med anledning av prop. 2012/13:163 Vissa register för forskning om vad arv och miljö betyder för människors hälsa

Motion 2012/13:Ub22 av Gunvor G Ericson m.fl. (MP)

av Gunvor G Ericson m.fl. (MP)

Förslag till riksdagsbeslut

  1. Riksdagen tillkännager för regeringen som sin mening vad som anförs i motionen om åtgärder för att begränsa åtkomsten till uppgifter i registren.

  2. Riksdagen tillkännager för regeringen som sin mening vad som anförs i motionen om krav på att underrätta en enskild om en uppgift om honom eller henne lämnats ut till en myndighet med stöd av de sekretessbrytande bestämmelser som föreslås i proposition 2012/13:163.

  3. Riksdagen tillkännager för regeringen som sin mening vad som anförs i motionen om krav på att personer som fyllt 18 år ska informeras om hantering av personuppgifter om dem som registrerats innan de fyllde 18 år.

  4. Riksdagen tillkännager för regeringen som sin mening vad som anförs i motionen om krav på högskolor och universitet som såväl hanterar register enligt den föreslagna lagen som bedriver forskning med stöd av uppgifter ur registren att organisera sin verksamhet så att sekretess uppstår.

  5. Riksdagen tillkännager för regeringen som sin mening vad som anförs i motionen om att ge Datainspektionen i uppdrag att följa tillämpningen av den föreslagna lagen och att senast den 1 januari 2016 återkomma till regeringen med en redovisning.

  6. Riksdagen tillkännager för regeringen som sin mening vad som anförs i motionen om att ge Centrala etikprövningsnämnden i uppdrag att följa upp tillstånd och beslut som fattas av regionala etikprövningsnämnder och att senast den 1 januari 2016 återkomma till regeringen med en redovisning.

Motivering

Genom propositionen föreslås en lag som gör det möjligt att skapa underlag fo¨r olika forskningsprojekt om vad arv och miljo¨ betyder fo¨r uppkomsten och utvecklingen av olika typer av sjukdomar och fo¨r ma¨nniskors ha¨lsa i o¨vrigt. Lagförslagen har tillkommit mot bakgrund av Datainspektionens beslut att förbjuda verksamheten inom ramen för projektet LifeGene hos sex olika lärosäten.

Av tillgängliga uppgifter framgår att avsikten är att LifeGene ska omfatta registrering av data från upp till en halv miljon människor. Det är ytterst integritetskänsliga uppgifter som har registrerats och kommer att registreras, och de sammanställda uppgifterna kommer att kunna visa uppgifter om arv och miljö som vi hittills inte haft kunskap om. Denna kunskap är på en aggregerad nivå viktig såväl för att förbättra människors levnadsförhållanden som för att i övrigt skapa ett bättre samhälle att leva i. På individnivå kan det emellertid vara kunskap och uppgifter som är skadliga både för enskilda och samhället i stort. Det kan också vara så att sammanställda uppgifter på olika sätt kan komma att användas på ett felaktigt sätt och rent av komma att användas för syften som vårt samhälle inte är betjänt av. Sammantaget gör vi dock bedömningen att skapandet av de register som möjliggörs genom propositionens förslag är rimliga, även om viss tveksamhet finns med anledning av vad Datainspektionen och Justitiekanslern framfört om huruvida syftet med LifeGene och kommande projekt är förenliga med dataskyddsdirektivet, dvs. om sådana register som LifeGene och dess kommande motsvarigheter över huvud taget får skapas. Vi förutsätter dock att denna fråga blir föremål för noggranna överväganden inom Regeringskansliet och att frågan även uppmärksammas inom ramen för det pågående arbetet med översyn av personuppgiftsskyddet på EU-nivå.

Trots att vi inte avstyrker regeringens förslag om ny lag om vissa register fo¨r forskning om vad arv och miljo¨ betyder fo¨r ma¨nniskors ha¨lsa, väcker propositionen vissa frågor. Det handlar om universitetens och högskolornas faktiska möjligheter att skydda registren och åtkomsten till uppgifter i dessa, om sekretesskyddet, om behandlingen av personuppgifter för personer som fyllt 18 år och om uppföljning av lagens effekter ur olika perspektiv.

Åtgärder för att begränsa åtkomsten till uppgifter i registren

Av 10 § i den föreslagna lagen framgår att den personuppgiftsansvarige ska begra¨nsa sina ansta¨lldas och uppdragstagares elektroniska a°tkomst till personuppgifter till vad var och en beho¨ver fo¨r att kunna fullgo¨ra sina arbetsuppgifter i fra°ga om registret. Regeringen anger i författningskommentaren (s. 82 i prop.) att de arbetsuppgifter som avser kan vara att fo¨ra in uppgifter i registret och att la¨mna ut uppgifter fra°n registret. Vidare anför regeringen att med uppdragstagare avses bl.a. personuppgiftsbitra¨den. Syftet med begra¨nsningen anges vara att fo¨rsta¨rka skyddet fo¨r den personliga integriteten genom att se till att uppgifterna a¨r tillga¨ngliga fo¨r en sa° liten krets som mo¨jligt.

De register som möjliggörs genom den aktuella lagen ska enligt förslaget föras av universitet och högskolor som själva har intresse av att forskningen bedrivs. Flera av universiteten har samlokaliserat sin verksamhet med sjukhus som bedrivs av en sjukvårdshuvudman i offentlig regi. Vid ett flertal av dessa har Datainspektionen riktat allvarlig kritik mot hur känsliga personuppgifter hanterats inom patientdatalagstiftningens ramar. Det har framkommit och framkommer fortlöpande, att möjligheten för personal att ta del av känsliga personuppgifter är omfattande, att kontrollen hos sjukvårdshuvudmännen över vilka som tar del av patientdata är bristfällig och att det finns brister i datasystemen som sådana. Även om det handlar om en annan personuppgiftsansvarig än som avses i den föreslagna lagen, kan det dock många gånger vara så att samma anställda som föreslås ges behörigheter enligt 10 § i den föreslagna lagen arbetar i en annan del av lärosätenas verksamhet och t.o.m. har delar av sin anställning hos sjukvårdshuvudmannen. De uppgifter som framkommit genom Datainspektionens tillsynsverksamhet visar på stora behov av ökad kunskap hos anställda om vad som är tillåten och otillåten hantering av patientdata. Det verkar rimligt att anta att behovet av kunskap även är stort hos den personal som kommer att arbeta med de nya registren som föreslås omfattas av den nya lagstiftningen. Sammantaget medför detta att vi ser en risk i att begränsningsskyldigheten enligt 10 § i den föreslagna lagen inte kommer att tillämpas så restriktivt som avses. Vi vill därför att Datainspektionen ska få i uppdrag att tillsammans med de lärosäten som ges regeringens tillstånd att hantera de aktuella registren, utforma riktlinjer för hur åtkomsten ska begränsas till endast de ytterst få personer som behöver ha tillgång till uppgifterna för att hantera registret. Detta anser vi att riksdagen som sin mening bör ge regeringen till känna.

Underrättelser till enskilda

I den föreslagna 24 kap. 2 a § offentlighets- och sekretesslagen föreslås absolut sekretess i verksamhet som avser fo¨rande av eller uttag ur register enligt lagen om vissa register fo¨r forskning om vad arv och miljo¨ betyder fo¨r ma¨nniskors hälsa. Sekretessen gäller uppgifter som avser en enskilds personliga fo¨rha°llanden och som kan ha¨nfo¨ras till den enskilde. Enligt andra stycket i samma föreslagna lagrum ges möjligheter att trots detta lämna ut sekretessbelagda uppgifter i vissa fall. Det handlar bl.a. om att uppgifter kan lämnas ut från registret till de särskilda register som upprättas för särskilda forskningsprojekt och som då prövas enligt särskild etiklagstiftning. Ett utlämnande kan också ske på grund av offentlighetsprincipen eller på grund av tvång enligt annan särskild lagstiftning.

De uppgifter om enskilda som registreras kan många gånger vara av ytterst känslig natur för den enskilde. Det är också därför absolut sekretess råder. Det kan ändå antas att ett utlämnande kan komma att ske av de skäl som angetts ovan. Det kan – tyvärr – också antas att utlämnande sker på felaktigt sätt eller på felaktiga grunder. Oavsett skälen till utlämnande anser vi att det lärosäte som ansvarar för hanteringen av registret och som är personuppgiftsansvarigt, ska vara skyldigt att underrätta den enskilde när ett utlämnande av namn eller personnummer skett. Detta ska inte behöva ske om utlämnandet skett inom ett lärosäte för dess etikprövade forskningsverksamhet men i alla övriga fall. Skälen för detta är att enskilda typiskt sett inte kan antas anta att uppgifter om deras person ska lämnas ut eller hanteras av andra än de lärosäten som hanterar registret. Vad som här anförts om underrättelser till enskilda bör riksdagen som sin mening ge regeringen till känna.

Information till personer som fyllt 18 år

I promemorian med fo¨rslag till en fo¨rordning om register fo¨r viss befolkningsbaserad forskning (U2012/3414/F) fanns ett förslag om att de minderåriga som registrerats i registret med vårdnadshavares samtycke skulle informeras om registreringen inom två år från det att de fyller 18 år. Regeringen väljer i propositionen att frångå utredningens förslag och anför (s. 56) följande: Regeringen go¨r bedo¨mningen att ett uttryckligt samtycke som har la¨mnats av va°rdnadshavarna fo¨r en undera°rigs medverkan i registren och som inte har a°terkallats av fo¨ra¨ldrarna eller den undera°rige a¨r giltigt a¨ven efter det att den registrerade har fyllt 18 a°r (jfr O¨man och Lindblom, Personuppgiftslagen – en kommentar, 4:e uppl. s. 109). Regeringen anser da¨rfo¨r att en sa°dan besta¨mmelse som fo¨resla°s i promemorian inte a¨r no¨dva¨ndig. Efter den registrerades 18 a°rsdag fa°r dock naturligtvis inte ytterligare uppgifter om den registrerade samlas in utan att den enskilde sa°va¨l informerats som uttryckligen samtyckt till behandling av sa°dana uppgifter. Vi delar inte regeringens bedömning. De uppgifter som genom vårdnadshavarnas försorg införts i registret kan vara både omfattande och mycket personligt känsliga för de barn som avsetts. Det kan till och med förekomma att uppgifterna är felaktiga, att de lämnas för att skada barnet eller en annan vårdnadshavare eller att det är sådana uppgifter som barnet, när det fyllt 18 år, inte vill ska finnas i registret. Med den uppbyggnad den föreslagna lagstiftningen har kommer barnet aldrig att få reda på vilka uppgifter som registrerats om honom eller henne, än mindre att en registrering har skett. Rätttigheten för personerna att med stöd av personuppgiftslagen få till rättelser eller annars använda sig av sina rättigheter till bl.a. skadestånd blir då illusoriska. Vi anser därför att den som fyllt 18 år och fått uppgifter om sig registrerade på grund av samtycke av vårdnadshavare ska underrättas om förekomsten i registret inom två år från 18-årsdagen. Underrättelsen ska ske av den personuppgiftsansvarige. Detta bör riksdagen som sin mening ge regeringen till känna.

Krav på lärosäten att organisera sin verksamhet så att sekretess uppstår

Om det universitet eller den ho¨gskola som fo¨r ett register enligt den fo¨reslagna lagen ocksa° bedriver forskning till vilken uppgifter fra°n registret kan la¨mnas ut kommer det att ro¨ra sig om tva° olika verksamhetsgrenar inom myndigheten i offentlighets- och sekreteslagens (OSL) mening. Fo¨r att en sekretessgra¨ns ska uppsta° inom en myndighet ra¨cker det dock inte att det finns olika verksamhetsgrenar, utan dessa ma°ste ocksa° organiseras pa° ett sa°dant sa¨tt att de är sja¨lvsta¨ndiga i fo¨rha°llande till varandra (8 kap. 2 § OSL). I propositionen (s. 73) förutsätter regeringen att lärosätena organiserar sin verksamhet så att separata verksamhetsgrenar uppstår. Något krav på att så ska ske uppställs emellertid inte, och någon uppföljning av att så skett aviseras inte heller. Risken finns således att registret hanteras inom ramen för samma organisatoriska verksamhet som sedermera bedriver forskning med hjälp av data från registret. Risken finns också att lärosätena inte gör samma bedömningar av vad som utgör olika verksamhetsgrenar, så att oklarhet uppstår mellan exempelvis de lärosäten som ingår i LifeGene om vad som är en självständig verksamhet eller inte. Vi anser att ett krav ska ställas på att register som förs med stöd av den föreslagna lagstiftningen ska föras inom en organisatoriskt fristående enhet inom myndigheten som inte får hantera någon annan verksamhet. Detta bör riksdagen som sin mening ge regeringen till känna.

Uppdrag till Datainspektionen

Den föreslagna lagen är tidsbegränsad t.o.m. 31 december 2015. Detta är mycket bra då det ger regeringen tillfälle att noga följa lagstiftningens tillämpning och effekter, för att använda den kunskapen vid beredningen av en mer permanent lagstiftning. Såväl Justitiekanslern som Datainspektionen har såväl ifrågasatt det rättsliga stödet för den föreslagna lagstiftningen som framfört allvarlig kritik i vissa specifika delar. Kritik har även framförts från Statens medicinsk-etiska råd och andra remissinstanser, bl.a. om vad vi ovan anfört om behandling av personuppgifter avseende personer som fyllt 18 år. Detta, och det faktum att antalet registrerade personer inom ramen för registren kan antas komma att bli mycket stort, gör att det finns skäl att särskilt noga följa hur lagen tillämpas. Detta ingår förvisso i Datainspektionens normala tillsynsverksamhet, men med tanke på mängden integritetskänsliga uppgifter, att det är register som inte kommer att bli föremål för särskild etisk prövning innan de startas (eller startas igen) och att lagen i sig är tidsbegränsad, bör Datainspektionen få ett särskilt utvärderingsuppdrag. Denna utvärdering och uppföljning av registrens hantering bör redovisas till regeringen för att kunna användas i det arbete som sedan ska ske med en permanent registerlagstiftning. Detta bör riksdagen som sin mening ge regeringen till känna.

Uppdrag till Centrala etikprövningsnämnden

Det eller de register som omfattas av den föreslagna lagen kommer inte att bli föremål för särskild etikprövning. Däremot kommer varje enskilt projekt som baseras på patientdata ur registret att bli det. Det finns därför skäl att anta att ansökningar om tillstånd för projekt kan komma att bedömas olika, baserat på vilken regional nämnd som hanterar ansökan. Ett projekt vid ett lärosäte kan få tillstånd, medan ett projekt med samma inriktning vid ett annat lärosäte får sin ansökan avslagen eller beviljad med en stor mängd villkor. Detta gör att hanteringen av de känsliga personuppgifterna i huvudregistret kan komma att ske på olika sätt beroende på vilket lärosäte som bedriver forskningen. Det kan också komma att ske på olika sätt beroende på vilken etisk nämnd som prövar ansökan eller beroende på den regionala etikprövningsnämndens sammansättning. Detta är allvarligt ur flera olika perspektiv: patientsäkerhetens, integritetsskyddets, forskningens och forskningsfinansieringens. Centrala etikprövningsnämndens sammansättning bör därför ges i uppdrag att noga följa hur de regionala etikprövningsnämnderna hanterar ansökningar om att bedriva forskning med patientdata från de nu aktuella registren. Nämnden bör även under tiden ge stöd till regionala nämnder som uppvisar stora olikheter i sin bedömning av ansökningar. En rapport bör därefter lämnas till regeringen som underlag i arbetet med en kommande permanent lagstiftning. Vad som här anförts om uppdrag till Centrala etikprövningsnämnden bör riksdagen som sin mening ge regeringen till känna.

Stockholm den 12 juni 2013

Gunvor G Ericson (MP)

Magnus Ehrencrona (MP)

Agneta Luttropp (MP)

Maria Ferm (MP)

Ärendet är avslutat Motionskategori: Följdmotion Tilldelat: Utbildningsutskottet

Händelser

Inlämning: 2013-06-10 Bordläggning: 2013-06-11 Hänvisning: 2013-06-12
Yrkanden (6)