Komiteen, medlemmene fra Arbeiderpartiet, Jorodd
Asphjell, Jan Bøhler, Sonja Mandt-Bartholsen, Gunn Olsen
og Dag Ole Teigen, fra Fremskrittspartiet, Jan-Henrik Fredriksen, Vigdis
Giltun og lederen Harald T. Nesvik, fra Høyre, Inge Lønning
og Sonja Irene Sjøli, fra Sosialistisk Venstreparti, Inga
Marte Thorkildsen, fra Kristelig Folkeparti, Laila Dåvøy,
fra Senterpartiet, Rune J. Skjælaaen, og fra Venstre, Gunvald
Ludvigsen, viser til at Norsk pasientregister (NPR) ble
etablert i 1997 som et avidentifisert register med konsesjon fra
Datatilsynet. Formålet med registeret har vært
administrasjon, styring og finansiering av spesialisthelsetjenesten.
Komiteen støtter departementets forslag
om å utvide formålet for NPR til også å omfatte
forskning. Bruk av NPR som datagrunnlag vil etter komiteens vurdering
bidra til et bedre kunnskapsgrunnlag om utvikling i helsetilstanden
og årsaker til sykdom. Videre legger komiteen til
grunn at bruk av NPR til forskningsformål kan bidra til økt
kunnskap om behandlingsformer, diagnostikk og forebygging. En utvidelse
av formålet med NPR til også å omfatte forskning
vil, slik komiteen ser det, bidra til bedre helsetjenester
til befolkningen.
Det fremgår av proposisjonen at et medisinsk kvalitetsregister
skal bidra til å dokumentere effekten av behandlingsformer
og behandlingsprosedyrer. Komiteen deler departementets
vurdering om at det er hensiktsmessig å utvide formålet
for NPR til å omfatte kvalitetsregistre, som kan bidra
til kvalitativt bedre og mer virkningsfull behandling for pasientene.
Videre støtter komiteen forslaget om å benytte NPR
som grunnlag for etablering av sykdomsregistre, som vil gi økt
kunnskap om en rekke folkesykdommer.
Komiteen påpeker at dagens
avidentifiserte system ikke gjør det mulig å følge
pasienter gjennom behandlingsforløpet. Komiteen deler
departementets vurdering om at det er hensiktsmessig å få bedre
kunnskap om behandlingsforløpene som grunnlag for styring,
administrasjon, finansiering, forskning og kvalitetsutvikling i
spesialisthelsetjenesten. Slik komiteen ser det,
er det også viktig at organisatoriske og økonomiske
virkemidler i spesialisthelsetjenesten videreutvikles med tanke
på å stimulere mer helhetlige behandlingsforløp.
En endring i NPRs registerform vil etter komiteens vurdering også kunne
bidra til dette.
Komiteens flertall, medlemmene fra Fremskrittspartiet,
Høyre, Kristelig Folkeparti og Venstre, viser til
at helseopplysninger i sin natur er sensitive, og at det derfor
er strenge regler om taushetsplikt for helsepersonell og andre som
får tilgang til slike opplysninger. Det vises til en undersøkelse
om personvern utført av Transportøkonomisk institutt
på oppdrag fra det daværende Moderniseringsdepartementet
og Datatilsynet, som ble publisert 15. februar 2006. Det
fremgår av undersøkelsen at 84 prosent av respondentene
mener det er viktig å beskytte helseopplysninger, og at
88,4 prosent har samme oppfatning om beskyttelse av personnummer. Flertallet viser
videre til at både pasientombudskollegiet og Datatilsynet
i sine høringsuttalelser påpeker at en utvidet
adgang til sensitive helseopplysninger kan innebære at
pasientenes tillit til helsetjenesten svekkes, og at enkelte derfor
kan holde tilbake informasjon som er nødvendig for behandlingen
av vedkommende. I nevnte undersøkelse fremgår
det at 42,4 prosent er helt eller delvis uenige i at det er trygt å gi
fra seg personvernopplysninger. Hele 57 prosent mener at helsepersonell
ikke fritt bør kunne utveksle informasjon om pasientenes
helse. Slik flertallet ser det, viser undersøkelsen
at en betydelig del av befolkningen har klare motforestillinger
mot spredning av helseopplysninger.
Flertallet legger til grunn at departementets forslag
om et personidentifiserbart register uten samtykke innebærer
at store mengder sensitiv informasjon samles på ett sted,
uten at pasienter har anledning til å reservere seg mot
denne registreringen. Slik flertallet ser det, innebærer
departementets forslag til registerform en betydelig svekkelse av
personvernet for enkeltpasienter og samtidig en kollektiv risiko
for misbruk av svært sensitiv informasjon. Flertallet mener
at det faktum at flere personer vil få tilgang til sensitive
helseopplysninger, i seg selv innebærer en dårligere
ivaretakelse av pasientens behov for diskresjon, uavhengig av regler
om taushetsplikt. Dette er særlig problematisk sett i lys
av at pasientene ikke gis anledning til å reservere seg
mot registrering. Uavhengig av hvilke sikkerhetsløsninger som
velges, vil det etter flertallets vurdering alltid
foreligge en viss risiko for misbruk av personidentifiserbare
opplysninger. Selv om de samfunnsmessige fordelene ved et personentydig
register er åpenbare, mener flertallet med
andre ord at de personvernmessige ulempene er betydelige. Flertallet viser
til at sosialkomiteen i behandlingen av helseregisterloven la stor
vekt på personvernhensyn. I Innst. O. nr. 62 (2000-2001)
heter det:
"Det må derfor etter komiteens syn være
et mål å finne registerløsninger som
i rimelig grad tilgodeser hensynet til folkehelsen uten å krenke
personvernet. Helseregistre med avidentifiserte eller pseudonymiserte
helseopplysninger kan ivareta disse hensyn og bør etter
komiteens syn benyttes der det er hensiktsmessig."
På bakgrunn av de betydelige personvernmessige ulempene
et personidentifiserbart register innebærer, mener flertallet at
det er avgjørende at pasientenes identitet krypteres, slik
at pasientenes identitet ikke fremgår av registeret. En
kryptering av pasientenes identitet vil innebære at registeret
blir personentydig slik at det er mulig å følge
pasientforløp, uten at den som benytter dataene får
kjennskap til pasientens identitet. Videre mener flertallet at
krypteringen ikke bør skje i selve registeret, men ved
en ekstern krypteringsinstans. Dette vil innebære at ingen
instanser både har tilgang til kryptert identitet og pasientens
identitet, og dette vil således gi et bedre personvern
for pasientene enn et system med intern kryptering. Flertallet viser
til at både Datatilsynet, Kompetansesenteret for IT i helsesektoren (KITH),
Den norske lægeforening, Nasjonalt senter for telemedisin,
Landsforeningen for Hjerte- og Lungesyke og Funksjonshemmedes Fellesorganisasjon tar
til orde for en ekstern kryptering av personvernhensyn. Flertallet påpeker
videre at en ekstern kryptering vil være i samsvar med
Innst. O. nr. 62 (2000-2001) til helseregisterloven, der sosialkomiteen
forutsatte at mottaker ikke må kunne dekryptere opplysninger.
Slik flertallet ser det, bør også samkjøring
av registre skje ved kryptert identitet.
Gjennom krav til ekstern kryptering mener flertallet at
hensynet til forskning, kvalitetssikring, styring, administrasjon
og finansiering blir tilstrekkelig ivaretatt uten å krenke
personvernet. En slik registerform vil gjøre det mulig
for forskere å følge pasientforløp og
enkeltpasienter, uten å få kjenneskap til pasientenes
identitet. Dersom det er påkrevd å finne tilbake
til pasientens identitet, legger flertallet til grunn
at dette kan gjøres via krypteringsinstansen til behandlingsenheten
og til pasienten. Flertallet anser det som naturlig
at det er behandlingsinstansen som formidler kontakt med pasienten,
dersom det er behov for dette. En slik ordning vil trolig medføre noe
merarbeid for forskere og andre, men flertallet mener
dette klart oppveies av et sterkere personvern for pasientene.
Flertallet mener at krav om at pasientenes identitet
skal krypteres av en utenforstående, uavhengig instans
må fremgå av selve lovteksten i helseregisterloven.
Videre må lovbestemmelsen, slik flertallet ser
det, presisere at opplysninger i NPR ikke skal gjøres tilgjengelige
i personidentifiserbar form for andre enn pasienten eller behandlingsinstansen. Loven
må også stille krav om at samkjøring
av registre skal skje i kryptert form. Flertallet mener
videre at det må oppstilles vilkår for at krypteringsinstansen
skal kunne gå tilbake til pasienten via behandlingsinstansen.
På bakgrunn av dette fremmer flertallet følgende
forslag:
"I lov 18. mai 2001 nr. 24 om helseregistre og behandling
av helseopplysninger (helseregisterloven) gjøres følgende
endringer:
§ 8 tredje ledd nytt nr. 8 skal lyde:
8. Norsk pasientregister
§ 8 nytt fjerde ledd skal lyde:
Opplysningene i Norsk pasientregister skal krypteres av en utenforstående,
uavhengig instans. Opplysningene skal ikke gjøres tilgjengelige
i personidentifiserbar form for andre enn den registrerte
eller den institusjon som har meldt opplysningene. Sammenstilling
av opplysninger i Norsk pasientregister med andre registre skal
skje i kryptert form. Bruk av Norsk pasientregister for å identifisere
den registrerte skal kunne skje der dette er nødvendig
for å ivareta registerets formål, og eventuell
kontakt med den registrerte skal skje via den uavhengige krypteringsinstansen
og den institusjon som har meldt opplysningene.
Nåværende fjerde til sjette ledd bli femte
til sjuende ledd."
I tillegg til de foreslåtte juridiske skrankene for
et kryptert, personidentifiserbart NPR ser flertallet det
som viktig at det arbeides kontinuerlig med utvikling av sikkerhetsløsninger
både i forhold til informasjonsteknologi, organisatoriske
tiltak og holdningsskapende arbeid på operativt nivå.
Komiteens medlemmer fra Arbeiderpartiet, Sosialistisk
Venstreparti og Senterpartiet er opptatt av at helsetjenesten
skal forebygge, diagnostisere og behandle sykdom. Videre skal helsetjenesten
og helseforvaltningen legge forholdene til rette for helsebringende
atferd i befolkningen. For å løse disse oppgavene
er det viktig å få bedre kunnskap om utviklingen
i befolkningens helsetilstand og forhold som påvirker denne, årsaker
til sykdom, og hvordan vi skal leve for å oppnå best
mulig helse. Fremdeles er årsakene til en rekke sykdommer
ukjent, og i mange tilfeller der vi kjenner årsaken, finnes
det ikke god diagnostikk, behandling eller forebygging.
Disse medlemmer har merket seg at formål og
registerform for Norsk pasientregister må ses i nær
sammenheng, fordi det er ulikt i hvilken grad registerformene kan
ivareta de aktuelle formålene. Helseregisterloven oppstiller
fire ulike registerformer; personidentifiserbart
med samtykke, personidentifiserbart uten samtykke, avidentifiserte
og pseudonyme registre. Et samtykkebasert register vil kun ha opplysninger
om pasienter som samtykker. Et samtykkebasert Norsk pasientregister
vil derfor ikke gi en fullstendig oversikt over aktiviteten i spesialisthelsetjenesten,
og ikke gi fullstendige data for å ivareta forskningsformål,
og heller ikke kunne fungere som grunnlag for innsatsstyrt finansiering. Disse medlemmer mener
at å etablere Norsk pasientregister som et samtykkebasert
register derfor ikke er aktuelt.
Disse medlemmer er opptatt av at dersom Norsk
pasientregister skal kunne ivareta behovene for administrasjon,
styring og finansiering av spesialisthelsetjenesten bedre og samtidig
bidra til bedre kvalitet på behandlingen, må registeret
være komplett, og det må være mulig å følge
den enkelte pasient gjennom behandlingsforløpet. Det betyr,
slik disse medlemmer ser det, at registeret enten
må etableres som et pseudonymt eller et personidentifiserbart
register. De to registerformene kan imidlertid i ulik grad ivareta
de aktuelle formålene.
Disse medlemmer mener at god kvalitet på behandlingen
er svært viktig for at befolkningen skal ha tillit til
helsetjenesten. Videre må befolkningen være trygg
på at helseopplysninger, både i helsetjenesten
og i helseregistre, håndteres på en måte
som sikrer at opplysningene ikke kommer på avveie. Disse
medlemmer mener det er denne avveiningen mellom befolkningens
tillit til at de får helsetjenester av god kvalitet, og
at helseopplysninger behandles på en betryggende måte,
som er avgjørende for valg av formål og registerform
for Norsk pasientregister.
Disse medlemmer er enige i at både et
pseudonymt og et personidentifiserbart Norsk pasientregister kan
ivareta styringsformål, men mener at et personidentifiserbart
register vil gi bedre datakvalitet og derfor være bedre
egnet som grunnlag for å forbedre kvaliteten i behandlingstilbudet.
Et personidentifiserbart register vil også på en
bedre måte kunne ivareta forskningsformål enn
et pseudonymt register. Dette gjelder spesielt klinisk forskning
og epidemiologisk forskning. Et pseudonymt register innebærer strengere
restriksjoner på kopling og kvalitetssikring enn et personidentifiserbart
register. Det er ulovlig å levere ut opplysninger fra et
pseudonymt register til tredjepart (som regel forskere) i personidentifiserbar form. Disse
medlemmer mener at et pseudonymt Norsk pasientregister derfor
ikke vil kunne benyttes til en del typer forskning.
Videre mener disse medlemmer at et pseudonymt
register heller ikke vil kunne benyttes som datagrunnlag for sykdoms-
og kvalitetsregistre. Disse medlemmer mener derfor
at det er av avgjørende betydning for klinisk forskning
og for Norsk pasientregister som datagrunnlag for sykdoms- og kvalitetsregistre
at registeret etableres som et personidentifiserbart og ikke et
pseudonymt register. Disse medlemmer vil fremheve
at et pseudonymt register ikke kan benyttes til å skape
kontakt mellom de registrerte og tredjepersoner (for eksempel forskere)
da det er ulovlig å utlevere personidentifiserbare opplysninger
fra et pseudonymt register. Disse medlemmer mener
videre at sykehusene ikke kan benyttes til å kontakte de
registrerte i slike tilfeller, slik noen mener, da dette ikke vil
være praktisk mulig å gjennomføre.
Disse medlemmer mener at pasientenes interesser
blir best ivaretatt gjennom å etablere Norsk pasientregister
som et personidentifiserbart register. Et personidentifiserbart
register vil gi bedre muligheter for kvalitetssikring av data og
vil derfor være bedre egnet som grunnlag for å utvikle
kvaliteten i behandlingstilbudet og bidra til bedre kunnskap om årsaker
til sykdommer og hvordan disse kan forebygges og behandles, enn
et pseudonymt register. Disse medlemmer vil vise
til at dette også er bakgrunnen for at de fleste pasientorganisasjonene støtter
forslaget om å etablere Norsk pasientregister som et personidentifiserbart
register.
Disse medlemmer viser til at våre nordiske naboland
har mange års erfaring med at forskning med utgangspunkt
i personidentifiserbare nasjonale pasientregistre gir viktige resultater.
Siden vi i Norge ikke har et personidentifiserbart pasientregister, mangler
vi forskningsmuligheter som våre nordiske naboland har.
Et viktig unntak er forskning på kreftsykdommer. Det skyldes
at vi gjennom Kreftregisteret har tilgang på personidentifiserbare
opplysninger om krefttilfeller, behandling og utfall av kreft. Disse
medlemmer mener at også andre diagnoser og sykdomsgrupper
bør ha de samme mulighetene til forskning og til å fremskaffe
ny kunnskap som vi har når det gjelder kreftsykdommer.
Opplysningene som registreres i Norsk pasientregister, er sensitive
opplysninger om helseforhold og er som regel gitt til helsepersonell
i forbindelse med behandling, diagnostikk eller annen helsehjelp.
Slike opplysninger er underlagt taushetsplikt. Disse medlemmer vil
understreke betydningen av at opplysninger som gis til helsetjenesten,
ikke kommer på avveie, og at befolkningen har tillit til
at opplysningene blir behandlet på en betryggende måte. Disse
medlemmer mener det er viktig at behandlingen av opplysningene
i Norsk pasientregister skal underlegges strenge regler, og det
skal etableres gode tekniske og fysiske løsninger som sikrer
at ikke opplysninger kommer på avveie. Gjennom å etablere strenge
rutiner og systemer i selve registeret, for eksempel ved kryptering
av personidentifikasjon i registeret, krav om særskilt
tilgang, logging mv., vil man kunne sikre personvernet på en
god måte i et personidentifiserbart Norsk pasientregister.
Disse medlemmer mener at det er avgjørende
at helsevesenet har tillit i befolkningen, og vil derfor understreke
at man ikke kjenner til at opplysninger har kommet på avveie,
verken fra noen av de norske personidentifiserbare helseregistrene
eller fra noen av de nordiske. Det forutsettes innført
både tekniske og organisatoriske hindre av høyeste
kvalitet for å unngå misbruk, heriblant:
Fødselsnummer skal ikke kobles
til pasientdata, verken i kommunikasjon eller i registeret
Fødselsnummer skal ikke lagres, verken i krypteringsløsning
eller i selve registeret
All kommunikasjon skal krypteres
Alle brukere og maskiner skal autentiseres
Brannmur skal etableres foran hver maskin i systemet
All utlevering krever egen hjemmel
Kun et fåtall spesielt autoriserte medarbeidere kan
utløse dekryptering
Dekryptering og utlevering forutsetter involvering av kvalitetssikrer
i alle trinn
Alle prosesser skal logges
Disse medlemmer forstår at det kan oppstå utrygghet
når opplysninger som er gitt i fortrolighet til helsepersonell,
blir videreformidlet til et sentralt register. Begrepet "personidentifiserbart
register" kan være misvisende. Det er derfor viktig med
informasjon om den lange rekken sikkerhetstiltak som iverksettes
for å beskytte slik informasjon. God informasjon er trolig
vesentlig mer avgjørende for pasientenes trygghetsfølelse
enn det mer tekniske spørsmålet om ekstern eller
intern kryptering.
Disse medlemmer påpeker videre at dersom ekstern
kryptering forutsetter at oppdraget jevnlig må konkurranseutsettes,
kan det stilles spørsmål ved om dette vil fremme
befolkningens tillit og legitimitet til personidentifiserbare registre.
Disse medlemmer mener det er problematisk at begrepene
kryptering og krypterte registre brukes om hverandre med begrepet
pseudonyme registre.
I alle de personidentifiserbare helseregistrene som er hjemlet
i helseregisterloven § 8 tredje ledd, er, etter
det disse medlemmer kjenner til, personidentifikasjonen
lagret kryptert i registeret (med forbehold om Forsvarets helseregister).
Krypteringen er foretatt internt. Det vil si at personidentifikasjonen kan
dekrypteres ved hjelp av en nøkkel som finnes internt i
registeret. Dekrypterte opplysninger kan bare behandles av spesielt
autoriserte personer og bare når dette er strengt nødvendig.
Disse medlemmer vil videre understreke at et personidentifiserbart
register med ekstern kryptering ikke er det samme som et pseudonymt
register. Disse medlemmer vil ikke etablere en ny
registerform slik komiteens medlemmer fra Fremskrittspartiet, Høyre,
Kristelig Folkeparti og Venstre ser ut til å gjøre.
Disse medlemmer mener at kryptert personidentifikasjon
imidlertid i seg selv ikke er tilstrekkelig for å ivareta
personvernet på en god måte. Det er derfor utviklet
et omfattende lovverk, regler, forskrifter og rutiner for å sikre
personvernet i databaser som inneholder både fødselsnummer
og helseopplysninger. Kryptering bidrar til å styrke personvernet
i databaser med mange opplysninger om hver enkelt pasient, men tilstrekkelig
sikring av personvernet forutsetter at kryptering ikke brukes alene,
men i kombinasjon med andre personvernfremmende tiltak.
For å styrke befolkningens tillit til at personvernet
blir ivaretatt på en så god måte som
mulig, mener disse medlemmer at forskriften til Norsk
pasientregister bør inneholde bestemmelser om forsterket tilsyn
fra Datatilsynets side med Norsk pasientregister.
Disse medlemmer mener at lovteksten bør gjenspeile
det faktum at våre personidentifiserbare registre er internt
krypterte, og foreslår derfor en alternativ lovformulering
til proposisjonens forslag. Disse medlemmer fremmer
følgende forslag:
"I lov 18. mai 2001 nr. 24 om helseregistre og behandling
av helseopplysninger (helseregisterloven) gjøres følgende
endringer:
§ 8 tredje ledd fram til og med kolon skal
lyde:
I følgende registre kan navn, fødselsnummer
og andre direkte personidentifiserende kjennetegn behandles uten
samtykke fra den registrerte i den utstrekning det er nødvendig
for å nå formålet med registeret, og
direkte personidentifiserende kjennetegn skal lagres kryptert i
registeret:
§ 8 tredje ledd nytt nr. 8 skal lyde:
Komiteens medlem fra Venstre viser til
Dokument nr. 8:14 (2006-2007) hvor representantene Lars Sponheim,
Odd Einar Dørum og Gunvald Ludvigsen har fremmet følgende
forslag:
"Stortinget ber Regjeringen gjennomgå alle nyopprettede
helseregistre og fremme forslag om at registeropplysninger skal
lagres med kryptert identitet, at kryptering skal foretas av en
utenforstående, uavhengig instans, og at samkjøring
av registre skal skje ved hjelp av krypterte identiteter."