Det vises til brev fra Stortingets helse- og
omsorgskomite vedrørende ovennevnte.
Helse- og omsorgskomiteen ber om en generell vurdering
av forslagene som foreligger, men ønsker også mer presist å få utdypet
ulike problemstillinger konkretisert i 7 spørsmål gjengitt nedenfor.
Helse- og omsorgskomiteen stiller følgende spørsmål
til forslaget under romertall I i Dok 8:70 (2008–2009):
Hvordan vurderer statsråden behovet for å skjerpe
rutinene for å unngå denne situasjonen i tråd med forslagsstillernes
intensjon, og hvilke alternativer vurderer statsråden som aktuelle hvis
forslaget ikke støttes?
Det vises til plikten til å opprette internkontrollsystem
og tilsyn med at det føres internkontroll i lov 30. mars 1984 nr.
15 om statlig tilsyn med helsetjenesten og forskrift 20. desember
nr. 1731 om internkontroll i sosial- og helsetjenesten.
Enhver som yter helsetjeneste skal etablere
et internkontrollsystem for virksomheten og sørge for at virksomhet
og tjenester planlegges, utføres og vedlikeholdes i samsvar med
krav fastsatt i eller i medhold av lover og forskrifter. Hvis virksomhet
innen helsetjenesten drives på en måte som kan ha skadelige følger
for pasienter eller på annen måte er uheldig eller uforsvarlig,
kan Statens helsetilsyn gi pålegg om å rette på forholdene, jf.
§ 5 i loven.
Internkontrollplikten og Helsetilsynets tilsynsansvar
omfatter også aktiviteter, rutiner og tiltak virksomheten utfører
for å ivareta taushetsplikten, herunder at legevisitten og helsepersonells
kommunikasjon med pasienten planlegges og gjennomføres på en slik
måte at pasientenes rett til konfidensialitet ivaretas.
Hvis virksomhet innen helsetjenesten drives
på en måte som kan ha skadelige følger for pasienter eller andre
eller på annen måte er uheldig eller uforsvarlig, kan Statens helsetilsyn
gi pålegg om å rette på forholdene.
Helse- og omsorgskomiteen stiller følgende spørsmål
til forslaget under romertall II i Dok 8:70 (2008–2009):
Hvordan vurderer statsråden
forslaget om pseudonymisering av individualiserende kjennetegn, og
hvilke alternativer ser stasråden for seg hvis han ikke støtter
forslaget?
I følge offentlighetsloven og forvaltningsloven er
det ulovlig å offentliggjøre sensitive personopplysninger i elektroniske
postjournaler. Standarden for elektronisk postjournal bygger blant annet
på disse lovene. Når opplysninger legges ut på elektronisk postjournal,
skjer dette manuelt, ettersom en person må avgjøre om noen av opplysningene
skal skjermes, og dermed må lese innholdet i henvendelsen.
Slik jeg vurderer saken gir det ikke mening
å erstatte individualiserende kjennetegn med pseudonymer i en elektronisk
postjournal. Der hvor opplysninger i en elektronisk postjournal
skal skjermes fra offentligheten, blir opplysningen fjernet, ikke
erstattet av noe. Det gir heller ikke mening å erstatte opplysningen
med et pseudonym. Arkivet i virksomheten som har utarbeidet den
elektroniske postjournalen vil uansett måtte vite avsenders eller
mottakers identitet for besvarelse av henvendelsen. Et pseudonym
vil i denne sammenheng ikke tilføre noe for styrking av personvernet.
Jeg vil legge til at selv om man endrer standarden
for elektronisk postjournal, vil dette dessverre ikke forhindre
at det kan skje menneskelige feil når opplysninger manuelt skal tilføres
journalen.
Jeg gjør oppmerksom på at offentlighetsloven
og forvaltningsloven ikke ligger under mitt ansvarsområde. Forvaltningen
av offentlighetsloven og forvaltningsloven er Justisministerens
ansvar, mens Fornyings- og administrasjonsministeren og Kommunal-
og regionalministeren har ansvar for postjournal.
Helse- og omsorgskomiteen stiller følgende spørsmål
til forslaget under romertall III i Dok 8:70 (2008–2009):
Kan statsråden i form av
en redegjørelse eller på annen måte dokumentere hvilket behov som foreligger
for større tilgang på tvers?
Jeg mener at redegjørelsen for de helsefaglige behov
i Ot.prp. nr. 51 (2008–2009), samt rapporten "Tilgang til elektroniske
pasientjournalsystem (EPJ)" (2006) som det vises til i nevnte odelstingsproposisjon,
i tilstrekkelig grad synliggjør behovene for tilgang til pasientjournaler på
tvers av helseforetak.
Jeg vil legge til at tilgang på tvers bare skal kunne
skje etter avtale der det er behov for det. Det vil særlig gjelde
tilfeller der det er utstrakt samarbeid om behandling av pasienter
på tvers av virksomhetsgrenser. Meldingsutveksling og eventuell
annen form for utlevering av helseopplysninger skal fortsatt benyttes
der dette anses mest formålstjenlig og sikkert.
Jeg kan også nevne at det arbeides i departementet
med en forskrift om informasjonssikkerhet og tilgang til helseopplysninger
i behandlingsrettede helseregistre. Forskriften vil stille strenge krav
til informasjonssikkerhet der det åpnes for tilgang på tvers av
virksomheter i helsetjenesten.
Helse- og omsorgskomiteen stiller følgende spørsmål
til forslaget under romertall IV i Dok 8:70 (2008–2009):
Hvordan vil statsråden
sikre innsyn for pasienten til tilgangsloggen? Hvordan vil statsråden sikre
oppfølgingen av intensjonen i forslaget ved at det faktisk er den
som er bruker av arbeidsstasjonen, som er tilknyttet initialene
ved bruk?
Jeg viser til at forslag til forskrift om informasjonssikkerhet
og tilgang til behandlingsrettede helseregistre var på høring i
perioden 20. oktober 2008 til 12. januar 2009. Det foreslås i forskriften
at pasienten (den registrerte) har rett til innsyn i tilgangsloggen
i pasientjournalen. Forslaget om pasientens innsynsrett i logg vil
bli fulgt opp i det videre arbeidet med regelverket.
Effektiv informasjonssikkerhet, herunder det forhold
at man må kunne stole på den informasjonen en logg gir, forutsetter
at ingen skal kunne skaffe seg tilgang til helseopplysninger via
andres initialer.
Slik jeg ser det, er det både et ledelsesansvar
og det enkelte helsepersonells ansvar å sørge for at ingen skaffer
seg tilgang til helseopplysninger via andres initialer. Ledelsens
ansvar vil blant annet innebære å sørge for nødvendig opplæring, kunnskap
og holdninger slik at ansatte har god kjennskap til reglene om informasjonssikkerhet, herunder
taushetsplikt, rutiner etc. virksomheten har utarbeidet og følger
opp at dette etterleves.
Helsepersonells ansvar innebærer først og fremst å
handle i henhold til regelverket. Helsepersonell må derfor ha god
kunnskap om dette, herunder innholdet i taushetsplikten og omfanget
av plikten. Helsepersonell må også få kunnskap om at det er forbudt
å lese, søke etter eller på annen måte tilegne seg, bruke eller
besitte helseopplysninger uten at det er begrunnet i helsehjelp
til pasienten, administrasjon av slik hjelp eller har særskilt hjemmel
i lov eller forskrift, jf. helseregisterloven § 13 a og helsepersonelloven § 21
a. Helsepersonell må vite at brudd på disse reglene kan føre til
reaksjoner fra arbeidsgiver. Det kan også medføre strafferettlige
reaksjoner (bøter eller fengsel i inntil tre måneder.)
Helse- og omsorgskomiteen stiller følgende spørsmål
til forslaget under romertall V i Dok 8:70 (2008–2009):
Hvilke initiativ vil statsråden
ta for å følge opp Personvernkommisjonens forslag om å gjennomgå
dagens helseregistre, også med tanke på pseudonymisering av flere
av disse?
Jeg er enig med kommisjonen i at en står overfor personvernmessige
utfordringer i helsesektoren. Disse utfordringene er bakgrunnen
for at det over flere år har vært gjennomført systematisk arbeid
for å styrke personvernet i sektoren, både organisatorisk, juridisk
og teknologisk. Teknologien gir i dag nye muligheter for personvern gjennom
blant annet kryptering av data og logging av innsyn. Det er utviklet
et strengt regelverk på dette området, og det gjennomføres stadig
nye innskjerpinger.
Jeg viser til at det i april 2008 ble vedtatt
en endring i helsepersonelloven og helseregisterloven som innebærer
et tydelig forbud mot urettmessig å tilegne seg taushetsbelagte
pasientopplysninger og andre helseopplysninger.
Jeg vil videre informere om at departementet
i 2008 etablerte et nasjonalt prosjekt som skal gjennomgå de sentrale
helse- og kvalitetsregistrene for å bidra til bedre utnyttelse,
bedre kvalitet og sikrere håndtering av data til forskning og helseovervåkning.
Prosjektet skal foreslå tiltak for å bedre utnyttelsen og tilgjengeligheten
til registrene og styrke personvernet til de registrerte.
Jeg mener at arbeidet med personvern i helsesektoren
må være en kontinuerlig prosess. Samtidig kan ikke et slikt kontinuerlig
arbeid være til hinder for at det opprettes nye viktige helseregistre
som vil ha stor betydning for kvaliteten på pasientbehandlingen
og for pasientvernet.
Helse- og omsorgskomiteen stiller følgende spørsmål
til forslaget under romertall VI i Dok 8:70 (2008–2009):
Hvordan arbeider Regjeringen
med spørsmålet om elektronisk kjernejournal? Er statsråden enig
i forslagsstillernes forslag om at opplysningene bør lagres pseudonymisert?
Hvis statsråden ikke deler denne oppfatningen, hvordan mener i så
fall statsråden at personvernet best kan ivaretas med data som ikke
er pseudonymisert?
Jeg mener det må være klart at helseregistre
som brukes til pasientbehandling, og hvor helseopplysninger må være
gjenfinnbare på bakgrunn av en persons identitet, ikke kan lagres
kryptert eller pseudonymisert. En forutsetning for at man kan gi
faglig og forsvarlig helsehjelp til en pasient forutsetter at man
vet hvem denne pasienten er. Dette var også bakgrunnen for at det
er inntatt i helseregisterloven § 8 at kravet til at direkte personidentifiserende
kjennetegn skal lagres kryptert i registrene ikke gjelder nasjonal database
for elektroniske resepter. Dette registeret skal brukes i det daglige,
og resepter må være gjenfinnbare på en persons identitet.
Helse- og omsorgskomiteen stiller følgende spørsmål
til forslaget under romertall VII i Dok 8:70 (2008–2009):
Hva slags opplærings- og
holdningsskapende tiltak mener statsråden at er viktig for at taushetsplikten
skal etterleves og personvernet styrkes? Hvordan ser statsråden
i den forbindelse på grenseoppgangene mellom taushetsplikt og meldeplikt?
Mener statsråden at helsepersonell har kunnskaper nok om disse grenseoppgangene,
og hvordan vil statsråden i så fall bidra til å avklare grenseoppgangene?
Jeg viser til at forslag til forskrift om informasjonssikkerhet
og tilgang til behandlingsrettede helseregistre var på høring i
perioden 20. oktober 2008 til 12. januar 2009, se også romertall
IV ovenfor.
Det er mitt inntrykk at behovet for opplæring
og kunnskap om regelverket rundt elektronisk behandling av helseopplysninger
er stort. For å presisere og synliggjøre plikten til og behovet
for kunnskap, opplæring og holdningsskapende arbeid i informasjonssikkerhet,
ble det i høringsforslaget foreslått en bestemmelse som setter krav
til opplæring, kunnskap og holdninger, herunder gis at det skal
gis nødvendig opplæring i reglene om taushetsplikt samt pasientens
rett til informasjon og rett til å motsette seg behandling av helseopplysninger.