Det fremmes i dokumentet følgende forslag:
"Stortinget ber Regjeringen gjennomgå alle nyopprettede helseregistre og fremme forslag om at registeropplysninger skal lagres med kryptert identitet, at kryptering skal foretas av en utenforstående, uavhengig instans, og at samkjøring av registre skal skje ved hjelp av krypterte identiteter."
Som bakgrunn for forslaget framholder forslagsstillerne at det i dag stadig opprettes nye helseregistre, og de ser et vedvarende, økende press for å gjøre det enklere å samle, bruke og oppbevare personopplysninger knyttet til helse.
Det uttales at selv ved pseudonyme registre viser erfaring at enkelte er engstelige for å stå i et register med sensitive personopplysninger.
Etter forslagsstillernes mening er det avgjørende at helsevesenet har tillit i befolkningen, og de mener at engstelse og utrygghet kan oppstå når opplysninger som er gitt i fortrolighet til helsepersonell, blir videreformidlet til et sentralt register uten at pasienten har samtykket i det eller vet om det.
Forslagsstillerne mener at personvernet ikke kan ivaretas like godt i et personidentifiserbart register som i et pseudonymt register, og at pseudonyme registre er bedre alternativ som kan ivareta både samfunnets interesse i god tilgjengelighet og enkeltindividets interesse i godt personvern.
Det vises i dokumentet til at Norsk pasientregister (NPR) er et nytt register som vil inneholde en stor samling med sensitive opplysninger, og som planlegges som et register som skal følge pasienten fra fødsel til død og deretter oppbevares permanent. Etter forslagsstillernes mening er det sannsynligvis bare et spørsmål om tid før denne personinformasjonen vil komme på avveie. Det påpekes at dersom det velges en registerform hvor det er åpnet for tilgang til identifiserende opplysninger, vil det være enkelt å ta ut opplysningene til illegitime formål, mens skadevirkningen vil bli langt mindre alvorlig dersom opplysninger fra et pseudonymt helseregister skulle komme på avveie.
Det framholdes at med et personidentifiserbart NPR vil det bli enklere å sammenstille opplysninger og identifisere enkeltmennesker også i andre registre, idet et NPR med fødselsnummer kan framstå som et nøkkelregister for innhenting av annen identifiserbar informasjon.
Forslagsstillerne mener pseudonymisering er en personvernfremmende teknologi, og at etableringen av NPR er en mulighet for å benytte dette verktøyet uten at det i vesentlig grad går ut over formålet med NPR. Det framholdes at med et pseudonymt register er det sikret gjennom lovregulering (helseregisterloven) at det er forskjellige parter som må involveres før man kan gå tilbake til enkeltperson, i tillegg til tekniske hindringer.
Forslagsstillerne mener det er en grunnleggende plikt å håndtere personopplysninger på den minst inngripende måten når denne samtidig i stor grad tilfredsstiller formålet, og at et pseudonymt register er klart mindre inngripende enn et identifiserbart register.
Komiteen, medlemmene fra Arbeiderpartiet,
Jorodd Asphjell, Jan Bøhler, Sonja Mandt-Bartholsen, Gunn
Olsen og Dag Ole Teigen, fra Fremskrittspartiet, Jan-Henrik Fredriksen,
Vigdis Giltun og lederen Harald T. Nesvik, fra Høyre, Inge
Lønning og Sonja Irene Sjøli, fra Sosialistisk
Venstreparti, Inga Marte Thorkildsen, fra Kristelig Folkeparti, Laila
Dåvøy, fra Senterpartiet, Rune J. Skjælaaen,
og fra Venstre, Gunvald Ludvigsen, viser til forslagsstillernes
vurdering av at personvernet ikke kan ivaretas like godt i et personidentifiserbart
register som i et pseudonymt register, og at pseudonyme registre
er bedre alternativ som kan ivareta både samfunnets interesse
i god tilgjengelighet og enkeltindividets interesse i godt personvern.
Komiteens medlemmer fra Arbeiderpartiet,
Sosialistisk Venstreparti og Senterpartiet påpeker
at et personidentifiserbart register med ekstern kryptering ikke
er det samme som et pseudonymt register. Personidentifiserbare registre
gir bedre mulighet for kvalitetssikring av data enn pseudonyme registre
vil gi. Personidentifiserbare registre ivaretar dermed forskningsformål
bedre og er bedre egnet for å utvikle bedret kvalitet i
pasientbehandlingen.
Personidentifiserbare registre med ekstern kryptering
kan, under visse forutsetninger, ivareta forskningsformål
på samme måte som personidentifiserbare registre
med intern kryptering, selv om en ekstra instans nødvendigvis
innebærer en ekstra kilde til feil.
Disse medlemmer viser til at
deler av bakgrunnen for at vi har ulike registerformer, er at man
skal kunne velge den registerformen som til enhver tid medfører
best mulig personvern for den registrerte, samtidig som formålet
med registeret skal ivaretas. Disse medlemmer understreker
derfor at ikke alle registre behøver å være
personidentifiserbare, og alle registre vil heller ikke behøve å være
pseudonyme, siden det for enkelte registre er tilstrekkelig at de
er avidentifiserte for å ivareta registerets formål.
Hvilken registerform som passer best for det enkelte register, må derfor avgjøres
konkret, og det er ikke riktig å fastsette én registerform
for alle helseregistre, verken i forhold til forskningshensyn eller
i forhold til personvernhensyn.
Disse medlemmer er enig med forslagsstillerne i
at det er avgjørende at helsevesenet har tillit i befolkningen. Disse
medlemmer understreker derfor at man ikke kjenner til at
opplysninger har kommet på avveie, verken fra noen av de
norske personidentifiserbare helseregistrene eller fra noen i andre
nordiske land. Det innføres både tekniske og organisatoriske hindre
av høyeste kvalitet for å unngå misbruk,
heriblant:
– Fødselsnummer
kobles ikke til pasientdata, verken i kommunikasjon eller i registeret
– Fødselsnummer lagres
ikke, verken i krypteringsløsning eller i selve registeret
– Kryptert fødselsnummer
utleveres ikke
– Kryptering av all kommunikasjon
– Autentisering av alle brukere
og maskiner
– Brannmur foran hver maskin i
systemet
– Utlevering krever egen hjemmel
– Kun et fåtall spesielt
autoriserte medarbeidere kan utløse dekryptering
– Dekryptering og utlevering forutsetter
involvering av kvalitetssikrer i alle trinn
– Logging av alle prosesser
Dersom resultatet av en kobling skal fremkomme
i personidentifiserbar form, kreves det egen konsesjon for dette
fra Datatilsynet. Et personidentifiserbart register kan ikke utvides
uten ny stortingsbehandling. Bruk av opplysninger i registeret utenfor
registerets formål er ulovlig. Personidentifikasjonen lagres
kryptert i alle våre personidentifiserbare helseregistre
(med forbehold om Forsvarets helseregister).
Kryptert personidentifikasjon er imidlertid
i seg selv ikke tilstrekkelig for å ivareta personvernet
på en god måte. Det er derfor utviklet et omfattende
lovverk, regler, forskrifter og rutiner for å sikre personvernet
i databaser som inneholder både fødselsnummer
og helseopplysninger. Kryptering bidrar til å styrke personvernet
i databaser med mange opplysninger om hver enkelt pasient, men tilstrekkelig
sikring av personvernet forutsetter at kryptering ikke brukes alene,
men i kombinasjon med andre personvernfremmende tiltak. Disse
medlemmer ser det dermed som lite hensiktsmessig at Regjeringen
fremmer særskilt forslag om at registeropplysninger skal
lagres med kryptert identitet.
Videre forstår disse medlemmer at
det kan oppstå utrygghet når opplysninger som
er gitt i fortrolighet til helsepersonell, blir videreformidlet
til et sentralt register. Begrepet "personidentifiserbart register"
kan være misvisende. Det er derfor viktig med informasjon om
den lange rekken sikkerhetstiltak som iverksettes for å beskytte
slike opplysninger. God informasjon er trolig vesentlig mer avgjørende
for pasientenes trygghetsfølelse enn det mer tekniske spørsmålet
om ekstern eller intern kryptering.
Disse medlemmer påpeker
videre at dersom ekstern kryptering forutsetter at oppdraget jevnlig
må konkurranseutsettes, kan det stilles spørsmål
ved om dette vil fremme befolkningens tillit og legitimitet til personidentifiserbare
registre.
Disse medlemmer foreslår
på denne bakgrunn at forslaget ikke bifalles.
Komiteens flertall, medlemmene
fra Fremskrittspartiet, Høyre, Kristelig Folkeparti og
Venstre, viser til at helseopplysninger i sin natur er sensitive,
og at hensynet til personvern derfor må tillegges stor
vekt ved behandling av slike opplysninger. Flertallet viser
til at samling av personlige helseopplysninger i helseregistre i
seg selv innebærer en risiko for den enkeltes personvern
og en kollektiv risiko for misbruk av opplysningene. Det vises til
en undersøkelse om personvern utført av Transportøkonomisk
institutt på oppdrag fra det daværende Moderniseringsdepartementet
og Datatilsynet, som ble publisert 15. februar 2006. Det
fremgår av undersøkelsen at 84 prosent av respondentene
mener det er viktig å beskytte helseopplysninger, og at
88,4 prosent har samme oppfatning om beskyttelse av personnummer.
Flertallet viser videre til komiteens
flertallmerknader i Innst. O. nr. 40 (2006-2007), jf. Ot.prp. nr.
49 (2005-2006).
Komiteens medlemmer fra Fremskrittspartiet,
Høyre og Kristelig Folkeparti støtter
forslagsstillernes intensjon om en bedre ivaretakelse av personvern
i etablerte og fremtidige helseregistre. Et generelt krav om ekstern
kryptering og samkjøring av helseregistre i form av kryptert
identitet vil bidra til dette. Slik disse medlemmer ser
det, kan det imidlertid være behov for å stille
strengere krav til registerform i enkelte tilfeller. Det kan eksempelvis være
nødvendig og hensiktsmessig at helseregistre etableres
i avidentifiserbar form. På bakgrunn av dette mener disse
medlemmer at de foreslåtte krav om kryptering må forstås
som minimumskrav, og at det må foretas konkrete vurderinger
av behovet for strengere krav til personvern.
Komiteens medlem fra Venstre er
enig i at de foreslåtte krav om kryptering må forstås
som minimumskrav.
Dette medlem mener at det er
en grunnleggende plikt å håndtere personopplysninger
på den minst inngripende måten når denne
samtidig i stor grad tilfredsstiller formålet. Et pseudonymt
register er klart mindre inngripende enn et identifiserbart register.
Dette medlem viser til at for
eksempel NPR er et nytt register som skal følge befolkningen
fra fødsel til grav. NPR vil inneholde en stor samling
med sensitive opplysninger og planlegges som et register som skal følge
pasienten fra fødsel til død og deretter oppbevares
permanent. I fremtidens informasjonsteknologiske samfunn kan vi
ikke utelukke at denne personinformasjonen vil kunne komme på avveie.
Det er sannsynligvis bare et spørsmål om tid før
noe slikt vil kunne skje. Konsekvensene av feil vil kunne bli alvorlige
når den valgte registerform gjør det enklere å finne
tilbake til enkeltpersonen bak opplysningene. Dersom det velges en
registerform hvor det er åpnet for tilgang til identifiserende
opplysninger, vil det også være enkelt å ta
ut opplysningene til illegitime formål. Misbruksfaren øker
drastisk. En pseudonym løsning er et betydelig hinder mot
dette. Skadevirkningen vil bli langt mindre alvorlig dersom opplysninger
fra et pseudonymt helseregister skulle komme på avveie.
Da vil ikke uvedkommende kunne vite hvem opplysningene gjelder,
bare at de gjelder ugjenkjennelige individer med kryptert identitet
(bestående av et utall tegn eller symboler). Lekkasjefaren
og farer som hacking og annen uautorisert tilgang gir, skaper derfor
langt mindre problemer for pasientene.
Dette medlem understreker at
det opprettes stadig nye helseregistre. Siden ingen kan spå noe
om fremtiden, vil det etter dette medlems mening
være av største betydning at alle nye helseregistre
blir opprettet på en slik måte at folk kan føle
seg trygge for at personopplysninger ikke kommer på avveie
eller brukt til formål som man i dag ikke kan forutse rekkevidden av.
Komiteens flertall, medlemmene
fra Fremskrittspartiet, Høyre, Kristelig Folkeparti og
Venstre, fremmer følgende forslag:
"Stortinget ber Regjeringen ved opprettelse
av nye, ikke-samtykkebaserte helseregistre legge til grunn at registeropplysninger
skal lagres med kryptert identitet, at kryptering skal foretas av
en utenforstående, uavhengig instans, og at samkjøring
av registre skal skje ved hjelp av krypterte identiteter."
Forslag fra Arbeiderpartiet, Sosialistisk Venstreparti
og Senterpartiet:
Dokument nr. 8:14 (2006-2007) - representantforslag fra
stortingsrepresentantene Lars Sponheim, Odd Einar Dørum
og Gunvald Ludvigsen om helseregistre og personvern - bifalles ikke.
Komiteens tilråding fremmes av Fremskrittspartiet, Høyre,
Kristelig Folkeparti og Venstre.
Komiteen viser til
dokumentet og merknadene og rår Stortinget til å gjøre
følgende
vedtak:
Stortinget ber Regjeringen ved opprettelse av
nye, ikke-samtykkebaserte helseregistre legge til grunn at registeropplysninger
skal lagres med kryptert identitet, at kryptering skal foretas av
en utenforstående, uavhengig instans, og at samkjøring
av registre skal skje ved hjelp av krypterte identiteter.
Oslo, i helse- og omsorgskomiteen, den 16. januar 2007
Harald T. Nesvik
leder |
Dag Ole Teigen
ordfører |