso- och genetiska data som utredningen föreslår kan ha positiva effekter för folkhälsan i Sverige. Det finns dock även risker förknippade med en sådan utvidgning. Det följer av den genetiska informationens natur att den kan missbrukas vilket kan leda till allvarliga integritetsinskränkningar på såväl individ- och gruppnivå, exempelvis genom att genetisk information används vid profilering. I fel händer kan genetiska data användas för att utveckla skräddarsydda biologiska vapen efter de genetiska egenskaperna hos vissa grupper. Det finns också en oro för hur försäkringsbolag, arbetsgivare och andra privata aktörer kan använda sådan information på ett sätt som kan drabba grupper eller individer på olika sätt. Det är därför av stor vikt att lagförslaget redan från början säkerställer att erforderliga rättsliga, tekniska och organisatoriska skyddsåtgärder tillförsäkras och tillämpas.

Terminologi och definitioner

Stockholms universitet instämmer med utredningen att det är lämpligt att använda termen ”vidareanvändning” snarare än ”sekundär användning”. Som utredningen konstaterar finns det många former av vidareutnyttjande av hälsodata, vilket gör att det är bättre att undvika begreppet ”sekundär användning”. Med detta sagt skulle det ha varit bättre om utredningen uttryckligen hade definierat ”vidareutnyttjande”, särskilt med tanke på hur viktig termen är inom den nya rättsliga ram som föreslås. En annan viktig term (vilken används 331 gånger i betänkandet) som inte heller ges en rättslig definition är ”direktåtkomst”.

Utformningen av en rättslig grund för behandling samt ändamålsbegränsning avseende vårdändamål

Enligt artikel 9.1 GDPR ska hälsouppgifter betraktas som en särskild kategori av personuppgifter. Som utgångspunkt är behandling av sådana personuppgifter förbjuden, med mindre än att (bl.a.) nationell rätt definierar tillämpliga undantag. Stockholms universitet delar utredningens bedömning att artikel 9.2.h GDPR kan användas som stöd för att via nationell lagstiftning tillåta sekundär användning av hälsouppgifter för vård av andra än patienten själv. I utredningen (avsnitt 14.4.5, ss. 447ff.) anges att behandlingen av patientuppgifter endast får avse:

• Urval och tillgängliggörande av personuppgifter till en databas för precisionsmedicin.
• Upprättande och drift av en databas för precisionsmedicin.
• Tillgång till personuppgifter i en sökbar databas för precisionsmedicin.
• Begäran om kompletterande personuppgifter från patientjournalen.

Det är dock inte möjligt att på ett entydigt sätt utläsa ovannämnda grunder i de föreslagna lagrummen som de nu har formulerats. Vidare är syftesformuleringarna vaga och det kan ifrågasättas om de angivna ändamålen är tillräckligt specificerade. Oklarheten i detta avseende väcker frågor om de registrerade faktiskt har förutsättningar att förutse hur deras uppgifter kommer att behandlas i enlighet med den grundläggande principen om ändamålsbegränsning, finalitetsprincipen. Även om det står klart att en patients personuppgifter kan ingå i en databas för precisionsmedicin och därmed användas för att stödja vården av andra patienter, finns det mycket lite information om vad detta faktiskt innebär i praktiken. I slutändan är det oklart om patienterna fullt ut kommer att förstå riskerna och fördelarna med att samla in stora mängder mycket känsliga uppgifter i en myndighetsdriven databas. Det kan därför ifrågasättas om de undantag och ändamålsbegränsningar som utredningen föreslår har formulerats på ett tillräckligt klart, precist och förutsebart sätt för berörda personer. Med den nuvarande utformningen blir det vidare svårt att genomföra en konkret avvägning i enlighet med proportionalitetsprincipen, såsom förutsätts i GDPR och i EU-domstolens praxis. 

Opt-out i patientdatalagen

Utredningen föreslår att patienter ska kunna motsätta sig att personuppgifter görs tillgängliga för en precisionsmedicinsk databas (6 kap. 5 § patientdatalagen). Innan information görs tillgänglig för en precisionsmedicinsk databas måste patienten få information om vad personuppgiftsbehandling i en precisionsmedicinsk databas innebär samt ges möjligheten att invända mot att information görs tillgänglig. Frågan är dock om det inte vore lämpligare att kräva samtycke till inkludering istället för en enkel ”opt out”-mekanism. Visserligen kan det till följd av den maktobalans som föreligger mellan patienter och vårdgivarna ifrågasättas om samtycke är en lämplig rättslig grund för att behandla personuppgifter. Kravet på informerat samtycke är dock väl etablerat inom hälso- och sjukvården och ligger i linje med de bredare etiska överväganden som aktualiseras. ”Opt out”-mekanismen skulle kunna vara tillräcklig för behandling och delning av icke-känsliga uppgifter, men det faktum att en databas för precisionsmedicin kommer att omfatta extremt känsliga hälsouppgifter medför behov av ett mer rigoröst integritetsskydd. Ett sådant skydd föreslås i fråga om en ny lag avseende vidareanvändning av personuppgifter för klinisk forskning (se nedan vad gäller samtycke vid klinisk forskning).

Datasäkerhet

Datasäkerhet är en angelägen fråga när det gäller databaser som lagrar mycket känsliga uppgifter och som riskerar att utsättas för hackning. Om databaserna förlitar sig på offentliga nätverk kommer detta att medföra ytterligare risk för säkerhetsproblem. Vid ett intrång i en databas för precisionsmedicin med stora mängder känsliga hälsouppgifter är risken för integritetsintrång i den enskildes liv mycket stor. Till skillnad från lösenord eller personnummer, som kan ändras och ersättas, finns det knappast några möjligheter att åtgärda ett intrång som rör genetiska uppgifter. Ett intrång skulle således vara förödande och undergräva medborgarnas förtroende för såväl hälso- och sjukvård som medicinsk forskning.

Frågan är därför om systemet som föreslås i tillräckligt hög grad säkerställer skydd mot sådana intrång och om uppgifterna kommer att vara säkra och oåtkomliga för obehöriga tredje parter. Utredningen medger att en nationell datahubb som använder avancerad integritetshöjande teknik skulle vara optimal. Ändå föreslår utredningen en mycket komplex teknisk infrastruktur med minst åtta databaser som ett snabbare och mer kostnadseffektivt alternativ. Detta framstår som en kortsiktig och inte tillräckligt säker lösning. Säkerhet och integritet måste prioriteras redan från början av systemets utveckling och under hela dess användningstid. Det är väl känt att det är lättare att bygga in säkerhet och integritet i systemutvecklingen från början än att försöka ”skruva på” det i efterhand.

En jämförelse kan göras med andra EU-rättsakter på området. I såväl den redan antagna dataförvaltningsakten (artikel 2(14) och 5(4), (5)) som i förslaget till ett europeiskt hälsodataområde (EHDS), (artikel 2(1) c och 50) är begreppet ”säker behandlingsmiljö” av central betydelse för att kunna tillgängliggöra känsliga personuppgifter för vidareanvändning under säkra former. Utredningen har inte närmare utrett frågan om säker behandlingsmiljö, utan anger att det för närvarande inte finns några sådana miljöer att tillgå i Sverige. Utredningen hänvisar till ett eventuellt kommande arbete för att det fall förslaget till EHDS antas. Det är beklagligt att utredningen inte har kunnat ta fram förslag för hur sådana säkra behandlingsmiljöer ska kunna tillhandahållas även i detta sammanhang och frågan bör resas om inte arbetet har börjat i fel ände.
Utredningen föreslår att flera databaser för precisionsmedicin ska etableras som gör det möjligt för alla anställda inom specialistsjukvården i en region att, när det finns ett kliniskt behov, söka i en sådan databas. Det finns också en möjlighet att begära ytterligare uppgifter ur journaler avseende enskilda patienter. Frågan om tillgång ska således avgöras av regionerna själva, inte av en oberoende myndighet. I juridisk doktrin har framförts att ett oberoende organ är bäst lämpat att bedöma de många potentiella risker som vidareanvändning av hälsodata kan medföra.  I förslaget till EHDS förutsätts att en sådan funktion att inrättas i medlemsstaterna (organ med ansvar för tillgång till hälsodata) med uppgift att pröva begäran om tillgång till data från mer än en datainnehavare. Begäran om tillgång till data från en enda datainnehavare kan riktas direkt till denne, utan att organet med ansvar för tillgång till hälsodata involveras (artikel 46 och 48).

Anonymisering

Full anonymisering av uppgifter i de databaser som det här är fråga om är ofta inte möjlig på grund av risken för återidentifiering och är sannolikt inte heller önskvärd på grund av behovet av att kunna leverera individanpassad medicin. Utredningen har därför lagt tonvikten på pseudonymisering av data. Det särskilda behovet av att behålla nyttan av uppgifterna kommer sannolikt att vara en nyckelfråga i detta sammanhang, inte minst ur ett säkerhetsperspektiv. Utredningen nämner mer avancerade integritetsbevarande beräkningsmetoder i linje med den senaste tekniken, men avfärdar dem sedan som alltför kostsamma och tidskrävande att genomföra för närvarande. Detta kan ifrågasättas och kan ses som alltför kortsiktigt.

Även i detta sammanhang kan anknytas till det lagstiftningsarbete som pågår inom ramen för EHDS, där krav på pseudonymisering utgör ytterligare en central skyddsåtgärd (artikel 44(3)), utöver ovannämnda regler om säkra behandlingsmiljöer. Det vore en fördel om dessa parallella lagstiftningsarbeten kunde samordnas på ett tydligare sätt.

Samtycke vid klinisk forskning

När det gäller sekundär användning för forskningsändamål föreslås en helt ny lag om viss vidareanvändning av personuppgifter för klinisk forskning. Lagförslaget förutsätter av integritetsskäl att enskilda patienter dels samtycker till att delta i forskningen, dels samtycker till att patientuppgifterna får göras tillgängliga för detta ändamål. I anslutning till detta föreslås ändringar i offentlighets- och sekretesslagen för att möjliggöra förenklad tillgång till och utlämnande av patientuppgifter mellan olika myndigheter. Stockholms universitet välkomnar förslaget till ny lagstiftning, som innebär en stärkt rättssäkerhet för berörda patienter. Såsom påpekats ovan avseende frågan om valet mellan Opt out-mekanism eller samtycke i patientdatalagen, bör övervägas om inte samtycke bör krävas redan då personuppgifter görs tillgängliga för en precisionsmedicinsk databas.

Det är viktigt att notera att utredningen anger att tillgången till personuppgifter för klinisk forskning endast får ske om den registrerade samtycker till tillgången genom begränsad direktåtkomst eller annat elektroniskt utlämnande. Innan samtycke ges måste den registrerade, utöver vad som framgår av artikel 13 och 14 i GDPR, informeras om vad begränsad direktåtkomst eller annat elektroniskt utlämnande enligt lagen innebär och rätten att återkalla samtycke till att uppgifter görs tillgängliga. Om den registrerade återkallar sitt samtycke ska tillgängliggörandet upphöra så snart som möjligt. Att inhämta samtycke anses vara en ”integritetsfrämjande strategi” i sammanhanget, men det kan ifrågasättas om de registrerade faktiskt kan ges förutsättningar att lämna ett meningsfullt samtycke. För det första, är det möjligt att informera om alla uppgifter som finns i deras journaler? För det andra, har de förutsättningar och möjlighet att förstå hur dessa uppgifter kommer att behandlas inom ramen för precisionsmedicin?

Automatiserat beslutsfattande

Det är vidare viktigt att beakta tillämpliga rättsliga regler om automatiserat beslutsfattande. Utredningen synes inte ha övervägt om de beslut som fattats på grundval av de uppgifter som samlats in i precisionsdatabasen strider mot artikel 22 i GDPR (s. 43 och 83). AI-tjänster kommer sannolikt att utnyttjas i precisionsmedicin och kommer, om så är fallet, sannolikt kategoriseras som hög risk enligt EU:s AI-Act. Det framgår inte heller om utredningen har övervägt hur efterlevnaden av den nya rätten till förklaring som ingår i artikel 68 c i AI Act ska uppnås (avsnitt 11.5.1, s. 349).

Komplexiteten i det juridiska och tekniska landskapet

Utredningen avser ett komplext område under snabb förändring, vilket i sig innebär en utmaning för lagstiftningsarbetet. Samtidigt kan de nya tekniska möjligheterna innebära stora landvinningar för den medicinska forskningen, vilket bör kunna utnyttjas. Att låta bli att reglera är därmed knappast ett bättre alternativ. 

Utredningen identifierar flera svårigheter och utmaningar, såsom bristen på kompetens i tekniska frågor bland berörda grupper, inte minst patienterna själva. Det råder knappast något tvivel om att databaser för precisionsmedicin kommer hantera komplexa dataflöden. För det första kommer data att delas mellan statliga myndigheter och över vårdgivargränserna. För det andra kan data komma att delas mellan olika medlemsländer i EU, särskilt om överstatliga forskningskonsortier är inblandade. Detta kan medföra komplicerade lagvalsfrågor, i synnerhet om databaserna förlitar sig på molntjänster för att lagra dessa enorma mängder data. Frågan berörs inte i utredningen.

Därutöver kan framhållas att den reglering som utredningen föreslår är mycket komplex. Komplexa och invecklade lagar och föreskrifter kan vara svåra för enskilda och offentliga organ att förstå och följa. Detta kan leda till oavsiktliga överträdelser och rättsliga tvister. Komplexa rättsliga ramar kan också vara tvetydiga och öppna för tolkning, vilket leder till osäkerhet om hur lagen ska tillämpas. Bristande tydlighet i lagen kan också hindra allmänheten från att förstå sina rättigheter och skyldigheter. Behovet av utbildning samt av tydliga guider och vägledande dokument vid genomförande av lagstiftningen bör inte underskattas. 
Vidare har flera frågor lämnats obesvarade i utredningen. Hur ska ny information som genereras till följd av forskningen hanteras, kommer dataseten att uppdateras? Om så sker, hur säkerställs att uppgifterna är fortsatt korrekta och adekvata i dataflödena?  Denna osäkerhet gör sig särskilt gällande då avgörande hälsobeslut fattas på grundval av uppgifterna. Kommer enskilda patienter att underrättas i det fall relevanta kliniska fynd görs vid behandling av deras personuppgifter vid vården av en annan patient?Kommer patienterna även i övrigt kunna förväntas kunna följa hur dataflödena går och hur deras uppgifter uppdateras?  

Avslutningsvis kan konstateras att betänkandet i hög grad är fokuserat på att reglera de rättsliga förutsättningarna för vidareanvändning av hälsodata, men det bör betonas att framtidens lagstiftning bör utformas så att den är integrerad med teknikutvecklingen.  Ett strikt fokus på lex scripta, den skrivna lagen, är otillräckligt. Integritetsskydd och säkerhet måste integreras i systemutvecklingen från allra första början. 

Detta beslut är fattat av rektor, professor Astrid Söderbergh Widding, i närvaro av prorektor, professor Clas Hättestrand, och universitetsdirektör Åsa Borin. Studeranderepresentanter har informerats och haft tillfälle att yttra sig. Övrig närvarande har varit Henrik Lindell Kennberg, Ledningssekretariatet (protokollförare). Ärendet har beretts av Juridiska fakultetsnämnden. Föredragande i ärendet har varit utbildningsledare Rikard Skårfors.