Kan sekretess skada Sveriges säkerhet? – Försvarssekretess för uppgifter ur kvalitetsregister

I ett färskt avgörande från Kammarrätten i Stockholm (kammarrätten) har domstolen kommit fram till att uppgifter ur Svenskt PeriOperativt Register (SPOR) innehåller uppgifter som typiskt sätt kan vara ägnat att skada totalförsvaret. 

(Kammarrätten i Stockholms dom i mål nr 2490-26)

Bakgrund och kammarrättens avgörande

Bestämmelser om kvalitetsregister finns i 7 kap. patientdatalagen (2008:355) (PDL). Av 7 kap. 1 § PDL framgår att syftet med kvalitetsregister är att fortlöpande utveckla och säkra vårdens kvalitet. Kvalitetsregistren ska möjliggöra jämförelse inom hälso- och sjukvården på nationell eller regional nivå. Av 7 kap. 5 § PDL framgår att personuppgifter som behandlas för dessa ändamål får också behandlas för bland annat framställning av statistik, antalsberäkning inför klinisk forskning och forskning inom hälso- och sjukvården

I Sverige finns det drygt 100 kvalitetsregister. De används primärt för att utveckla och förbättra hälso- och sjukvården och är unika och ovärderliga kunskapskällor för att följa upp svensk hälso- och sjukvård. Gemensamt för kvalitetsregistren är att de är individbaserade och att de innehåller diagnos, insatta åtgärder och resultat för patienten. På så sätt får verksamheterna en löpande återkoppling av sina egna resultat och ges möjlighet att se hur det går för deras verksamheter i förhållande till andra och i jämförelser med andra regioner. Data i kvalitetsregistren kan användas i analys- och förbättringsarbete. Det är också möjligt att följa upp hur enskilda regioner eller vårdgivare bedriver sin vård. 

Ett grundläggande krav för att få registrera uppgifter i ett nationellt kvalitetsregister är att patienten inte motsatt sig det, 7 kap. 2 § PDL. 

En forskande läkare vid Region Kalmar arbetar med en studie som har titeln ” Är svenska allmänkirurger förberedda på en traumatisk masskadeståndshändelse? Tillämpning av den amerikanska militärens KSA-mått i den svenska kontexten.”

KSA står för Knowledge, Skills and Abilities och är ett poängbaserat system som utvecklats av Uniformed Services University (USU) och American College of Surgeons för att mäta den kliniska stridsberedskapen för militär- och katastrofkirurger. 

Med anledning av det vände sig den forskande läkaren till Svenskt PeriOperativt Register (SPOR) för att få ut följande uppgifter: 

  • Huvudoperatör under operationen,
  • assisterande operatör under operationen,
  • vårdnivå för sjukhuset där operationen utfördes,
  • kirurgens erfarenhetsnivå/tjänstebenämning (ST-läkare, specialistläkare, överläkare),
  • specialitet/sektion där kirurgen är verksam (övre gastrointestinala kanalen (GI), nedre GI, kärl, bröst, m.m.), 
  • klassifikation av vårdåtgärder (KVÅ-koder) för utförd operation, och
  • operationsdatum

Den ansvariga regionen avslog begäran med motiveringen att de begärda uppgifterna röjer uppgifter om sjukvårdens operationskapacitet på nationell nivå och att detta rör sjukvårdens kapacitet i hög grad.  

Den forskande läkaren överklagade och framhöll för kammarrätten att syftet med forskningen är att stärka (inte försvaga) totalförsvaret eftersom forskningen syftar till att identifiera brister i kirurgisk beredskap vid masskadehändelser. SPOR är ett offentligt finansierat kvalitetsregister avsett för just forskning. En alltför vid sekretessbedömning riskerar att underminera registrets syfte. 

Kammarrätten lät sig inte imponeras av läkarens invändningar utan konstaterade lakoniskt – som de ibland gör – att uppgifterna som läkaren vill ta del av typiskt sett kan vara ägnat att skada det intresse som 15 kap. 2 § OSL ska skydda.

Kan försvarssekretessen skada det som den är satt att skydda? 

Det är en förvånande slutsats som regionen och kammarrätten kommer fram till. För det första måste vi vara medvetna om att sekretessen i 15 kap. 2 § OSL har ett rakt skaderekvisit – det innebär en presumtion för offentlighet. Huvudregeln är alltså att uppgifterna är offentliga om vi inte kan anta skada på landets försvar eller vållar fara för rikets säkerhet. De uppgifter som begärs ut är historiska data om genomförda operationer och innehåller inte heller uppgifter där patienten motsatt sig att informationen finns i kvalitetsregistret. Kan dessa uppgifter verkligen skada Sveriges säkerhet. De säger ingenting om den verkliga kapaciteten på en nationell nivå. Vi har tacksamt nog varit förskonade från omfattande massiva skadeutfall så att vi nått en gräns för vad vi kan hantera. Så var vår nationella kapacitetsmässiga förmåga kan rimligen inte härledas ur den historiska data som begärts ut. Dessutom saknas uppgifter från vårdinsatser där patienten motsatt sig registrering – vilket gör att registren inte innehåller fullständig data. Med brasklappen att jag inte har den fulla bilden av vad en antagonist skulle kunna göra med informationen så förefaller det ändå som att den aktuella forskningen är otroligt viktig för att utveckla och stärka totalförsvaret.

Enligt uttalande från USU är KSA-mått avgörande för att mäta individuella kirurgers individuella kliniska beredskap samtidigt som de förser ledningen med data som kan leda till ökad klinisk beredskap. Liknande forskning från USA finns offentligt tillgänglig, (Analysis of Surgical Volume in Military Medical Treatment Facilities and Clinical Combat Readiness of US Military Surgeons), men detta kan inte överföras till svenska förhållanden. Konsekvensen av sekretessen i detta fall blir ju att vi inte kan veta vilka insatser vi behöver göra för att kunna förbättra våra möjligheter att hantera en traumatisk masskadehändelse. 

Även om sekretessen gäller hos den utlämnade regionen skulle samma sekretess gälla i den mottagande regionen, eftersom 15 kap. 2 § OSL är primär sekretess som gäller samma sekretess oavsett var uppgifterna finns. Även om det finns viss risk att olika regioner gör olika bedömningar avseende sekretessen. Det är lätt att få intrycket att regionen var orolig över att forskningen faktiskt skulle avslöja brister i den kirurgiska beredskapen och det därmed skulle kunna leda till kritik. Men kritik är inget som sekretess ska skydda mot. Pinsamhetssekretess har vi inte i Sverige. 

En intressant aspekt av detta är att om läkaren hade begärt ut uppgifterna i egenskap av privatperson (enskild) hade hen kanske kunnat få ut samma uppgifter med förbehåll enligt 10 kap. 14 § OSL. Jämför t.ex. Kammarrätten i Göteborgs dom i mål 3543-25 som rörde utlämning av en sammanställning över samtliga chefer, exklusive administrativa sådana, på Hallands sjukhus, orterna Halmstad, Varberg och Kungsbacka. Av sammanställningen skulle framgå namn, personnummer, befattning och avdelning. Då fick en journalist ut uppgifterna som omfattades av försvarssekretess  med förbehållet att namn och personnummer inte fick publiceras, förvaring skulle ske så att ingen obehörig kan ta del av uppgifterna och de skulle förstöras inom en månad. Man kan dock fråga sig vem som har bäst förutsättningar att skydda uppgifter, enskilda med stöd av ett förbehåll liknande Göteborgs kammarrätts, eller en mottagande region. 

Konsekvenser för kvalitetsregister

Kvalitetsregister är viktiga för att förbättra vården. De är också viktiga för forskning. Kammarrättens dom riskerar att försvåra denna forskning. Varför ska vi samla på oss dessa register om vi inte dra full nytta av dem? Vi riskerar alltså att få register med begränsat värde. Hur ska regionerna värdera uppgifter som de skickar in till kvalitetsregister. Olika regioner riskerar att göra olika bedömningar vilket kan göra att kvalitetsregistren inte får fullständig information vilket begränsar värdet av kvalitetsregister på en nationell nivå. 

Om alla drygt 100 kvalitetsregister nu anses omfattas av försvarssekretess är det också viktigt att alla som ansvarar för ett kvalitetsregister måste analysera registret i sina säkerhetsskyddsanalyser och om det kan konstateras skada för Sveriges säkerhet om uppgifterna i registret röjs för obehörig, enligt 2 kap. 5 § säkerhetsskyddslagen måste registret ha ett adekvat säkerhetsskydd. Uppgifterna får självklart inte vara tillgängliga från allmänt tillgängliga elektroniska kommunikationsnät utan att skyddas med Försvarsmaktsgodkänt krypto, (2 kap. 5 § säkerhetskyddsförordningen). System som uppgifterna förekommer i ska ha en dokumenterad särskild säkerhetsskyddsbedömning m.m. Frågan är om ansvariga för kvalitetsregister är medvetna om detta och arbetar i enlighet med dessa krav? 

Rulla till toppen