Offentlighets- och sekretesslagen
Från DAU-handboken
Offentlighets- och sekretesslagen
Vad menas med sekretess? I offentlighets- och sekretesslagens första kapitel, första paragrafen står det så här: Med sekretess förstås ett förbud att röja uppgift, vare sig det sker muntligen eller genom att allmän handling lämnas ut eller det sker på annat sätt. Detta är definitionen av sekretess. Ibland kan man också möta ordet ”sekretess” i avtal där ena parten är en privaträttslig organisation. I detta sammanhang avses inte sekretess enligt offentlighets- och sekretesslagen. Den gäller endast för offentlig verksamhet.
Offentlighets- och sekretesslagen (OSL) är en omfattande lagstiftning med många regler. Strukturen på lagen är organiserad för att en sekretessbestämmelse ska tillämpas begränsat, antingen till en viss typ av verksamhet eller för en viss typ av uppgifter. Endast några så kallade minimibestämmelser kan tillämpas av alla myndigheter. Anledningen till denna struktur är att lagstiftaren har velat undvika att sekretessbelägga uppgifter i allt för stor utsträckning. Syftet med handlingsoffentligheten är att allmänhet och media ska kunna ha insyn i den offentliga förvaltningen. Detta har medfört en förhållandevis komplicerad lag med bestämmelser som riktar sig till olika verksamheter.
Offentlighets- och sekretesslagen innehåller en rad sekretessregler som alltså anger i vilka situationer sekretess gäller. Om man tror att en handling som begärts ut är hemlig, dvs. omfattas av sekretess, så måste det finnas stöd i offentlighets- och sekretesslagen för sekretessen. Detta kallas sekretessprövning.
Sekretessprövning görs inte varje gång en handling begärs ut, utan bara om det finns skäl att tro att handlingen är hemlig. Det kan också vara så att man råkar veta att en handling innehåller känsliga personuppgifter och att man därför tror att den skulle kunna beläggas med sekretess. I en sådan situation behöver man gå vidare och göra en sekretessprövning av de begärda dokumenten, vilket ofta kräver stöd av en jurist. Detta innebär att man gör en bedömning av vilken skada eller men som kan uppstå med anledning av utlämnandet. I dessa sammanhang avser skada ekonomisk skada och men avser olika typer av integritetskränkning, till exempel att någon utsätts för andras missaktning om dennes personliga förhållanden blir kända. Detta innebär att samma handling kan bedömas vara sekretessbelagd i en situation men inte i en annan, beroende på vem som begär ut handlingen.
Sekretessreglerna innehåller något som kallas för skaderekvisit och som avgör hur starkt sekretesskydd regeln ger. Det finns tre typer av skaderekvisit: rakt, omvänt och absolut skaderekvisit.
Vid rakt skaderekvisit är huvudregeln offentlighet. Det finns alltså en presumtion, dvs att något utan vidare anses gälla om det inte motbevisas, för offentlighet. Det innebär att vid sekretessprövningen ska man tänka så här: ”De här uppgifterna ska som regel lämnas ut. Sekretess gäller bara om det kan antas att viss skada uppkommer om utlämnande sker?”
Förutom rakt skaderekvisit så finns omvänt skaderekvisit, då vänder man på det. Då är utgångspunkten att uppgifterna inte ska lämnas ut. Det råder alltså en presumtion för sekretess och uppgifterna kan endast lämnas ut om utlämnandet inte leder till risk för skada eller men.
Ett exempel på det är hälso- och sjukvårdssekretessen som omfattar alla uppgifter i patientjournaler. De ska inte lämnas ut om det inte finns en bra anledning till att göra det och det inte föreligger några men för patienten. För att kunna göra en korrekt bedömning måste man veta vem mottagaren är och vad hen har för avsikt med uppgifterna. Om någon kommer och vill titta på dina patientuppgifter säger sjukhuset nej, men frågar också varför. Skulle personen som vill ta del av uppgifterna visa sig vara din läkare på en annan mottagning kan uppgifterna lämnas ut, eftersom det antagligen skulle vara till din fördel. Det föreligger ingen risk för skada. Skulle en journalist eller din arbetsgivare vilja ta del av dina hälso- och sjukvårdsuppgifter blir det däremot nej.
Det tredje skaderekvisitet är ett absolut skaderekvisit, som förvirrande nog också kan kallas för inget skaderekvisit. Det innebär i alla fall absolut sekretess, det vill säga att handlingen aldrig ska lämnas ut.
Statistiska centralbyrån sitter till exempel på mängder med register som är synnerligen intressanta för forskning och som många forskare gärna vill få ta del av för registerforskning. Mycket forskning inom bland annat samhällsvetenskap och medicinämnena görs via SCB:s register. SCB har som uppdrag att samla in uppgifter, och alla finns säkert med i något av deras register. Det är inget vi vet om och vi kan inte säga ”nej tack, vi vill inte vara med”, eftersom det finns lagstöd för SCB att göra detta. I gengäld har lagstiftaren sagt att de uppgifter SCB samlar in och som används för deras statistik, inte kommer att lämnas ut till någon. Någonsin. Och det är vad man kallar för absolut skaderekvisit. Det är statistiksekretessen som här avses.
I bestämmelsen om statistiksekretess finns dock ett stycke som säger att uppgifter som behövs för forskningsändamål eller statistikframställning kan lämnas ut om det står klart att den som uppgiften rör, eller någon närstående till den registrerade, inte lider skada eller men. Det här innebär i princip att SCB i stort sett endast lämnar ut kodade uppgifter för statistikframställning och forskning, för särskilt specificerade projekt och bara de variabler som behövs för det angivna projektet. För forskningsändamål krävs en godkänd etikprövning för att använda register i sin forskning. Sekretessen för uppgifterna följer med när de flyttas från SCB till den forskande myndigheten, sekretessen överförs.
Sekretessregeln avser som huvudregel ett specifikt område. Det kallas för sekretessområde eller skyddsområde. Sekretessområdet kan vara hälso- och sjukvården, det kan vara socialtjänsten, det kan vara Migrationsverket, eller lärosätet. Det innebär till exempel att lärosäten inte kan tillämpa Migrationsverkets sekretessregler eftersom man tillhör olika sekretessområden. På lärosätena tillämpas inte heller sjukvårdens sekretessregler, om det inte är så att man har fått data från sjukvården där sekretessen följer med. Så se upp med sekretessområdet. Det råder också sekretess mellan myndigheter, ibland även mellan olika grenar inom samma myndighet.
Infoga bild
Offentlighets- och sekretesslagens uppbyggnad
Det som skyddas i ett sekretessområde kallas för skyddsföremål eller skyddsobjekt, exempelvis patienter när det handlar om hälso- och sjukvårdssekretess.
Sekretessförbehåll och överföring av sekretess reglerar båda vad som får göras med uppgifter som har lämnats ut. Förbehållet riktar sig mot en enskild person som har fått uppgifter som bedöms vara hemliga. Då kan myndigheten ändå lämna ut dem med vissa förbehåll kopplade till användningen, till exempel kan myndigheten säga att uppgifterna inte får publiceras eller att de bara får publiceras på ett sådant sätt att inga enskilda personer kan identifieras. Ett sekretessförbehåll är endast möjligt att besluta om gentemot en enskild. En myndighet kan inte besluta om förbehåll inför utlämnande till en annan myndighet eftersom de utlämnade handlingarna blir inkomna till den myndighet som tar emot handlingarna. Handlingarna kan då begäras ut från den mottagande myndigheten som måste göra en egen sekretessprövning.
Överföring av sekretess betyder att sekretessen följer med uppgifterna från en myndighet till en annan. Det innebär alltså att sjukvårdssekretess kan gälla på ett universitet om uppgifterna ursprungligen kommer från sjukvården, trots att sekretessområdet för sjukvårdssekretessen är hälso- och sjukvården och inte universitetet.
När det gäller sekretess inom lärosäten och universitet så handlar det främst om fyra olika sekretessregler:
- hälso- och sjukvårdssekretess när uppgifter från hälso- och sjukvården behandlas i forskningen
- uppdragssekretess för uppdragsforskning
- samverkanssekretess gäller för projekt inom EU
- och statistiksekretess när forskningen innehåller uppgifter från t.ex. SCB.
När det gäller forskning så är det inte speciellt svårt att få tillgång till patientuppgifter från sjukvården i forskningssyfte. Då blir sekretessprövningen:
- Uppgifterna har omvänt skaderekvisit, så de ska som huvudregel inte lämnas ut.
- Universitetet har en godkänd etikprövning för forskningsprojektet och begär att få ta del av uppgifterna för att använda dem till forskning. Forskningen anses vara ett viktigt syfte och lärosätet vet dessutom hur man hanterar uppgifter som är skyddsvärda.
- Sjukvården bedömer att under de förutsättningarna kan det inte uppstå någon skada för patienten och då lämnar man ut uppgifterna till lärosätet för forskning.
Vid begäran om utlämnande av allmän handling bör man funderar på det i det här tre stegen:
1. Är det en handling? 2. Är det en allmän handling? 3. Är handlingen offentlig eller hemlig, dvs. finns det stöd i offentlighets- och sekretesslagen för att inte lämna ut handlingen?
Personuppgifter i forskning – allmänt om dataskyddsförordningen