1 kap. Lagens tillämpningsområde m.m.

Lagens tillämpningsområde

1 § Denna lag tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen finns också bestämmelser om skyldighet att föra patientjournal.
   Lagen gäller i tillämpliga delar även uppgifter om avlidna personer.

Lagens syfte

2 § Informationshantering inom hälso- och sjukvården ska vara organiserad så att den tillgodoser patientsäkerhet och god kvalitet samt främjar kostnadseffektivitet.
   Personuppgifter ska utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras.
   Dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem.

Definitioner

3 § I denna lag används följande uttryck med nedan angiven betydelse.

Uttryck                 Betydelse
Hälso- och sjukvård Verksamhet som avses i hälso- och
sjukvårdslagen (1982:763),
tandvårdslagen (1985:125), lagen
(1991:1128) om psykiatrisk tvångsvård,
lagen (1991:1129) om rättspsykiatrisk
vård, smittskyddslagen (2004:168),
lagen (1972:119) om fastställande av
könstillhörighet i vissa fall, lagen
(2006:351) om genetisk integritet m.m.
samt den upphävda lagen (1944:133) om
kastrering.
Journalhandling Framställning i skrift eller bild samt
upptagning som kan läsas, avlyssnas
eller på annat sätt uppfattas endast
med tekniskt hjälpmedel och som
upprättas eller inkommer i samband med
vården av en patient och som innehåller
uppgifter om patientens hälsotillstånd
eller andra personliga förhållanden
eller om vidtagna eller planerade
vårdåtgärder.
Patientjournal En eller flera journalhandlingar som
rör samma patient.
Sammanhållen
journalföring Ett elektroniskt system, som gör det
möjligt för en vårdgivare att ge eller
få direktåtkomst till personuppgifter
hos en annan vårdgivare.
Vårdgivare Statlig myndighet, landsting och kommun
i fråga om sådan hälso- och sjukvård
som myndigheten, landstinget eller
kommunen har ansvar för (offentlig
vårdgivare) samt annan juridisk person
eller enskild näringsidkare som
bedriver hälso- och sjukvård (privat
vårdgivare).
Lag (2012:458).

Förhållandet till personuppgiftslagen

4 § Personuppgiftslagen (1998:204) gäller vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av denna lag.

2 kap. Grundläggande bestämmelser om behandling av personuppgifter

Kapitlets tillämpningsområde

1 § Bestämmelserna i detta kapitel tillämpas vid sådan behandling av personuppgifter som avses i 1 kap. 4 §.

Den enskildes inställning till personuppgiftsbehandling

2 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den. Det gäller dock inte i de fall som anges i 4 kap. 4 §, 6 kap. och 7 kap. 2 § eller om något annat framgår av annan lag eller förordning.

3 § Behandling av personuppgifter som inte är tillåten enligt denna lag får ändå ske, om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Det gäller dock inte i de fall som anges i 6 kap. 5 § eller om något annat framgår av annan lag eller förordning.
   Regeringen får meddela föreskrifter om att en behandling av personuppgifter som inte är tillåten enligt denna lag inte heller i andra fall får utföras trots att den enskilde lämnat samtycke till behandlingen.

Ändamål med personuppgiftsbehandlingen

4 § Personuppgifter får behandlas inom hälso- och sjukvården om det behövs för
1. att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter,
2. administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall,
3. att upprätta annan dokumentation som följer av lag, förordning eller annan författning,
4. att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten,
5. administration, planering, uppföljning, utvärdering och tillsyn av verksamheten, eller
6. att framställa statistik om hälso- och sjukvården.
   I 7 kap. 4 och 5 §§ finns särskilda bestämmelser om ändamålen med behandling av personuppgifter i nationella och regionala kvalitetsregister.

5 § Personuppgifter som behandlas för ändamål som anges i 4 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).

Personuppgiftsansvar

6 § En vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I landsting och kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
   Personuppgiftsansvaret enligt första stycket omfattar även sådan behandling av personuppgifter som vårdgivaren, eller den myndighet i ett landsting eller en kommun som är personuppgiftsansvarig, utför när vårdgivaren eller myndigheten genom direktåtkomst i ett enskilt fall bereder sig tillgång till personuppgifter om en patient hos en annan vårdgivare eller annan myndighet i samma landsting eller kommun.
   I 6 och 7 kap. finns särskilda bestämmelser om personuppgiftsansvar.

Personuppgifter som får behandlas

7 § En vårdgivare får behandla endast sådana personuppgifter som behövs för de ändamål som anges i 4 §. Uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) får endast behandlas om det är absolut nödvändigt för ett sådant ändamål. Även en vårdgivare som inte är statlig myndighet, landsting eller kommun får under dessa förutsättningar behandla uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen.

Sökbegrepp

8 § Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) eller uppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får inte användas som sökbegrepp. Inte heller får uppgifter om att någon fått bistånd eller varit föremål för andra insatser inom socialtjänsten eller enligt utlänningslagen (2005:716) användas som sökbegrepp.
   Det är trots förbudet i första stycket tillåtet att som sökbegrepp använda uppgifter om
1. hälsa, eller
2. att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.
   Regeringen får meddela föreskrifter om att en vårdgivare, trots förbudet i första stycket, får använda uppgifter om etnicitet eller uppgifter av betydelse för smittskyddet samt att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar.

3 kap. Skyldigheten att föra patientjournal

Inledande bestämmelse

1 § Vid vård av patienter ska det föras patientjournal. En patientjournal ska föras för varje patient och får inte vara gemensam för flera patienter.
   I 6 kap. finns bestämmelser om direktåtkomst till andra vårdgivares uppgifter om patienter genom sammanhållen journalföring.

Syftet med en patientjournal

2 § Syftet med att föra en patientjournal är i första hand att bidra till en god och säker vård av patienten.
   En patientjournal är även en informationskälla för
- patienten,
- uppföljning och utveckling av verksamheten,
- tillsyn och rättsliga krav,
- uppgiftsskyldighet enligt lag, samt
- forskning.

Personer som är skyldiga att föra en patientjournal

3 § Skyldig att föra en patientjournal är
1. den som enligt 4 kap. patientsäkerhetslagen (2010:659) har legitimation eller särskilt förordnande att utöva visst yrke,
2. den som, utan att ha legitimation för yrket, utför arbetsuppgifter som annars bara ska utföras av logoped, psykolog eller psykoterapeut inom den allmänna hälso- och sjukvården eller utför sådana arbetsuppgifter inom den enskilda hälso- och sjukvården som biträde åt legitimerad yrkesutövare, och
3. den som är verksam som kurator i den allmänna hälso- och sjukvården. Lag (2010:677).

Ansvar för uppgifter i en patientjournal

4 § Den som för patientjournal ansvarar för sina uppgifter i journalen.

En patientjournals innehåll

5 § En patientjournal får innehålla endast de uppgifter som behövs för de ändamål som anges i 2 kap. 4 § första stycket 1 och 2.

6 § En patientjournal ska innehålla de uppgifter som behövs för en god och säker vård av patienten.
   Om uppgifterna finns tillgängliga, ska en patientjournal alltid innehålla
1. uppgift om patientens identitet,
2. väsentliga uppgifter om bakgrunden till vården,
3. uppgift om ställd diagnos och anledning till mera betydande åtgärder,
4. väsentliga uppgifter om vidtagna och planerade åtgärder,
5. uppgift om den information som lämnats till patienten, dennes vårdnadshavare och övriga närstående och om de ställningstaganden som gjorts i fråga om val av behandlingsalternativ och om möjligheten till en ny medicinsk bedömning, samt
6. uppgift om att en patient har beslutat att avstå från viss vård eller behandling.
   Patientjournalen ska vidare innehålla uppgift om vem som har gjort en viss anteckning i journalen och när anteckningen gjordes. Lag (2014:827).

7 § Utöver vad som föreskrivs i 5 och 6 §§ får en patientjournal innehålla de uppgifter som enligt lag eller annan författning ska antecknas i en patientjournal.

8 § Om patienten anser att en uppgift i patientjournalen är oriktig eller missvisande, ska det antecknas i journalen.

9 § Uppgifter som ska antecknas enligt 6-8 §§ ska föras in i journalen så snart som möjligt.

10 § En journalanteckning ska, om det inte finns något synnerligt hinder, signeras av den som ansvarar för uppgiften.

11 § Om en journalhandling eller en avskrift eller kopia av handlingen har lämnats ut till någon, ska det dokumenteras i patientjournalen vem som har fått handlingen, avskriften eller kopian och när denna har lämnats ut. Detta gäller dock inte utlämnande genom direktåtkomst.

12 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från 6 § andra stycket 1 när det gäller provtagning för viss sjukdom och från 10 § om signeringskrav.
   Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om en journalhandlings innehåll och utformning.

Språket i patientjournaler

13 § De journalhandlingar som upprättas inom hälso- och sjukvården ska vara skrivna på svenska språket, vara tydligt utformade och så lätta som möjligt att förstå för patienten.
   Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att en sådan journalhandling får vara skriven på ett annat språk än svenska.

Hantering av journalhandlingar

14 § Uppgifter i en journalhandling får inte utplånas eller göras oläsliga i andra fall än som avses i 8 kap. 4 §.
   Vid rättelse av en felaktighet ska det anges när rättelsen har skett och vem som har gjort den.

15 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om hur journalhandlingar ska hanteras och förvaras.

Skyldighet att utfärda intyg om vården

16 § Den som enligt 3 § är skyldig att föra patientjournal ska på begäran av patienten utfärda intyg om vården.

Bevarande av journalhandlingar

17 § En journalhandling ska bevaras minst tio år efter det att den sista uppgiften fördes in i handlingen. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att vissa slags journalhandlingar ska bevaras under längre tid än tio år.
   Särskilda bestämmelser om bevarande av journalhandlingar som tagits om hand efter beslut av Inspektionen för vård och omsorg finns i 9 kap. 4 §. Lag (2012:954).

18 § För journalhandlingar som utgör allmänna handlingar gäller, med de undantag som följer av 17 §, arkivlagen (1990:782) samt de bestämmelser som meddelas med stöd av arkivlagen.

Patientjournaler i krig m.m.

19 § Regeringen får meddela särskilda föreskrifter om patientjournaler i krig, vid krigsfara eller under sådana utomordentliga förhållanden som är föranledda av att det är krig utanför Sveriges gränser eller av att Sverige har varit i krig eller krigsfara.

4 kap. Grundläggande bestämmelser om inre sekretess och elektronisk åtkomst inom en vårdgivares verksamhet

Inre sekretess

1 § Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.

Tilldelning av behörighet för elektronisk åtkomst

2 § En vårdgivare ska bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat. Sådan behörighet ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården.
   Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om tilldelning av behörighet för åtkomst till uppgifter som förs helt eller delvis automatiserat.

Kontroll av elektronisk åtkomst

3 § En vårdgivare ska se till att åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat dokumenteras och kan kontrolleras. Vårdgivare ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter.
   Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om dokumentation och kontroll enligt första stycket.

Patientens möjlighet att begränsa elektronisk åtkomst för vårdsyfte

4 § Personuppgifter som dokumenterats för ändamål som anges i 2 kap. 4 § första stycket 1 och 2 hos en vårdenhet eller inom en vårdprocess får inte göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare, om patienten motsätter sig det. I sådana fall ska uppgiften genast spärras.
   Vårdnadshavare till ett barn har dock inte rätt att spärra barnets uppgifter.
   Uppgift om att det finns spärrade uppgifter får vara tillgänglig för andra vårdenheter eller vårdprocesser.

5 § En spärr enligt 4 § första stycket får hävas av en behörig befattningshavare hos vårdgivaren, om
1. patienten samtycker till det, eller
2. patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver.
   Uppgift om vårdenheter eller vårdprocesser som spärrat uppgifterna ska i det fall som avses i 2 göras tillgängliga. Därefter får bara sådana uppgifter som kan antas ha betydelse för vården av patienten göras tillgängliga.

Skydd för identitet i vissa fall

6 § I 14 § lagen (1996:1156) om receptregister finns bestämmelser om att E-hälsomyndigheten ska lämna ut vissa uppgifter till landstingen om förskrivning av läkemedel och andra varor och att uppgifter om patientens identitet ska vara krypterade vid utlämnandet.
   Uppgifter som avses i första stycket får inte behandlas i syfte att röja en patients identitet utan att patienten samtycker till det.
   Uppgifter om en patients identitet som har dokumenterats inom hälso- och sjukvården och som landstingen ska sambearbeta med sådana uppgifter som avses i första stycket, ska vara krypterade så att patientens identitet skyddas vid behandlingen. Lag (2013:1024).

5 kap. Grundläggande bestämmelser om utlämnande av uppgifter och handlingar samt viss uppgiftsskyldighet

Bestämmelser i andra lagar

1 § Bestämmelser om rätten att ta del av handlingar och uppgifter inom den allmänna hälso- och sjukvården finns i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400). Lag (2009:525).

2 § I patientsäkerhetslagen (2010:659) finns bestämmelser som begränsar möjligheten att lämna ut uppgifter från den enskilda hälso- och sjukvården. Lag (2010:677).

Myndighets skyldighet att lämna uppgift ur journal upprättad inom enskild hälso- och sjukvård

3 § En myndighet som enligt 9 kap. har hand om en patientjournal upprättad inom enskild hälso- och sjukvård har, om uppgift ur journalen begärs för särskilt fall, samma skyldighet att lämna uppgiften som den haft som ansvarat för journalen före överlämnandet till myndigheten.

Utlämnande genom direktåtkomst

4 § Utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning.
   Om ett landsting eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma landsting eller kommun.
   Ytterligare bestämmelser om utlämnande genom direktåtkomst finns i 5 §, 6 kap. och i 7 kap. 9 §.

5 § En vårdgivare får medge en enskild direktåtkomst till sådana uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamål som anges i 2 kap. 4 § första stycket 1 och 2. Den enskilde får under samma förutsättningar medges direktåtkomst till sådan dokumentation som avses i 4 kap. 3 § första stycket första meningen.
   Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst som avses i första stycket.

Utlämnande på medium för automatiserad behandling

6 § Får en personuppgift lämnas ut, kan det ske på medium för automatiserad behandling.

6 kap. Sammanhållen journalföring

Direktåtkomst till uppgifter hos en annan vårdgivare

1 § En vårdgivare får, under de förutsättningar som anges i 2 §, ha direktåtkomst till personuppgifter som behandlas av andra vårdgivare för ändamål som anges i 2 kap. 4 § första stycket 1 och 2.

Patientens inflytande vid sammanhållen journalföring m.m.

2 § Om en patient motsätter sig det får andra uppgifter om patienten än dem som anges i andra stycket inte göras tillgängliga för andra vårdgivare genom sammanhållen journalföring.
   Uppgift om att det finns spärrade uppgifter om en patient samt uppgift om vilken vårdgivare som har spärrat uppgifterna får göras tillgängliga för andra vårdgivare genom sammanhållen journalföring. En annan vårdgivare får ta del av uppgift om vilken vårdgivare som har spärrat uppgifterna endast under de förutsättningar som anges i 4 §.
   Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig att andra uppgifter än dem som anges i andra stycket görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.
   Om en patient motsätter sig att andra uppgifter än dem som anges i andra stycket görs tillgängliga för andra vårdgivare genom sammanhållen journalföring ska uppgifterna genast spärras. Vårdnadshavaren till ett barn kan dock inte spärra uppgifter om barnet. En patient kan när som helst begära att den vårdgivare som har spärrat uppgifterna häver spärren.
   Ospärrade uppgifter om patienten ska göras tillgängliga för de vårdgivare som är anslutna till systemet med sammanhållen journalföring. Det ska vidare införas en uppgift i systemet om att det finns ospärrade uppgifter om patienten. Andra vårdgivare ska kunna ta del av denna uppgift utan att ta del av uppgift om vilken vårdgivare som har gjort uppgiften tillgänglig och övriga uppgifters innehåll.

2 a § En vårdgivare får göra uppgifter om en patient som inte endast tillfälligt saknar förmåga att ta ställning enligt 2 § tillgängliga för de vårdgivare som är anslutna till systemet med sammanhållen journalföring, om
1. patientens inställning till sådan personuppgiftsbehandling så långt som möjligt klarlagts, och
2. det inte finns anledning att anta att patienten skulle ha motsatt sig personuppgiftsbehandlingen. Lag (2014:829).

3 § För att en vårdgivare ska få behandla uppgifter som en annan vårdgivare gjort tillgängliga i systemet med sammanhållen journalföring enligt 2 § femte stycket krävs att

1. uppgifterna rör en patient som det finns en aktuell patientrelation med,
2. uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso- och sjukvården, och
3. patienten samtycker till det.   Vårdgivaren får även behandla sådana uppgifter om
1. uppgifterna rör en patient som det finns eller har funnits en patientrelation med,
2. uppgifterna kan antas ha betydelse för att utfärda sådant intyg som avses i 3 kap. 16 §, och
3. patienten samtycker till det.
   För att en vårdgivare ska få behandla sådana uppgifter som en vårdnadshavare inte har rätt att spärra enligt 2 § fjärde stycket andra meningen krävs att förutsättningarna enligt första stycket 1 och 2 eller andra stycket 1 och 2 är uppfyllda. Lag (2014:829).

3 a § En vårdgivare får ta del av uppgift om vilken vårdgivare som har gjort uppgifter tillgängliga enligt 2 eller 2 a §, om patienten inte endast tillfälligt saknar förmåga att lämna samtycke enligt 3 § första stycket 3.
   Vårdgivaren får även behandla de uppgifter som avses i 2 eller 2 a §, om
1. vårdgivaren bedömer att dessa kan antas ha betydelse för den vård som är nödvändig med hänsyn till patientens hälsotillstånd,
2. patientens inställning till sådan personuppgiftsbehandling så långt som möjligt klarlagts, och
3. det inte finns anledning att anta att patienten skulle ha motsatt sig personuppgiftsbehandlingen. Lag (2014:829).

4 § Om det finns spärrade uppgifter om en patient och det föreligger fara för dennes liv eller det annars föreligger allvarlig risk för dennes hälsa, får vårdgivaren, om patienten inte kan häva spärren enligt 2 § fjärde stycket, ta del av uppgift om vilken eller vilka vårdgivare som har spärrat uppgifterna. Om vårdgivaren med ledning av denna uppgift bedömer att de spärrade uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver, får vårdgivaren begära hos den vårdgivare som har spärrat uppgifterna att denne häver spärren.
   Om det finns ospärrade uppgifter om en patient och det föreligger fara för dennes liv eller det annars föreligger allvarlig risk för dennes hälsa, får vårdgivaren, om patientens samtycke inte kan inhämtas enligt 3 §, ta del av uppgift om vilken eller vilka vårdgivare som har gjort uppgifterna tillgängliga. Om vårdgivaren med ledning av denna uppgift bedömer att de ospärrade uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver, får vårdgivaren behandla de ospärrade uppgifterna.

5 § En vårdgivare får inte behandla en annan vårdgivares uppgifter om en patient i systemet med sammanhållen journalföring under andra förutsättningar än dem som anges i 34 §§, även om patienten uttryckligen samtycker till det. Lag (2014:829).

Personuppgiftsansvar vid sammanhållen journalföring

6 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vem som ska ha personuppgiftsansvar för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder vid sammanhållen journalföring.
   I 2 kap. 6 § finns allmänna bestämmelser om personuppgiftsansvar.

Behörighetstilldelning och åtkomstkontroll

7 § Bestämmelserna i 4 kap. 2 och 3 §§ gäller även för behörighetstilldelning och åtkomstkontroll vid sammanhållen journalföring.

Bevarande och gallring

8 § När patientjournaler är tillgängliga för flera vårdgivare genom sammanhållen journalföring gäller skyldigheten enligt 3 kap. 17 § att bevara en journalhandling bara den vårdgivare som ansvarar för handlingen.
   Om en journalhandling eller annan handling är tillgänglig för en myndighet bara genom sammanhållen journalföring och myndigheten inte ansvarar för den, får myndigheten gallra handlingen från sitt arkiv.

7 kap. Nationella och regionala kvalitetsregister

Inledande bestämmelse

1 § Med kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Kvalitetsregistren ska möjliggöra jämförelse inom hälso- och sjukvården på nationell eller regional nivå. Bestämmelserna i detta kapitel gäller för nationella och regionala kvalitetsregister i vilka personuppgifter samlas in från flera vårdgivare.

Den enskildes inställning till behandling i kvalitetsregister

2 § Personuppgifter får inte behandlas i ett nationellt eller regionalt kvalitetsregister, om den enskilde motsätter sig det.
   Om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats, ska uppgifterna utplånas ur registret så snart som möjligt.

2 a § För den enskilde som inte endast tillfälligt saknar förmåga att ta ställning enligt 2 § första stycket får personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister, om
1. hans eller hennes inställning till sådan personuppgiftsbehandling så långt som möjligt klarlagts, och 2. det inte finns anledning att anta att han eller hon skulle ha motsatt sig personuppgiftsbehandlingen.
   Personuppgifter i ett kvalitetsregister ska så snart som möjligt utplånas, om det efter att personuppgiftsbehandlingen har påbörjats finns anledning att anta att den enskilde skulle motsätta sig den. Lag (2014:829).

Information

3 § Innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister ska den som är personuppgiftsansvarig se till att den enskilde, utöver den information som ska lämnas enligt 8 kap. 6 §, får information om
1. rätten att när som helst få uppgifter om sig själv utplånade ur registret,
2. i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal, och
3. vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till.
   Om det inte är möjligt att lämna informationen innan personuppgiftsbehandlingen påbörjas, ska den lämnas så snart som möjligt därefter.

Kvalitetsregisters ändamål

4 § I stället för vad som anges i 2 kap. 4 och 5 §§ gäller att personuppgifter i nationella och regionala kvalitetsregister får behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.

5 § Personuppgifter som behandlas för de ändamål som anges i 4 § får också behandlas för ändamålen
1. framställning av statistik,
2. forskning inom hälso- och sjukvården,
3. utlämnande till den som ska använda uppgifterna för ändamål som anges i 1 och 2 eller i 4 §, och
4. fullgörande av någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen (2009:400). Lag (2009:525).

6 § Personuppgifter i nationella och regionala kvalitetsregister får inte behandlas för några andra ändamål än de som anges i 4 och 5 §§.

Personuppgiftsansvar

7 § Endast myndigheter inom hälso- och sjukvården får vara personuppgiftsansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister.
   Regeringen eller den myndighet som regeringen bestämmer får besluta om undantag från första stycket.
   I 2 kap. 6 § finns allmänna bestämmelser om personuppgiftsansvar.

Personuppgifter som får behandlas

8 § Endast sådana personuppgifter som behövs för ändamål som anges i 4 § får behandlas i ett nationellt eller regionalt kvalitetsregister.
   En enskilds personnummer eller namn får behandlas i ett nationellt eller regionalt kvalitetsregister endast om det inte är tillräckligt för ändamål som anges i 4 § att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till den enskilde.
   Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och som inte rör hälsa samt uppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får behandlas endast om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det.

Utlämnande genom direktåtkomst

9 § En vårdgivare får ha direktåtkomst till de uppgifter som vårdgivaren lämnat till ett nationellt eller regionalt kvalitetsregister.

Bevarande och gallring

10 § Personuppgifter i ett nationellt eller regionalt kvalitetsregister ska gallras när de inte längre behövs för det ändamål som anges i 4 §.
   En arkivmyndighet inom ett landsting eller en kommun får dock föreskriva att personuppgifter i ett nationellt eller regionalt kvalitetsregister som förs inom landstinget eller kommunen får bevaras för historiska, statistiska eller vetenskapliga ändamål.
   Om regeringen eller den myndighet regeringen bestämt har meddelat föreskrifter enligt 7 § andra stycket, får regeringen eller myndigheten också föreskriva att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

8 kap. Rättigheter för den enskilde

Rätt att ta del av uppgifter

1 § Att en myndighet inom allmän hälso- och sjukvård under vissa förutsättningar är skyldig att lämna ut journalhandlingar och andra handlingar och uppgifter till en patient, framgår av tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400). Lag (2009:525).

2 § En journalhandling inom enskild hälso- och sjukvård ska på begäran av patienten eller av en närstående till patienten så snart som möjligt tillhandahållas honom eller henne för att läsas eller skrivas av på stället eller i avskrift eller kopia, om inte annat följer av 6 kap. 12 § eller 13 § första stycket patientsäkerhetslagen (2010:659).
   Frågor om utlämnande av en journalhandling enligt första stycket prövas av den som är ansvarig för journalhandlingen. Anser den ansvarige att journalhandlingen eller någon del av den inte bör lämnas ut, ska han eller hon genast med eget yttrande överlämna frågan till Inspektionen för vård och omsorg för prövning. Lag (2012:954).

Rättelse

3 § Bestämmelserna i 28 § personuppgiftslagen (1998:204) om den personuppgiftsansvariges skyldighet att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter och att underrätta tredje man, till vilken uppgifterna har lämnats ut, ska gälla även då sådan behandling av personuppgifter som avses i 1 kap. 4 § skett i strid med denna lag.
   Enligt 3 kap. 14 § får dock uppgifter i en journalhandling inte utplånas eller göras oläsliga i andra fall än som avses i 4 §.

Förstörande av patientjournal

4 § På ansökan av patienten eller någon annan som omnämns i en patientjournal får Inspektionen för vård och omsorg besluta att journalen helt eller delvis ska förstöras. Förutsättningarna för detta är att
1. godtagbara skäl anförs för ansökan,
2. patientjournalen eller den del av den som ansökan avser uppenbarligen inte behövs för patientens vård, och
3. det från allmän synpunkt uppenbarligen inte finns skäl att bevara journalen.
   Innan ansökan slutligt prövas får den som ansvarar för en journalhandling som omfattas av ansökan ges tillfälle att yttra sig. Lag (2012:954).

Information

5 § En vårdgivare ska på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst till uppgifter om patienten som förekommit.
   Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om information enligt första stycket.

6 § Den som är personuppgiftsansvarig enligt denna lag ska se till att den registrerade får information om personuppgiftsbehandlingen.
   Informationen ska innehålla upplysningar om
1. vem som är personuppgiftsansvarig,
2. ändamålet med behandlingen,
3. vilka kategorier av uppgifter som behandlas,
4. den uppgiftsskyldighet som kan följa av lag eller förordning,
5. de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen,
6. rätten enligt 4 kap. 4 § att i vissa fall begära att uppgifter spärras,
7. rätten enligt 5 § att få information om den direktåtkomst och elektroniska åtkomst som förekommit,
8. rätten att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204),
9. rätten till rättelse och underrättelse av tredje man enligt 28 § personuppgiftslagen,
10. rätten enligt 10 kap. 1 § till skadestånd vid behandling av personuppgifter i strid med denna lag,
11. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling,
12. vad som gäller i fråga om bevarande och gallring, samt
13. huruvida personuppgiftsbehandlingen är frivillig eller inte.
   I 6 kap. 2 § och 7 kap. 3 § finns ytterligare bestämmelser om vilken information som ska lämnas i vissa fall.

Andra rättigheter enligt denna lag

7 § I denna lag finns föreskrifter om andra rättigheter för den enskilde i 3 kap. 8 §, 4 kap. 4 §, 6 kap. 2 § samt 7 kap. 2 och 3 §§.

9 kap. Omhändertagande och återlämnande av patientjournal

Förutsättningar för omhändertagande

1 § Om det på sannolika skäl kan antas att patientjournaler inom enskild hälso- och sjukvård inte kommer att handhas enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till lagen, får Inspektionen för vård och omsorg besluta att patientjournalerna ska tas om hand.
   Inspektionen för vård och omsorg får också besluta om omhändertagande av patientjournaler inom enskild hälso- och sjukvård, om
1. den som ansvarar för hanteringen av journalerna ansöker om det, och
2. det finns ett påtagligt behov av att journalerna tas om hand. Lag (2012:954).

Förutsättningar för återlämnande

2 § En omhändertagen patientjournal ska återlämnas, om det är möjligt och det inte finns skäl för omhändertagande enligt 1 §. Beslut i fråga om återlämnande meddelas av Inspektionen för vård och omsorg efter ansökan av den som vid beslutet om omhändertagande ansvarade för hanteringen av journalen. Lag (2012:954).

Ansvaret för omhändertagna journaler

3 § Patientjournaler som omhändertagits enligt 1 § ska förvaras avskilda hos arkivmyndigheten i det landsting eller, i fråga om kommun som inte tillhör något landsting, den kommun där journalerna finns. Inspektionen för vård och omsorg ska i varje beslut om omhändertagande ange hos vilken arkivmyndighet journalerna ska förvaras. Lag (2012:954).

Bevarande av omhändertagna journaler

4 § Omhändertagna journalhandlingar ska bevaras minst tio år från det att de kom in till arkivmyndigheten.

Verkställighet av beslut om omhändertagande

5 § Ett beslut om omhändertagande av patientjournaler får verkställas även om det inte vunnit laga kraft, om inte något annat föreskrivits i beslutet.
   Polismyndigheten ska lämna den hjälp som behövs för att verkställa ett beslut om omhändertagande av patientjournaler.

10 kap. Skadestånd och överklagande

Skadestånd

1 § Bestämmelserna om skadestånd i 48 § personuppgiftslagen (1998:204) gäller vid sådan behandling av personuppgifter enligt denna lag som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Överklagande

2 § Inspektionen för vård och omsorgs beslut om att avslå en ansökan om förstöring av en patientjournal enligt 8 kap. 4 § första stycket, samt i fråga om omhändertagande eller återlämnande av patientjournaler enligt 9 kap. 1 och 2 §§, får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.
   I fråga om överklagande av Inspektionen för vård och omsorgs beslut enligt 8 kap. 2 § andra stycket gäller i tillämpliga delar 6 kap. 711 §§ offentlighets- och sekretesslagen (2009:400).
   Vid sådan behandling av personuppgifter som avses i 1 kap. 4 § finns ytterligare bestämmelser om överklagande i 5153 §§ personuppgiftslagen (1998:204).
   Övriga beslut enligt denna lag får inte överklagas. Lag (2012:954).

Övergångsregler

Övergångsbestämmelser

2008:355
1. Denna lag träder i kraft den 1 juli 2008, då patientjournallagen (1985:562) och lagen (1998:544) om vårdregister ska upphöra att gälla.
2. Bestämmelserna i 7 kap. ska inte börja tillämpas förrän den 1 juli 2009 i fråga om nationella och regionala kvalitetsregister som börjat föras före denna lags ikraftträdande.
3. Bestämmelserna i 7 kap. 2 och 3 §§ gäller inte för personuppgifter som behandlats i nationella och regionala kvalitetsregister före den 1 juli 2009.
2012:954
1. Denna lag träder i kraft den 1 juni 2013.
2. Vid tillämpning av 7 a § förvaltningsprocesslagen (1971:291) ska Inspektionen för vård och omsorg vara den enskildes motpart.
SFS 2008:355

Källa
Regeringskansliets rättsdatabaser

Utfärdad:
2008-05-29

Först inlagd:
2008-06-11

Senast ändrad:
2015-01-14

Uppdaterad:
t.o.m. SFS 2014:829