1. februar 2007 fattet Odelstinget beslutning
om endringer i helseregisterloven, som medførte et lovkrav om at
de sentrale helseregistrene skulle krypteres, jf. Besl. O. nr. 52
(2006–2007).
Bakgrunnen var behandlingen av Ot.prp. nr. 49 (2005–2006)
Om lov om endringer i helseregisterloven (Norsk pasientregister).
I proposisjonen ble det fremmet forslag om å gjøre Norsk pasientregister
til et personidentifiserbart register og utvide registeret slik
at det kan benyttes til medisinsk og helsefaglig forskning, og som
datagrunnlag for sykdoms- og kvalitetsregistre. Forslaget innebar
at registeret skulle inneholde personnummer fra alle pasienter i
norske sykehus, og at det ikke skulle baseres på samtykke fra den
enkelte pasient. I proposisjonen ble det vist til at personidentifikasjon
ville bli kryptert og at sikkerhetsrutiner omkring registeret ville
bli ivaretatt. Proposisjonen inneholdt ikke forslag om at kravet
om kryptering skulle tas inn i helseregisterloven.
Kravet om kryptering ble sentralt i helse- og
omsorgskomiteens behandling av saken, jf. Innst. O. nr. 40 (2006–2007).
Komiteens medlemmer fra Fremskrittspartiet, Høyre, Kristelig Folkeparti
og Venstre (som utgjorde flertallet i komiteen, men ikke i Odelstinget)
fremmet forslag om et nytt krav i helseregisterloven om ekstern
kryptering av personidentifiserbare opplysninger. Ekstern kryptering
innebærer at en ekstern instans skal foreta krypteringen; dvs. at
krypteringen håndteres av en annen instans enn selve registeret.
Komiteens medlemmer fra Arbeiderpartiet, Sosialistisk Venstreparti
og Senterpartiet fremmet forslag om lovkrav i helseregisterloven
om intern kryptering. Innstillingen inneholdt ingen nærmere vurdering
av hva et krav om intern kryptering innebærer eller hvordan det
kan utformes. Det var dette forslaget om intern kryptering som ble
vedtatt, jf. Besl. O. nr. 52 (2006–2007). Nytt § 8 tredje ledd ble
etter dette som følger:
«I følgende registre kan navn, fødselsnummer og andre
direkte personidentifiserende kjennetegn behandles uten samtykke
fra den registrerte i den utstrekning det er nødvendig for å nå
formålet med registeret, og direkte personidentifiserende kjennetegn
skal lagres kryptert i registeret.»
Vedtaket innebar at i de i alt åtte helseregistrene som
var listet opp i helseregisterloven, ble omfattet av kravet om intern
kryptering. Loven trådte i kraft straks. De åtte registrene er:
Dødsårsaksregisteret
Kreftregisteret
Medisinsk fødselsregister
Meldingssystem for smittsomme sykdommer
Det sentrale tuberkuloseregisteret
System for vaksinasjonskontroll (SYSVAK)
Forsvarets helseregister
Norsk pasientregister.
På bakgrunn av opplysninger om at kravet om intern
kryptering av helseregistrene ikke var fulgt opp, besluttet komiteen
å henvende seg med spørsmål om dette til helse- og omsorgsministeren.
I komiteens brev av 3. mars 2010 til helse- og omsorgsministeren
ble det vist til Odelstingets vedtak om endringer i helseregisterloven
av 1. februar 2007. Komiteen ba om statsrådens kommentar til følgende:
«Stortingets kontroll- og konstitusjonskomité ser
svært alvorlig på det faktum at en rekke helseregistre fortsatt
ikke er kryptert, tre år etter at lovkravet om intern kryptering
av personidentifiserbare kjennetegn ble vedtatt. Det må ikke herske
tvil om at lovvedtak fattet av Stortinget skal følges av Regjeringen
og dens underliggende etater. Komiteen påpeker også at personvernet
må sikres for å ivareta tilliten til helsetjenesten og helseforskningen.
Det
bes om begrunnelse for at Regjeringen ved Helse- og omsorgsdepartementet
ikke har sørget for at de nevnte helseregistrene er kryptert, slik loven
krever. Det bes videre om en orientering om hvilke tiltak Helse-
og omsorgsdepartementet iverksatte for å sikre at lovens krav om kryptering
av helseregistre ble oppfylt, etter at loven trådte i kraft. Videre
ønsker komiteen en redegjørelse for hvilke tiltak som ble iverksatt
da Helse- og omsorgsdepartementet ble gjort kjent med Folkehelseinstituttets
lovstridige praksis.
Det bes videre om en redegjørelse
for hvorvidt Stortinget er orientert om at helseregistrene ikke var
kryptert slik loven krever, og eventuelt hvorfor Regjeringen ikke
har funnet det nødvendig å informere Stortinget om dette.»
I helse- og omsorgsministerens svarbrev ble
det redegjort for at det har vært arbeidet med å finne løsninger
for intern kryptering av direkte personidentifiserende kjennetegn
i sentrale helseregistre helt siden lovvedtaket ble fattet. Det
kom frem at departementet i samarbeid med de berørte registrene
hadde igangsatt en prosess for å avklare hva som ligger i kravet
om intern kryptering, og videre at denne prosessen hadde vist seg
å være vanskeligere og mer omfattende enn det som ble lagt til grunn
da lovendringen ble vedtatt. Av brevet fremgår det videre følgende:
«I løpet av 2007 ble arbeidet med å utforme forskriftstekst
for Norsk pasientregister gitt høy prioritet i departementet, og
herunder hvordan kravet til intern kryptering skulle utformes i
forskrift og merknad. Norsk pasientregisterforskriften ble vedtatt
7. desember 2007, men trådte først i kraft 15. april 2009, da krypteringsløsningen
var ferdig utviklet.»
Og videre at:
«I 2008 ble det fra Helse- og omsorgsdepartementets
side tatt uformell kontakt med Datatilsynet for å undersøke om tilsynet
kunne bidra i forståelsen av kravet om intern kryptering av direkte
personidentifiserende kjennetegn i helseregistrene. Departementet
ønsket å drøfte mulige løsninger i de ulike registrene ut fra deres formål,
samt behovet for å lage felles retningslinjer for registrene. Datatilsynet
ble orientert om at departementet ville komme tilbake til saken
når prosessen med helseregistrene var gjennomført.»
Helse- og omsorgsministeren skriver også:
«Kravet om intern kryptering var ikke en del av det
forslag som regjeringen fremmet i Ot.prp. nr. 49 (2006–2007). Regjeringens
forslag ville ha åpnet for etablering av NPR som et personidentifiserbart
register, men ville ikke medført større konsekvenser for de eksisterende
helseregistrene med hjemmel i helseregisterloven § 8 tredje ledd.
Stortingets vedtak om å lovfeste et krav om intern kryptering avvek
i så måte fra regjeringens forslag. Det ble likevel vedtatt at lovendringen
skulle tre i kraft straks. I ettertid ser jeg at man skulle ha vurdert
utsatt ikraftsetting av hele, eller deler av lovvedtaket, men da
måtte saken ha vært forelagt Stortinget på nytt.»
Svarbrevet ble behandlet i komiteens møte 23. mars
2010. Komiteen besluttet da å fortsette sine undersøkelser og igangsette
forberedelser til egen sak til Stortinget.
Som et ledd i behandlingen av saken besluttet komiteen
å holde en åpen kontrollhøring. Høringen ble avholdt 19. mai 2010.
Følgende ble invitert og møtte til høring:
Helse- og omsorgsminister
Anne-Grete Strøm-Erichsen
Tidligere helse- og omsorgsminister Bjarne Håkon
Hanssen
Forsvarsminister Grete Faremo
Tidligere forsvarsminister Anne-Grete Strøm-Erichsen
Forsker ved Norsk senter for menneskerettigheter,
Njål Høstmælingen
Konstituert direktør i Datatilsynet, Ove
Skåra.
De problemstillingene komiteen ønsket å få belyst
under høringen, var:
1. Hvilke tiltak ble
iverksatt fra Helse- og omsorgsdepartementets side for å sikre etterlevelse av
stortingsvedtaket om intern kryptering av helseregistrene?
2. Hvordan sørget helse- og omsorgsministeren for
å informere Stortinget om problemene med å gjennomføre intern kryptering
av helseregistrene og manglende iverksettelse av lovvedtaket?
3. Hvilke tiltak ble iverksatt fra forsvarsministerens
side for å oppfylle Stortingets krav om intern kryptering av Forsvarets
helseregister?
4. Hvordan sørget forsvarsministeren for
å informere Stortinget om problemene med å gjennomføre intern kryptering
av Forsvarets helseregister og manglende iverksettelse av lovvedtaket?
5. Hvordan vurderte regjeringen ivaretakelsen
av personvernet i helseregistrene i forholdet til menneskerettslovens
krav til vern av privatliv? Det vises særlig til dom avsagt av Europarådets menneskerettighetsdomstol
4. desember 2008 i saken Marper mot Storbritannia, samt den islandske
Høyesteretts dom av 27. november 2003 der et lovvedtak om helseregister
ble satt til side fordi det ble ansett å være i strid med den konstitusjonelle
retten til vern av privatliv.
6. Hvordan vurderer Datatilsynet mulighetene for
å ivareta kravet om intern kryptering, og de tiltak Helse- og omsorgsdepartementet
har iverksatt for å ivareta dette kravet?
Høringen ble delt i tre deler. Tema for den
første delen var Helse- og omsorgsdepartementets oppfølging av Stortingets
vedtak om kryptering av helseregistre. Den andre delen omhandlet
Forsvarsdepartementets oppfølging av Stortingets vedtak om kryptering
av Forsvarets helseregister. Tema for den siste delen var ivaretakelse
av personvernet i helseregistre.
Det ble tatt stenografisk referat fra høringen. Referatet
fra høringen følger som vedlegg til denne innstillingen.