Komiteen, medlemmene fra Arbeiderpartiet,
Jorodd Asphjell, Jan Bøhler, Sonja Mandt-Bartholsen, Gunn Olsen og
Dag Ole Teigen, fra Fremskrittspartiet, Jan-Henrik Fredriksen, Vigdis
Giltun og lederen Harald T. Nesvik, fra Høyre, Inge Lønning og Sonja
Irene Sjøli, fra Sosialistisk Venstreparti, Olav Gunnar Ballo, fra
Kristelig Folkeparti, Knut Arild Hareide, fra Senterpartiet, Trygve
Slagsvold Vedum, og fra Venstre, Gunvald Ludvigsen, viser
til at forslagsstillerne vektlegger Personvernkommisjonens utredning
som grunnlag for flere av forslagene som fremmes i Representantforslag nr.
70 (2008–2009). Komiteen har merket seg konklusjonene
i NOU 2009:1 Individ og integritet; Personvern i det digitale samfunnet,
og vil her trekke fram de deler av Personvernkommisjonens utredning
som omhandler helsesektoren.
Komiteen viser til at kommisjonen
uttrykker:
"Pasientene må gi fra seg opplysninger om sykdom,
uførhet, livsstil og andre personlige forhold av betydning for behandlingen
for å nyte godt av slik helsehjelp. Hvis legen ikke har tilstrekkelige
opplysninger om pasientens sykdomsbilde, forhistorie og situasjon
ellers, vil behandlingen kunne lide, og pasienten kan i verste fall
risikere å få gal behandling. Det er derfor et grunnleggende hensyn,
og i pasientens interesse, at behandlende helsepersonell faktisk
har tilgang til nødvendig informasjon om den pasienten de behandler.
Mens få vil bestride dette, er det på den annen side flere kritiske røster
som påpeker at «helsetjenesten lekker» og at det er en stadig videre
personkrets som med rette eller urette får tilgang til sensitiv
informasjon om pasienter. Det er særlig dette som aktualiserer personvernspørsmål
i helsetjenesten …"
Komiteen viser til at begrepet
personvern i vid forstand refererer til tiltak hvis formål er å
beskytte individets autonomi (selvbestemmelse) og personlige integritet.
I helsetjenesten omfatter dette vern av så vel fysisk som psykisk
integritet og viser seg særlig i form av kravet om informert samtykke
til helsehjelp og rett til vern mot spredning av personlige opplysninger,
jf. pasientrettighetsloven §§ 3-2, 3-6, 4-1 og helsepersonelloven
kapittel 5.
Komiteen vil påpeke at pasientjournalen
er en av de viktigste kildene for medisinsk forskning, noe som medfører
at brytningen mellom behovet for å skjerme individet på den ene
siden og samfunnets behov for å utvikle ny kunnskap og bedre behandlingsmetoder
på den andre, aktualiseres.
Komiteens flertall, medlemmene
fra Fremskrittspartiet, Høyre, Sosialistisk Venstreparti, Kristelig
Folkeparti og Venstre, viser til at helseforskningsloven
ble vedtatt 20. juni 2008. Flertallet merker seg
at Personvernkommisjonen skriver at:
"Personvernkommisjonen har observert at deler av
lovforslaget har vært gjenstand for kritikk og diskusjon fra høringsinstansene
og fagmiljøet. Dette gjelder blant annet bruken av såkalte brede samtykker,
det vil si samtykker som omfatter ett eller flere overordnede forskningsformål
og forskningsfelt, uten at de enkelte detaljer som ønskes forsket
på er spesifisert."
Personvernkommisjonen skriver også:
"En annen del av kritikken mot loven gjelder svekkelse
av personvernet ved at mulighetene for avidentifisering ikke utnyttes
fullt ut. Etter Personvernkommisjonens oppfatning kan en tilsvarende
kritikk også rettes mot andre sentrale helseregistre, som for eksempel
Norsk pasientregister, hvor lovgiver i nyere tid har vist en tendens
til å velge bort pseudonymisering som personvernfremmende tiltak."
Flertallet viser til at økende
krav til kostnadseffektivitet gjerne imøtekommes ved å samle inn
og bruke data, ofte i form av gjenbruk av opplysninger som allerede
er samlet inn i den løpende virksomheten. Disse dataene brukes som
indikatorer på produksjon og produktivitet. Et problem i personvernsammenheng
etter flertallets syn er når slik gjenbruk av data
resulterer i at sensitive pasientopplysninger tilflyter administrasjonen/virksomheten
på alle nivå. Jo flere som får tilgang til opplysninger, desto vanskeligere
er det å sikre seg mot lekkasjer til uvedkommende.
Flertallet deler Personvernkommisjonens
syn om at sammenstilling av registre kan gi kunnskap om viktige
sammenhenger, for eksempel mellom fødselsvekt og forekomst av sykdom,
og mellom røyke- og kostholdsvaner og kreftutvikling. Data innhentet
for ett formål kan være nyttige også for andre formål. Dette har
ført til stor etterspørsel etter data samlet inn i helsetjenesten,
ikke minst fra forskningsmiljøer. Flertallet vil
imidlertid, på linje med Personvernkommisjonen, påpeke at fokuset
på positive sider ved å registrere helseopplysninger kan overskygge
og hindre den nødvendige oppmerksomhet rundt viktige personvernspørsmål.
Flertallet vil påpeke at det
allerede finnes en rekke eksempler på at personsensitive opplysninger
som er underlagt taushetsplikt, feilaktig gjøres allment tilgjengelig,
også av offentlige instanser som skulle forventes å utvise særlig
forsiktighet for å hindre brudd på personvernet. Et eksempel på
dette er en pasient som opplevde at opplysninger om bruk av medisin
ble offentliggjort på Internett ved at et brev fra fastlege til fylkesmann
var søkbart i fylkesmannens postliste (Aftenposten.no 2008a). Datatilsynets direktør
uttalte i den anledning at tilsynet ukentlig mottar henvendelser
om sensitive opplysninger som legges ut på Internett, og at det generelt
sett er en manglende årvåkenhet på behandling av personopplysninger
ved elektronisk kommunikasjon. Dette medfører utilsiktede krenkelser
av taushetsplikten, som altså ikke skyldes mangler ved regelverket,
men manglende etterlevelse av regelverket på grunn av manglende
årvåkenhet og sviktende rutiner.
Komiteens medlemmer fra Høyre,
Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre vil
påpeke at når elektroniske data gjøres lettere tilgjengelig for flere,
øker også muligheten for feilbehandling av data, inkludert at personsensitive
opplysninger gjøres allment tilgjengelig via Internett.
Komiteen vil påpeke
at respekten for den enkeltes privatliv er en grunnleggende menneskerettighet
som må ivaretas av helsetjenesten i overensstemmelse med artikkel
8 i Den europeiske menneskerettighetskonvensjon og artikkel 17 i
Konvensjonen om sivile og politiske rettigheter. Pasientens privatliv
er beskyttet blant annet gjennom bestemmelser om helsepersonells
taushetsplikt, som fra gammelt av har vært bærebjelken i lege/pasient-forholdet
og som er en viktig forutsetning og grunnorm for helsetjenesten.
Uten tillit til behandleres taushetsplikt ville mange unnlate å
oppsøke helsevesenet når de trenger hjelp. Det er alminnelig akseptert
at taushetsplikten er avgjørende for det tillitsforholdet som må
herske mellom pasient og helsetjeneste. Pasienten skal kunne betro
seg til sin behandler i trygg forvissning om at informasjonen ikke
bringes videre, og behandler skal kunne motta opplysninger med visshet
om at disse ikke kan kreves utlevert.
Komiteen vil påpeke at formålsbestemmelsen til
helseregisterloven direkte gir uttrykk for at personvern er viktig
når den sier at formålet med loven "er å bidra til å gi helsetjenesten
og helseforvaltningen informasjon og kunnskap uten å krenke personvernet,
slik at helsehjelp kan gis på en forsvarlig og effektiv måte". Formålsbestemmelsen
fremhever videre forskning og statistikk som viktige redskaper,
ved at "informasjon og kunnskap om befolkningens helseforhold, årsaker
til nedsatt helse og utvikling av sykdom" skal tas i bruk av hensyn
til administrasjon, kvalitetssikring, planlegging og styring. Det
presiseres at loven skal sikre at helseopplysninger blir behandlet
i samsvar med "grunnleggende personvernhensyn, herunder behovet
for personlig integritet, privatlivets fred og tilstrekkelig kvalitet
på helseopplysninger" (§ 1). Komiteen understreker
at formålsbestemmelsen gir et tydelig signal om at personvernhensyn
bør veie tungt på vektskålen når ulike hensyn avveies.
Komiteens flertall, medlemmene
fra Fremskrittspartiet, Høyre, Sosialistisk Venstreparti, Kristelig
Folkeparti og Venstre, viser til Innst. O. nr. 62 (2000–2001) om
helseregistre og behandling av helseopplysninger (helseregisterloven)
til Ot.prp. nr. 5 (1999–2000) der en samlet sosialkomité uttrykte:
"Komiteen mener generelt at det skal stilles strengere
krav til å godta opprettelse av et helseregister for forvaltningen
enn for helsetjenesten. Fordi forvaltningens behov for informasjon
ut fra ønsket om bedre forebyggingsstrategier egentlig ikke har
noen grenser, kan i prinsippet hele befolkningens livsførsel registreres.
Etter komiteens oppfatning bør en derfor være tilbakeholden med
å opprette slike registre. Disse bør være avidentifiserte eller pseudonymiserte
slik at ingen risikerer at opplysninger om ens livsstil og livsførsel
kommer på avveie."
I samme den samme komitéinnstillingen uttrykte en
samlet komité:
"Det må …… etter komiteens syn være et mål å finne
registerløsninger som i rimelig grad tilgodeser hensynet til folkehelsen
uten å krenke personvernet. Helseregistre med avidentifiserte eller
pseudonymiserte helseopplysninger kan ivareta disse hensyn og bør
etter komiteens syn benyttes der dette er hensiktsmessig. I den
grad det er nødvendig ut fra hensynet til pasienten å benytte helseregistre
med personidentifiserbare opplysninger, bør dette etter komiteens
syn gjøres etter vedtak av Stortinget eller etter samtykke fra den
registrerte. Ved å kreve stortingsbehandling før slike registre
etableres, sikres en demokratisk prosess som kan bidra til at nødvendige
avveininger mellom hensynet til behovet for registre og hensynet
til personvern foretas før vedtak treffes."
Flertallet vil påpeke at den
grunnleggende rettigheten som står på spill ved uberettiget kommunikasjon
av helseopplysninger, er retten til privatliv. Det følger av Den
europeiske menneskerettskonvensjon (EMK) artikkel 8 (1) at enhver
har rett til respekt for sitt privatliv. Etter vedtakelsen av menneskerettsloven
skal EMK gjelde som norsk lov og ved motstrid gå foran bestemmelser
i annen lovgivning, se § 3, jf. § 2 nr. 1. Retten til privatliv
er dermed en grunnleggende menneskerett som må respekteres i alle
sammenhenger. Denne rettigheten har stor aktualitet i helsesektoren,
idet helseopplysninger, for eksempel om sykdom, behandling og helseplager,
utvilsomt tilhører den enkeltes private sfære, som er omfattet av det
menneskerettslige vern om privatlivet. Dette slås utvetydig fast
i en fersk dom fra Den europeiske menneskerettsdomstol (EMD) – I
mot Finland (dom av 17. juli 2008) – der en HIV-positiv sykepleier
hevdet at sykehusets datasystem ikke beskyttet henne mot uautorisert
innsyn i hennes pasientdata fra andre ansatte ved sykehuset. Domstolen
peker på at statens forpliktelse ikke er begrenset til en "negativ"
plikt til selv å avstå fra privatlivskrenkelser, men også en "positiv"
forpliktelse til å iverksette effektive tiltak for å verne om borgernes
privatliv. Denne sikringsplikten omfatter også vern mot krenkelser
av tredjemenn som ikke handler på vegne av det offentlige, for eksempel
privat ansatt helsepersonell.
For helsetjenesten innebærer dette en plikt
til å sørge for et effektivt vern om pasienters privatliv i form
av et system som gir sikker beskyttelse mot uberettiget innsyn i
og flyt av helseopplysninger. Det presiseres i den nevnte dommen
at det ikke er tilstrekkelig at lovgivningen garanterer beskyttelse
mot uautorisert innsyn i data, så lenge det ikke etableres tilfredsstillende
systemer og rutiner som i praksis gir et effektivt vern om den enkeltes
privatliv. Det er heller ikke tilstrekkelig å etablere klageordninger
med muligheter for kompensasjon for skader forårsaket av ulovlig
innsyn. I dommen sies det: "What is required in this connection
is practical and effective protection to exclude any possibility
of unauthorized access occurring in the first place" (avsnitt 47).
Finland ble dømt for brudd på EMK artikkel 8 (1),
med den begrunnelse at de nødvendige sikkerhetstiltak for å beskytte
den enkeltes privatliv ikke var etablert.
Dommen er en viktig påminnelse om at retten
til privatliv og beskyttelse av private opplysninger i helsevesenet
i stor grad handler om praktiske og effektive tiltak for å hindre
urettmessig tilgang til informasjon om andre. Dette krever ikke
bare lovregulering, men etablering av praktiske løsninger som gir
den nødvendige beskyttelse i praksis. Det er derfor nødvendig å
stille to spørsmål i forhold til beskyttelse av personopplysninger
på helsevesenets område: Er den eksisterende rettslige regulering
tilstrekkelig? Er reguleringen gjennomført på en måte som faktisk
sikrer et effektivt vern om privatlivet til den enkelte?
Komiteens medlem fra Sosialistisk Venstreparti viser
til at Regjeringen arbeider med å følge opp Personvernkommisjonens utredning
NOU 2009:1 "Individ og integritet. Personvern i det digitale samfunnet". Dette medlem viser
til at Sosialistisk Venstrepartis stortingsgruppe derfor mener det
er naturlig at representantforslaget vurderes i forbindelse med dette
arbeidet, og Sosialistisk Venstrepartis stortingsgruppe imøteser
dette arbeidet. På denne bakgrunn støtter Sosialistisk Venstrepartis
representanter forslagene og merknadene fra Arbeiderpartiet og Senterpartiet.
Dette medlem imøteser også dette
arbeidet, men mener samtidig at Personvernkommisjonen har så vesentlige
innvendinger til måten personvernet i dag ivaretas på innen helsevesenet,
at oppfølgingen av Personvernkommisjonens utredning burde ha vært
prioritert framfor de endringene som Regjeringen foreslår i Ot.prp.
nr. 51 (2008–2009), slik at premissene for personvern legges til
grunn for endringer i helseregisterloven.
Dette medlem viser til sine merknader. Dette medlem mener
at disse merknadene best imøtekommer Personvernkommisjonens utredning
og tilsynsmyndighetenes, fagorganisasjonenes og pasientorganisasjonenes
innsigelser til Ot.prp. nr. 51 (2008–2009) når det gjelder ivaretakelsen av
personvern innen helsevesenet.
Komiteen viser til
at Personvernkommisjonen i sin utredning har pekt på at det mange
steder eksisterer uheldige rutiner med hensyn til ivaretakelse av
taushetsplikt, for eksempel ved at legen kommuniserer med pasienten
i påhør av andre pasienter og annet helsepersonell. Dette forekommer
særlig der pasienten ikke har enerom, men ligger på rom med flere,
der sengene er atskilt med forheng som ikke hindrer at andre hører
det som blir sagt. Det kan ikke antas at pasienten stilltiende samtykker
til at sensitive opplysninger på denne måten deles med andre, og
det er derfor nødvendig med nye rutiner for å sikre forsvarlig håndheving
av taushetsplikten.
Komiteen mener at sensitive helseopplysninger
ikke må formidles i påhør av andre, og at legevisitten skal gjennomføres
på en slik måte at taushetsplikten ivaretas.
Komiteen fremmer følgende forslag:
"Stortinget ber Regjeringen om å sikre pasientens
rett til at personsensitive helseopplysninger ikke formidles i påhør
av andre, blant annet under legevisitter."
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet,
vil vise til plikten til å opprette internkontrollsystem og tilsyn
med at det føres internkontroll i lov 30. mars 1984 nr. 15 om statlig
tilsyn med helsetjenesten. Det vises videre til forskrift 20. desember
nr. 1731 om internkontroll i sosial- og helsetjenesten.
Enhver som yter helsetjeneste, skal etablere
et internkontrollsystem for virksomheten og sørge for at virksomhet
og tjenester planlegges, utføres og vedlikeholdes i samsvar med
krav fastsatt i eller i medhold av lover og forskrifter. Hvis virksomhet
innen helsetjenesten drives på en måte som kan ha skadelige følger
for pasienter eller på annen måte er uheldig eller uforsvarlig,
kan Statens helsetilsyn gi pålegg om å rette på forholdene, jf.
§ 5 i loven.
Flertallet legger til grunn at
internkontrollplikten og Helsetilsynets tilsynsansvar også omfatter
aktiviteter, rutiner og tiltak virksomheten utfører for å ivareta
taushetsplikten, herunder at legevisitten og helsepersonells kommunikasjon med
pasienten planlegges og gjennomføres på en slik måte at pasientenes
rett til konfidensialitet ivaretas.
Komiteens flertall, medlemmene fra Arbeiderpartiet,
Fremskrittspartiet og Senterpartiet, viser til at det ifølge
offentlighetsloven og forvaltningsloven er ulovlig å offentliggjøre
sensitive personopplysninger i elektroniske postjournaler. Standarden
for elektronisk postjournal bygger blant annet på disse lovene.
Når opplysninger legges ut på elektronisk postjournal, skjer dette
manuelt, ettersom en person må avgjøre om noen av opplysningene skal
skjermes, og dermed må lese innholdet i henvendelsen.
Flertallet mener at det ikke
gir mening å erstatte individualiserende kjennetegn med pseudonymer
i elektronisk postjournal. Der hvor opplysninger i elektronisk postjournal
skal skjermes fra offentligheten, blir opplysningen fjernet, ikke
erstattet av noe. Det gir heller ikke mening å erstatte opplysningen
med et pseudonym. Arkivet i virksomheten som har utarbeidet den
elektroniske postjournalen, vil uansett måtte vite avsenders eller
mottakers identitet for besvarelse av henvendelsen. Et pseudonym
vil i denne sammenheng ikke tilføre noe for styrking av personvernet.
Flertallet vil understreke at
selv om man endrer standarden for elektronisk postjournal, vil dette
dessverre ikke forhindre at det kan skje menneskelige feil når opplysninger
manuelt skal tilføres journalen.
På denne bakgrunn støtter flertallet ikke
forslag II i representantforslaget.
Komiteens medlemmer fra Høyre,
Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre,
merker seg at forslagsstillerne tar til orde for at Regjeringen skal
utvikle standarden for elektronisk postjournal slik at individualiserende
kjennetegn ved enkle grep kan erstattes med genererte pseudonymer. Disse
medlemmer støtter intensjonen i forslaget, fordi forsendelse
av elektroniske data alltid innebærer en risiko for at opplysningene
når andre enn de som opplysningene var ment å nå. Kryptering av
data ved forsendelse vil redusere skadeomfanget ved forsendelsen,
forutsatt at krypteringsnøkkelen ikke lett lar seg knekke.
På denne bakgrunn støtter disse medlemmer forslag
II og fremmer følgende forslag:
"Stortinget ber Regjeringen utvikle standarden for
elektronisk postjournal slik at individualiserende kjennetegn ved
enkle grep kan erstattes med genererte pseudonymer."
Komiteens flertall, medlemmene
fra Fremskrittspartiet, Høyre, Sosialistisk Venstreparti, Kristelig
Folkeparti og Venstre, registrerer at forslagsstillerne
mener at det vil være nødvendig med en redegjørelse fra Regjeringen
for hvor stort behovet for tilgang til pasientjournaler på tvers
av helseforetakene faktisk er.
Flertallet mener med bakgrunn
i sakens kompleksitet at det vil være mer hensiktsmessig at denne
redegjørelsen skjer i form av en stortingsmelding enn som en muntlig
redegjørelse overfor Stortinget.
Med utgangspunkt i premisset om en stortingsmelding
støtter flertallet forslag III og fremmer følgende
forslag:
"Stortinget ber Regjeringen om en redegjørelse for
hvor stort behovet for tilgang til pasientjournaler på tvers av
helseforetakene faktisk er."
Komiteens medlemmer fra Arbeiderpartiet
og Senterpartiet mener at redegjørelsen for de helsefaglige
behov i Ot.prp. nr. 51 (2008–2009), samt rapporten "Tilgang til
elektroniske pasientjournalsystem (EPJ)" (2006) som det vises til
i nevnte odelstingsproposisjon, synliggjør behovene for tilgang
til pasientjournaler på tvers av helseforetak.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet,
har merket seg at det i departementet arbeides med en forskrift
om informasjonssikkerhet og tilgang til helseopplysninger i behandlingsrettede
helseregistre. Forskriften vil stille strenge krav til informasjonssikkerhet
der det åpnes for tilgang på tvers av virksomheter i helsetjenesten.
Komiteens medlemmer fra Arbeiderpartiet
og Senterpartiet støtter derfor ikke at det utarbeides en
stortingsmelding som nevnt, og støtter ikke forslag III i representantforslaget.
Komiteens medlemmer fra Høyre,
Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre mener,
i likhet med forslagsstillerne, at det før eventuelle omfattende
endringer av helseregisterloven og helsepersonelloven foretas, er
behov for en overordnet gjennomgang av dagens journalsystemer i
primær- og spesialisthelsetjenesten, både med utgangspunkt i ivaretakelsen
av personvernet, men også som ledd i å gjennomgå hva som rent teknisk
er mulig, ønskelig eller uheldig når det gjelder elektronisk samarbeid
på tvers.
Komiteens flertall, medlemmene
fra Fremskrittspartiet, Høyre, Sosialistisk Venstreparti, Kristelig
Folkeparti og Venstre, viser til Personvernkommisjonens kommentarer
til uautorisert tilgang til taushetsbelagte helseopplysninger, der
kommisjonen uttrykker:
"De største utfordringer og problemer i relasjon til
kommunikasjon av og tilgang til helseopplysninger er etter Personvernkommisjonens
oppfatning knyttet til uautorisert tilgang til helseopplysninger
internt i helsetjenesten, samt at et økende antall samarbeidsinstanser
får lovhjemlet tilgang til helseopplysninger om enkeltpersoner.
Dette utfordrer taushetsplikten og sentrale personverninteresser
som konfidensialitet og kontroll over egne opplysninger."
Komiteens medlemmer fra Høyre,
Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre vil,
i likhet med Personvernkommisjonen, påpeke at problemet knyttet
til uautorisert tilgang særlig har sammenheng med innføring av elektronisk
pasientjournal, som har gjort det enklere for ansatte i helsetjenesten
å få tilgang til pasientopplysninger. Datatilsynet peker på at overgangen
fra papir til elektroniske pasientjournaler har medført en økning
i personvernrisikoen i helsesektoren og at problematikken særlig
er knyttet til at:
"…. mer informasjon er lettere tilgjengelig for flere,
lettere å spre til uvedkommende (Internett) og i den grad opplysningene
først er spredd, er det vanskeligere å begrense skaden for pasientene
som er rammet." (Datatilsynet 2007)
Komiteens flertall, medlemmene
fra Fremskrittspartiet, Høyre, Sosialistisk Venstreparti, Kristelig
Folkeparti og Venstre, deler Personvernkommisjonens bekymring
om at uautorisert tilgang bidrar til å redusere personvernet for
den enkelte. Flertallet vil påpeke at faren for uautorisert
tilgang til helseopplysninger vil øke med antallet som har tilgang.
Når ulike elektroniske journalsystemer kobles sammen i kjeder, vil
dermed også tilgangen for uautorisert personell til journaldataene øke. Flertallet registrerer
at mens tilgangen til elektronisk kommunikasjon har gjennomgått
en eksplosjonsartet utvikling gjennom det siste tiåret, ikke minst
gjennom bruken av Internett, har sikkerhetssystemene for bruken
ikke fulgt samme utvikling. Dette har gitt seg uheldige og også
tragiske utslag i at svært personsensitive data er lagt ut på Internett
med generell tilgang for alle interesserte til å se disse. Siden
slike data lar seg laste ned, for deretter å kunne legges ut på ny,
vil det være nær umulig å rette opp skaden når den først har skjedd.
Eksempler er kompromitterende bildemateriale, barnepornografiske bilder
eller personsensitive dokumenter. Journalopplysninger har allerede
blitt lagt ut på nett, og dette synliggjør hvor sårbare elektroniske
journalsystemer er for brudd på personvernet dersom sikkerhetsrutinene
ikke er på plass når dataene gjøres lettere tilgjengelig.
Selv om helsepersonell har taushetsplikt, vil flertallet påpeke
at det kun er relevant informasjon helsepersonellet skal skaffe
seg tilgang til. Likevel viser en MMI-undersøkelse, gjengitt i Dagbladet
den 5. juni 2005, at anslagsvis 86 prosent av de ansatte i helsevesenet
bekrefter at det er utbredt å se i pasientjournalene ut over det som
er nødvendig.
Komiteen viser til
at dette var bakgrunnen for at Datatilsynet foreslo lovfesting av
pasientens rett til innsyn i journalloggene i pasientrettighetsloven.
Selv om tilsvarende rett også kan utledes av retten til innsyn etter
bestemmelser i personopplysningsloven og helseregisterloven, mente Datatilsynet
at det her var viktig å synliggjøre retten til innsyn i journalloggen
for pasienten ved å nedfelle den i pasientrettighetsloven, på linje
med retten til innsyn i pasientjournalen. Formålet med forslaget
var å gi pasienten bedre kontroll over hvem som åpner journalen
av ren nysgjerrighet. Departementet har fulgt opp forslaget i forslag
til forskrift om informasjonssikkerhet og elektronisk tilgang til helseopplysninger
i behandlingsrettede helseregistre. Forslaget har vært på høring
med høringsfrist 12. januar 2009 og er en del av forskriftsendringen
som komiteen støtter i behandlingen av Ot.prp. nr. 51 (2008–2009). Komiteen anser
dermed forslaget IV ivaretatt.
Det er vedtatt bestemmelser som retter seg mot selve
"snokingen". En ny bestemmelse i helsepersonelloven § 21a (tilføyd
ved lov 9. mai 2008 nr. 34) slår fast at det er forbudt å "lese, søke
etter eller på annen måte tilegne seg, bruke eller besitte opplysninger
som nevnt i § 21 uten at det er begrunnet i helsehjelp til pasienten,
administrasjon av slik hjelp eller har særskilt hjemmel i lov eller
forskrift". Dette er en viktig bestemmelse i lys av erfaringene
med uberettiget "snoking" i pasientjournaler som har medført en tiltakende
mistillit til helsetjenestens evne til å ivareta personvernet. Forbudet
kan i så måte være med på å styrke det tillitsforholdet som må herske
mellom legen og pasienten og mellom befolkningen og helsetjenesten.
Tilsvarende bestemmelse er tilføyd i helseregisterloven, i en ny § 13a.
Også denne bestemmelsen er viktig fra et personvernperspektiv, fordi
den gir et klart rettslig signal om at det er ulovlig å tilegne
seg helseopplysninger om andre når dette ikke er begrunnet i legitime,
helserelaterte formål.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet,
viser til at forslag til forskrift om informasjonssikkerhet og tilgang
til behandlingsrettede helseregistre var på høring i perioden 20. oktober
2008 til 12. januar 2009. Det foreslås i forskriften at pasienten
(den registrerte) har rett til innsyn i tilgangsloggen i pasientjournalen.
Flertallet forutsetter at forslaget
om pasientens innsynsrett i logg følges opp i det videre arbeidet
med forskriften.
Komiteens flertall, medlemmene
fra Fremskrittspartiet, Høyre, Sosialistisk Venstreparti, Kristelig
Folkeparti og Venstre, har merket seg at Personvernkommisjonen
i sin utredning gir uttrykk for:
"… generelt at det er grunn til større årvåkenhet med
hensyn til etablering av registre, både rene helseregistre og de
forskningsregistre som i fremtiden vil bli opprettet i medhold av
helseforskningsloven."
I utredningen uttrykker Personvernkommisjonen videre:
"Det bør foretas grundige utredninger før helseregistre
etableres. Det er ikke tilstrekkelig at registeret kan sies å tjene
et godt formål. I tillegg må konsekvensene for personvernet utredes,
og det må kunne dokumenteres at disse ikke er så negative at man
av den grunn bør avstå fra å opprette registeret. Dersom man kommer
til at registeret bør etableres, må det tilstrebes å gjøre bruken
av registeret så personvernvennlig som mulig, for eksempel gjennom
pseudonymisering eller andre metoder for identitetsbeskyttelse.
Her mener kommisjonen at Grunnlovsfesting av personvernet … vil
kunne bidra til en bedre balanse i vektleggingen av personvernhensyn
opp mot andre interesser når helseregistre skal opprettes."
Flertallet merker seg videre
at Personvernkommisjonen uttrykker:
"Dessuten må man erkjenne at omfang og bruk av etablerte
helseregistre vil være i dynamisk utvikling. Derfor bør ethvert
register undergis periodisk ettersyn og en revurdering, som bør
være bygget inn i betingelsene for registerets hjemmel i form av
en såkalt "solnedgangsklausul". Ved jevne mellomrom bør registeret
opp til ny vurdering, der balansen mellom personvernet og andre
interesser revurderes før hjemmel for registeret eventuelt forlenges.
I forbindelse med revisjonen må det godtgjøres at registeret fremdeles
har en nytteverdi og har vist seg egnet til å oppfylle det angitte
formålet før det gis en forlengelse av hjemmelsgrunnlaget."
Flertallet viser til at Personvernkommisjonen foreslo
en gjennomgang av alle etablerte sentrale helseregistre, med et
klart fokus på personvern. Kommisjonen anbefalte at det burde foretas
en utredning av hvorvidt de eksisterende registre har en berettiget
eksistens og om det finnes registre med overlappende funksjon og
formål. Kommisjonen konkluderte også med at personvernhensyn tilsier
at registeromfanget begrenses til det som er nødvendig. Kommisjonen
mente også at det bør vurderes om ikke pseudonymisering er et tiltak
som kan tas i bruk for langt flere helseregistre enn det som er
tilfelle i dag.
Et annet flertall, medlemmene
fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet,
viser til Personvernkommisjonens utredning, NOU 2009:1, og sier
seg enig med kommisjonen i at en står overfor personvernmessige
utfordringer i helsesektoren. Disse utfordringene er bakgrunnen
for at det over flere år har vært gjennomført systematisk arbeid
for å styrke personvernet i sektoren, både organisatorisk, juridisk
og teknologisk. Teknologien gir i dag nye muligheter for personvern
gjennom blant annet kryptering av data og logging av innsyn. Det
er utviklet et strengt regelverk på dette området, og det gjennomføres
stadig nye innskjerpinger.
Dette flertallet viser til at
det i april 2008 ble det vedtatt en endring i helsepersonelloven
og helseregisterloven som innebærer et tydelig forbud mot urettmessig
å tilegne seg taushetsbelagte pasientopplysninger og andre helseopplysninger.
Dette flertallet er kjent med
at departementet i 2008 etablerte et nasjonalt prosjekt som skal gjennomgå
de sentrale helse- og kvalitetsregistrene for å bidra til bedre
utnyttelse, bedre kvalitet og sikrere håndtering av data til forskning
og helseovervåkning. Prosjektet skal foreslå tiltak for å bedre
utnyttelsen og tilgjengeligheten til registrene og styrke personvernet
til de registrerte.
Dette flertallet mener at arbeidet
med personvern i helsesektoren må være en kontinuerlig prosess.
Samtidig kan ikke et slikt kontinuerlig arbeid være til hinder for
at det opprettes nye viktige helseregistre som vil ha stor betydning for
kvaliteten på pasientbehandlingen og for pasientvernet. Det er også
grunn til å understreke at personvernutfordringene i helsesektoren
ikke først og fremst er knyttet til håndteringen av helseregistrene.
I mange tilfeller kan etablering av helseregistre representere en
betydelig personverngevinst fordi alternativet til et register er å
hente data fra journalsystemet i helsetjenesten eller direkte fra
pasientene.
På denne bakgrunn støtter dette flertallet ikke
forslag V i representantforslaget.
Komiteens medlemmer fra Høyre,
Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre merker
seg at kommisjonen foreslo at det vedtas et moratorium mot etablering
av nye helseregistre før denne gjennomgangen er fullført.
Disse medlemmer merker seg at
forslag V er sammenfallende med Personvernkommisjonens forslag om
et moratorium, og fremmer følgende forslag:
"Stortinget ber Regjeringen opprette et moratorium
mot etablering av nye helseregistre inntil dagens registre er gjennomgått."
Komiteen mener at
det er gode grunner til å utrede nærmere en ordning med såkalt kjernejournal,
det vil si en journal med begrenset utdrag av pasientinformasjon. Komiteen merker
seg at Legeforeningen har beskrevet en slik løsning som et alternativ
til departementets forslag om utlevering av helseopplysninger på
tvers av virksomhetsgrenser. Komiteen viser til at Nasjonalt
IKT har startet et utredningsarbeid med sikte på å avklare hvilke
av spesialisthelsetjenestens behov som kan dekkes av en nasjonal
kjernejournal, og kommunenes behov for nasjonal kjernejournal skal
kartlegges i eget utredningsarbeid. Dette bør også sees i sammenheng
med et nasjonalt helsekort.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Fremskrittspartiet, Høyre, Sosialistisk Venstreparti,
Kristelig Folkeparti og Senterpartiet, mener derfor at forslaget
kan sies å være fulgt opp allerede siden kartleggingen er under
arbeid.
Komiteens medlemmer fra Høyre,
Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre vil
imidlertid påpeke at representantforslaget er mer konkret ved at
forslagsstillerne ønsker en løsning med såkalt elektronisk kjernejournal
hvor den enkelte kan samtykke til at livsnødvendige opplysninger
kan lagres pseudonymisert og kryptert.
Disse medlemmer ser en slik løsning
som tjenlig og som et alternativ til at det utvikles et felles generelt
journalsystem på tvers av ulike virksomheter, fordi det vil kunne
ivareta behovet for rask tilgang til livsnødvendige opplysninger uten
at andre opplysninger som er uten relevans, og som samtidig er personsensitive,
gjøres tilgjengelig. Disse medlemmer støtter forslag VI
og fremmer følgende forslag:
"Stortinget ber Regjeringen opprette en løsning med
såkalt elektronisk kjernejournal hvor den enkelte kan samtykke til
at livsnødvendige opplysninger kan lagres pseudonymisert og kryptert."
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet,
støtter utredning av en nasjonal kjernejournal og mener at et slikt
helseregister vil ivareta udekkede behov for informasjonsutveksling
i helsetjenesten. Flertallet viser til Ot.prp. nr.
51 (2008–2009), hvor det er foreslått en hjemmel som vil muliggjøre
kjernejournal på regionalt nivå som en pilot for en fremtidig nasjonal
kjernejournal.
Flertallet vil også vise til
at utredning av en nasjonal kjernejournal er en oppfølging av Samspill
2.0 – Nasjonal strategi for elektronisk samhandling i helse- og
sosialsektoren 2008–2013 fra Helse- og omsorgsdepartementet.
Flertallet mener at det er for
tidlig å konkludere når det gjelder om en nasjonal kjernejournal skal
være basert på samtykke eller ikke. Det vil være avhengig av hva
slags type opplysninger som vil inngå her. Dette spørsmålet er en
del av den utredningen som er igangsatt av Nasjonal IKT, og det
er derfor for tidlig å konkludere på dette punktet. Dette vil man
ta endelig stilling til når saken fremmes til behandling på Stortinget.
For komiteens medlemmer fra
Arbeiderpartiet og Senterpartiet synes det lite hensiktsmessig
at helseregistre som brukes til pasientbehandling, og hvor helseopplysninger må
være gjenfinnbare på bakgrunn av en persons identitet, blir lagret
kryptert eller pseudonymisert. Dette var også bakgrunnen for at
det er inntatt i helseregisterloven § 8 at kravet til at direkte
personidentifiserende kjennetegn skal lagres kryptert i registrene,
ikke gjelder nasjonal database for elektroniske resepter. Dette
registeret skal brukes i det daglige, og resepter må være gjenfinnbare
på en persons identitet.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet,
mener arbeidet med å utvikle en kjernejournal bør intensiveres og
ses i sammenheng med utviklingen av et eventuelt elektronisk helsekort.
Komiteen viser til
at forslag VII gjelder opplæringstiltak og holdningsskapende tiltak
for at taushetsplikten skal etterleves, og at Regjeringen bes tilrettelegge
for slike tiltak. Komiteen ser også verdien av slike
tiltak og fremmer følgende forslag:
"Stortinget ber Regjeringen legge til rette
for opplærings- og holdningsskapende tiltak for at taushetsplikten
skal etterleves, eksempelvis som del av kvalitetssikringsarbeidet
i helseforetakene."
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet,
viser til at forslag til forskrift om informasjonssikkerhet og tilgang
til behandlingsrettede helseregistre var på høring i perioden 20. oktober
2008 til 12. januar 2009, se også pkt. 2.5 ovenfor.
Flertallet viser til at det i
dette høringsforslaget ble foreslått en bestemmelse som setter krav
til opplæring, kunnskap og holdninger, herunder gis at det skal
gis nødvendig opplæring i reglene om taushetsplikt samt pasientens
rett til informasjon og rett til å motsette seg behandling av helseopplysninger.
Flertallet forutsetter at forslaget
om krav til opplæring og kunnskap følges opp i det videre arbeidet
med forskriften.