Sammendrag

Det fremmes i dokumentet følgende forslag:

"Stortinget ber Regjeringen gjennomgå alle nyopprettede helseregistre og fremme forslag om at registeropplysninger skal lagres med kryptert identitet, at kryptering skal foretas av en utenforstående, uavhengig instans, og at samkjøring av registre skal skje ved hjelp av krypterte identiteter."

Som bakgrunn for forslaget framholder forslagsstillerne at det i dag stadig opprettes nye helseregistre, og de ser et vedvarende, økende press for å gjøre det enklere å samle, bruke og oppbevare personopplysninger knyttet til helse.

Det uttales at selv ved pseudonyme registre viser erfaring at enkelte er engstelige for å stå i et register med sensitive personopplysninger.

Etter forslagsstillernes mening er det avgjørende at helsevesenet har tillit i befolkningen, og de mener at engstelse og utrygghet kan oppstå når opplysninger som er gitt i fortrolighet til helsepersonell, blir videreformidlet til et sentralt register uten at pasienten har samtykket i det eller vet om det.

Forslagsstillerne mener at personvernet ikke kan ivaretas like godt i et personidentifiserbart register som i et pseudonymt register, og at pseudonyme registre er bedre alternativ som kan ivareta både samfunnets interesse i god tilgjengelighet og enkeltindividets interesse i godt personvern.

Det vises i dokumentet til at Norsk pasientregister (NPR) er et nytt register som vil inneholde en stor samling med sensitive opplysninger, og som planlegges som et register som skal følge pasienten fra fødsel til død og deretter oppbevares permanent. Etter forslagsstillernes mening er det sannsynligvis bare et spørsmål om tid før denne personinformasjonen vil komme på avveie. Det påpekes at dersom det velges en registerform hvor det er åpnet for tilgang til identifiserende opplysninger, vil det være enkelt å ta ut opplysningene til illegitime formål, mens skadevirkningen vil bli langt mindre alvorlig dersom opplysninger fra et pseudonymt helseregister skulle komme på avveie.

Det framholdes at med et personidentifiserbart NPR vil det bli enklere å sammenstille opplysninger og identifisere enkeltmennesker også i andre registre, idet et NPR med fødselsnummer kan framstå som et nøkkelregister for innhenting av annen identifiserbar informasjon.

Forslagsstillerne mener pseudonymisering er en personvernfremmende teknologi, og at etableringen av NPR er en mulighet for å benytte dette verktøyet uten at det i vesentlig grad går ut over formålet med NPR. Det framholdes at med et pseudonymt register er det sikret gjennom lovregulering (helseregisterloven) at det er forskjellige parter som må involveres før man kan gå tilbake til enkeltperson, i tillegg til tekniske hindringer.

Forslagsstillerne mener det er en grunnleggende plikt å håndtere personopplysninger på den minst inngripende måten når denne samtidig i stor grad tilfredsstiller formålet, og at et pseudonymt register er klart mindre inngripende enn et identifiserbart register.

Komiteens merknader

Komiteen, medlemmene fra Arbeiderpartiet, Jorodd Asphjell, Jan Bøhler, Sonja Mandt-Bartholsen, Gunn Olsen og Dag Ole Teigen, fra Fremskrittspartiet, Jan-Henrik Fredriksen, Vigdis Giltun og lederen Harald T. Nesvik, fra Høyre, Inge Lønning og Sonja Irene Sjøli, fra Sosialistisk Venstreparti, Inga Marte Thorkildsen, fra Kristelig Folkeparti, Laila Dåvøy, fra Senterpartiet, Rune J. Skjælaaen, og fra Venstre, Gunvald Ludvigsen, viser til forslagsstillernes vurdering av at personvernet ikke kan ivaretas like godt i et personidentifiserbart register som i et pseudonymt register, og at pseudonyme registre er bedre alternativ som kan ivareta både samfunnets interesse i god tilgjengelighet og enkeltindividets interesse i godt personvern.

Komiteens medlemmer fra Arbeiderpartiet, Sosialistisk Venstreparti og Senterpartiet påpeker at et personidentifiserbart register med ekstern kryptering ikke er det samme som et pseudonymt register. Personidentifiserbare registre gir bedre mulighet for kvalitetssikring av data enn pseudonyme registre vil gi. Personidentifiserbare registre ivaretar dermed forskningsformål bedre og er bedre egnet for å utvikle bedret kvalitet i pasientbehandlingen.

Personidentifiserbare registre med ekstern kryptering kan, under visse forutsetninger, ivareta forsk­ningsformål på samme måte som personidentifiserbare registre med intern kryptering, selv om en ekstra instans nødvendigvis innebærer en ekstra kilde til feil.

Disse medlemmer viser til at deler av bakgrunnen for at vi har ulike registerformer, er at man skal kunne velge den registerformen som til enhver tid medfører best mulig personvern for den registrerte, samtidig som formålet med registeret skal ivaretas. Disse medlemmer understreker derfor at ikke alle registre behøver å være personidentifiserbare, og alle registre vil heller ikke behøve å være pseudonyme, siden det for enkelte registre er tilstrekkelig at de er avidentifiserte for å ivareta registerets formål. Hvilken registerform som passer best for det enkelte register, må derfor avgjøres konkret, og det er ikke riktig å fastsette én registerform for alle helseregistre, verken i forhold til forskningshensyn eller i forhold til personvernhensyn.

Disse medlemmer er enig med forslagsstillerne i at det er avgjørende at helsevesenet har tillit i befolkningen. Disse medlemmer understreker derfor at man ikke kjenner til at opplysninger har kommet på avveie, verken fra noen av de norske personidentifiserbare helseregistrene eller fra noen i andre nordiske land. Det innføres både tekniske og organisatoriske hindre av høyeste kvalitet for å unngå misbruk, heriblant:

• – Fødselsnummer kobles ikke til pasientdata, verken i kommunikasjon eller i registeret

• – Fødselsnummer lagres ikke, verken i krypteringsløsning eller i selve registeret

• – Kryptert fødselsnummer utleveres ikke

• – Kryptering av all kommunikasjon

• – Autentisering av alle brukere og maskiner

• – Brannmur foran hver maskin i systemet

• – Utlevering krever egen hjemmel

• – Kun et fåtall spesielt autoriserte medarbeidere kan utløse dekryptering

• – Dekryptering og utlevering forutsetter involvering av kvalitetssikrer i alle trinn

• – Logging av alle prosesser

Dersom resultatet av en kobling skal fremkomme i personidentifiserbar form, kreves det egen konsesjon for dette fra Datatilsynet. Et personidentifiserbart register kan ikke utvides uten ny stortingsbehandling. Bruk av opplysninger i registeret utenfor registerets formål er ulovlig. Personidentifikasjonen lagres kryptert i alle våre personidentifiserbare helseregistre (med forbehold om Forsvarets helseregister).

Kryptert personidentifikasjon er imidlertid i seg selv ikke tilstrekkelig for å ivareta personvernet på en god måte. Det er derfor utviklet et omfattende lovverk, regler, forskrifter og rutiner for å sikre personvernet i databaser som inneholder både fødselsnummer og helseopplysninger. Kryptering bidrar til å styrke personvernet i databaser med mange opplysninger om hver enkelt pasient, men tilstrekkelig sikring av personvernet forutsetter at kryptering ikke brukes alene, men i kombinasjon med andre personvernfremmende tiltak. Disse medlemmer ser det dermed som lite hensiktsmessig at Regjeringen fremmer særskilt forslag om at registeropplysninger skal lagres med kryptert identitet.

Videre forstår disse medlemmer at det kan oppstå utrygghet når opplysninger som er gitt i fortrolighet til helsepersonell, blir videreformidlet til et sentralt register. Begrepet "personidentifiserbart register" kan være misvisende. Det er derfor viktig med informasjon om den lange rekken sikkerhetstiltak som iverksettes for å beskytte slike opplysninger. God informasjon er trolig vesentlig mer avgjørende for pasientenes trygghetsfølelse enn det mer tekniske spørsmålet om ekstern eller intern kryptering.

Disse medlemmer påpeker videre at dersom ekstern kryptering forutsetter at oppdraget jevnlig må konkurranseutsettes, kan det stilles spørsmål ved om dette vil fremme befolkningens tillit og legitimitet til personidentifiserbare registre.

Disse medlemmer foreslår på denne bakgrunn at forslaget ikke bifalles.

Komiteens flertall, medlemmene fra Fremskrittspartiet, Høyre, Kristelig Folkeparti og Venstre, viser til at helseopplysninger i sin natur er sensitive, og at hensynet til personvern derfor må tillegges stor vekt ved behandling av slike opplysninger. Flertallet viser til at samling av personlige helseopplysninger i helseregistre i seg selv innebærer en risiko for den enkeltes personvern og en kollektiv risiko for misbruk av opplysningene. Det vises til en undersøkelse om personvern utført av Transportøkonomisk institutt på oppdrag fra det daværende Moderniseringsdepartementet og Datatilsynet, som ble publisert 15. februar 2006. Det fremgår av undersøkelsen at 84 prosent av respondentene mener det er viktig å beskytte helseopplysninger, og at 88,4 prosent har samme oppfatning om beskyttelse av personnummer.

Flertallet viser videre til komiteens flertallmerknader i Innst. O. nr. 40 (2006-2007), jf. Ot.prp. nr. 49 (2005-2006).

Komiteens medlemmer fra Fremskrittspartiet, Høyre og Kristelig Folkeparti støtter forslagsstillernes intensjon om en bedre ivaretakelse av personvern i etablerte og fremtidige helseregistre. Et generelt krav om ekstern kryptering og samkjøring av helseregistre i form av kryptert identitet vil bidra til dette. Slik disse medlemmer ser det, kan det imidlertid være behov for å stille strengere krav til registerform i enkelte tilfeller. Det kan eksempelvis være nødvendig og hensiktsmessig at helseregistre etableres i avidentifiserbar form. På bakgrunn av dette mener disse medlemmer at de foreslåtte krav om kryptering må forstås som minimumskrav, og at det må foretas konkrete vurderinger av behovet for strengere krav til personvern.

Komiteens medlem fra Venstre er enig i at de foreslåtte krav om kryptering må forstås som minimumskrav.

Dette medlem mener at det er en grunnleggende plikt å håndtere personopplysninger på den minst inngripende måten når denne samtidig i stor grad tilfredsstiller formålet. Et pseudonymt register er klart mindre inngripende enn et identifiserbart register.

Dette medlem viser til at for eksempel NPR er et nytt register som skal følge befolkningen fra fødsel til grav. NPR vil inneholde en stor samling med sensitive opplysninger og planlegges som et register som skal følge pasienten fra fødsel til død og deretter oppbevares permanent. I fremtidens informasjonsteknologiske samfunn kan vi ikke utelukke at denne personinformasjonen vil kunne komme på avveie. Det er sannsynligvis bare et spørsmål om tid før noe slikt vil kunne skje. Konsekvensene av feil vil kunne bli alvorlige når den valgte registerform gjør det enklere å finne tilbake til enkeltpersonen bak opplysningene. Dersom det velges en registerform hvor det er åpnet for tilgang til identifiserende opplysninger, vil det også være enkelt å ta ut opplysningene til illegitime formål. Misbruksfaren øker drastisk. En pseudonym løsning er et betydelig hinder mot dette. Skadevirkningen vil bli langt mindre alvorlig dersom opplysninger fra et pseudonymt helseregister skulle komme på avveie. Da vil ikke uvedkommende kunne vite hvem opplysningene gjelder, bare at de gjelder ugjenkjennelige individer med kryptert identitet (bestående av et utall tegn eller symboler). Lekkasjefaren og farer som hacking og annen uautorisert tilgang gir, skaper derfor langt mindre problemer for pasientene.

Dette medlem understreker at det opprettes stadig nye helseregistre. Siden ingen kan spå noe om fremtiden, vil det etter dette medlems mening være av største betydning at alle nye helseregistre blir opprettet på en slik måte at folk kan føle seg trygge for at personopplysninger ikke kommer på avveie eller brukt til formål som man i dag ikke kan forutse rekkevidden av.

Komiteens flertall, medlemmene fra Fremskrittspartiet, Høyre, Kristelig Folkeparti og Venstre, fremmer følgende forslag:

"Stortinget ber Regjeringen ved opprettelse av nye, ikke-samtykkebaserte helseregistre legge til grunn at registeropplysninger skal lagres med kryptert identitet, at kryptering skal foretas av en utenforstående, uavhengig instans, og at samkjøring av registre skal skje ved hjelp av krypterte identiteter."

Forslag fra mindretall

Forslag fra Arbeiderpartiet, Sosialistisk Venstreparti og Senterpartiet:

Dokument nr. 8:14 (2006-2007) - representantforslag fra stortingsrepresentantene Lars Sponheim, Odd Einar Dørum og Gunvald Ludvigsen om helseregistre og personvern - bifalles ikke.

Komiteens tilråding

Komiteens tilråding fremmes av Fremskrittspartiet, Høyre, Kristelig Folkeparti og Venstre.

Komiteen viser til dokumentet og merknadene og rår Stortinget til å gjøre følgende

vedtak:

Stortinget ber Regjeringen ved opprettelse av nye, ikke-samtykkebaserte helseregistre legge til grunn at registeropplysninger skal lagres med kryptert identitet, at kryptering skal foretas av en utenforstående, uavhengig instans, og at samkjøring av registre skal skje ved hjelp av krypterte identiteter.