Komiteen, medlemmene fra Arbeiderpartiet,
Bendiks H. Arnesen, Martin Kolberg og Marit Nybakk, fra Fremskrittspartiet,
lederen Anders Anundsen, Ulf Erik Knudsen og Øyvind Vaksdal, fra
Høyre, Per-Kristian Foss, fra Sosialistisk Venstreparti, Hallgeir H.
Langeland, fra Senterpartiet, Ola Borten Moe, fra Kristelig Folkeparti, Hans
Olav Syversen, og fra Venstre, Trine Skei Grande, viser
til Innst. O. nr. 40 (2006–2007) jf. Ot.prp. nr. 49 (2005–2006)
om etablering av Norsk pasientregister som et personentydig register.
Komiteens flertall, medlemmene
fra Fremskrittspartiet, Høyre, Kristelig Folkeparti og Venstre,
viser til at det i innstillingen sies følgende i merknader fra komiteens
medlemmer fra Arbeiderpartiet, Senterpartiet og Sosialistisk Venstreparti:
«I alle de personidentifiserbare helseregistrene som
er hjemlet i helseregisterloven § 8 tredje ledd, er, etter det disse
medlemmer kjenner til, personidentifikasjonen lagret kryptert i
registeret (med forbehold om Forsvarets helseregister). Krypteringen
er foretatt internt. Det vil si at personidentifikasjonen kan dekrypteres
ved hjelp av en nøkkel som finnes internt i registeret. Dekrypterte
opplysninger kan bare behandles av spesielt autoriserte personer
og bare når dette er strengt nødvendig.»
Og videre:
«Disse medlemmer mener at lovteksten bør gjenspeile
det faktum at våre personidentifiserbare registre er internt krypterte,
og foreslår derfor en alternativ lovformulering til proposisjonens
forslag. Disse medlemmer fremmer følgende forslag:
'I
lov18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger
(helseregisterloven) gjøres følgende endringer:
§ 8
tredje ledd fram til og med kolon skal lyde:
I følgende
registre kan navn, fødselsnummer og andre direkte personidentifiserende
kjennetegn behandles uten samtykke fra den registrerte i den utstrekning
det er nødvendig for å nå formålet med registeret, og direkte personidentifiserende kjennetegn
skal lagres kryptert i registeret:
§ 8 tredje ledd
nytt nr. 8 skal lyde:
8. Norsk pasientregister'»
Det følger av Besl. O. nr. 52 (2006–2007) av 1. februar
2007 at «direkte personidentifiserende kjennetegn skal lagres kryptert»
i Dødsårsaksregisteret, Kreftregisteret, Medisinsk fødselsregister,
Meldingssystem for smittsomme sykdommer, Det sentrale tuberkuloseregisteret, System
for vaksinasjonskontroll (SYSVAK), Forsvarets helseregister og Norsk
pasientregister. Flertallet viser til at bestemmelsen
om intern kryptering trådte i kraft 16. februar 2007. Representanter
fra Fremskrittspartiet, Høyre, Venstre og Kristelig Folkeparti gikk
i Innst. O. nr. 40 (2006–2007) inn for at krypteringen skulle foretas
av en ekstern instans.
Flertallet viser til at tidligere
statsråd Bjarne Håkon Hanssen under kontroll- og konstitusjonskomiteens
høring 19. mai 2010 uttalte at Helse- og omsorgsdepartementet høsten
2008 henvendte seg til de sentrale helseregistrene for å undersøke
om lovens krav om kryptering av personidentifiserende kjennetegn
var oppfylt. På høringen fremkom det videre informasjon om at det
høsten 2008 var uformell kontakt mellom embetsverket i Helse- og
omsorgsdepartementet og Datatilsynet om hvordan lovvedtaket om intern
kryptering av personidentifiserende kjennetegn var å forstå. Det
er ikke fremkommet opplysninger om at Helse- og omsorgsdepartementet
tok initiativ til å sikre oppfølging av Stortingets vedtak forut
for dette. Helse- og omsorgsminister Strøm-Erichsen uttalte under høringen
at:
«I november 2009 inviterte departementet Folkehelseinstituttet
og Helsedirektoratet ved avd. Norsk pasientregister til et møte
for å forsøke å komme frem til felles retningslinjer for hvordan
lovens krav om intern kryptering skulle forstås. Norsk pasientregister
og Folkehelseinstituttet presenterte i januar 2010 sine krypteringsløsninger.»
Flertallet mener at Helse- og
omsorgsdepartementet ikke iverksatte nødvendige tiltak for å følge
opp lovvedtaket om intern kryptering av sentrale helseregistre så
raskt som man kan forvente, tatt i betraktning at kravet trådte
i kraft 16. februar 2007. Flertallet konstaterer
at Helse- og omsorgsdepartementet først halvannet år etter at Stortingets
vedtak om intern kryptering av helseregistrene trådte i kraft, tok
initiativ til å undersøke om kravet var oppfylt i de sentrale helseregistrene.
Etter to og et halvt år, det vil si høsten 2009, tok Helse- og omsorgsdepartementet
det første initiativet til å avklare implikasjonene av Stortingets
vedtak om intern kryptering. Flertallet viser videre
til at statsråd Anne-Grete Strøm-Erichsen i brev til kontroll- og
konstitusjonskomiteen den 11. mars 2010 uttalte at saken «nå gis
høyeste prioritet» og at Helse- og omsorgsdepartementet presenterte
en definisjon av kravet om intern kryptering først 10. mai 2010.
Det vises til kontroll- og konstitusjonskomiteens høring
19. mai 2010, der statsråd Anne-Grete Strøm-Erichsen uttalte at:
«Det vil alltid være problematisk når Stortinget fatter
vedtak uten at dette er tilstrekkelig utredet i forkant. Kravet
om intern kryptering av alle helseregistrene var ikke en del av
det forslaget som regjeringen fremmet i Ot.prp. nr. 49. Stortingets
vedtak om å lovfeste et krav om intern kryptering for alle helseregistrene
avvek i så måte fra daværende regjeringsforslag og altså fra det
høringsnotatet som regjeringen Bondevik sendte ut i 2005.»
Videre uttalte statsråden at:
«Så må jeg si at når vi ser på sikkerhetstiltakene, er
kryptering bare én del – og i denne sammenheng faktisk en ganske
liten del – av de totale sikkerhetskravene på helseregistrene. Det
aller viktigste med helseregistrene er at sensitive opplysninger
er beskyttet for innsyn.»
Flertallet presiserer at lovvedtak
fattet etter Stortingets eget initiativ har samme status og krever
samme etterrettelige oppfølging som vedtak initiert av regjeringen
selv. Flertallet viser til at Stortinget vurderte
intern kryptering av personidentifiserende kjennetegn i helseregistrene som
et vesentlig personverntiltak, som ble nedfelt i lovs form.
Flertallet viser til følgende
uttalelse fra tidligere helse- og omsorgsminister Bjarne Håkon Hanssen
under høringen 19. mai 2010:
«Jeg har lyst til å understreke at det politisk viktige
for meg, altså det som ble prioritert, var å sørge for at vi jobbet
med krypteringen, som jeg allerede har sagt, det aller viktigste
var å få Norsk pasientregister på beina som et personidentifiserbart
register. Det greide vi altså i april 2009.»
Flertallet mener at departementets
arbeid med å finne løsninger for etablering av et personentydig
Norsk pasientregister ikke er en tilfredsstillende begrunnelse for
at Stortingets vedtak om intern kryptering av allerede etablerte helseregistre,
ikke ble fulgt opp. Det vises til helse- og omsorgsminister Anne-Grete
Strøm-Erichsens uttalelser under høringen 19. mai 2010 om at den
krypteringsløsningen som ble utarbeidet for Norsk pasientregister,
ikke var aktuell for de øvrige sentrale helseregistrene. Dette tilsier
etter flertallets vurdering at arbeidet med intern
kryptering av sentrale helseregistre burde vært fulgt opp umiddelbart,
i stedet for at dette ble utsatt til det forelå en registerløsning
for Norsk pasientregister som uansett ikke kunne benyttes for de
andre sentrale helseregistrene. Flertallet understreker
at formålet med Stortingets vedtak om intern kryptering var å beskytte personidentifiserbare
opplysninger i allerede etablerte helseregistre. Flertallet mener
det er åpenbart at Helse- og omsorgsdepartementets prioritering
av arbeidet med å etablere nye løsninger for Norsk pasientregister
ble gjort på bekostning av arbeidet med å ivareta personvernet i
eksisterende registre.
Flertallet viser til uttalelser
fra tidligere forsvarsminister Anne-Grete Strøm-Erichsen i høringen
19. mai 2010 om at Forsvarsdepartementet først høsten 2008 ble gjort
kjent med at vedtaket om intern kryptering omfattet Forsvarets helseregister. Flertallet presiserer
at regjeringen har ansvar for å etablere rutiner som sikrer at
Stortingets vedtak blir kjent og fulgt opp av relevante departement
og etater.
Flertallet viser til at Helse-
og omsorgsdepartementet 10. mai 2010 har gjort kjent en forståelse
av lovkravet om intern kryptering av personidentifiserbare opplysninger
som fraviker fra Datatilsynets vurdering av hva kravet innebærer. Flertallet viser
til at statsråd Anne-Grete Strøm-Erichsen i komiteens høring uttalte at
for:
«…flere av de eksisterende registre med umoderne
IT-arkitektur er det per i dag ikke håndterbart å skille ut de direkte
personidentifiserende kjennetegn og kryptere bare disse. Det innebærer at
hele registeret må krypteres.»
Flertallet vil understreke at
både ordlyden og formålet med lovvedtaket av 1. februar 2007 tyder
på at det er de personidentifiserbare opplysningene som skal krypteres. Flertallet viser
til at Stortinget aldri drøftet om kryptering av hele registeret
ville tilfredsstille kravet til et godt personvern, og at departementets
definisjon av kravet om intern kryptering er omstridt.
Flertallet ber om at regjeringen
på egnet måte forelegger spørsmålet om hvordan lovkravet om intern
kryptering i de sentrale helseregistrene skal forstås, for Stortinget.
Flertallet forutsetter at Helse-
og omsorgsdepartementet fører en konstruktiv dialog med Datatilsynet
med sikte på å oppnå en omforent forståelse av kravet om intern
kryptering. Flertallet understreker at Helse- og
omsorgsdepartementet må sikre at sentrale helseregistre oppfyller
Stortingets vedtak om intern kryptering. Flertallet vil
i den forbindelse vise til at Forsvarsdepartementet har iverksatt
tiltak som trolig vil sikre at også Datatilsynets forståelse av kravet
til intern kryptering kan ivaretas i løpet av kort tid. Flertallet er
tilfreds med dette, og ber helse- og omsorgsministeren vurdere om
tilsvarende løsninger kan implementeres også for de øvrige helseregistrene.
Flertallet viser til at tidligere
helse- og omsorgsminister Bjarne Håkon Hanssen ikke gjennomførte
nødvendige tiltak for å sikre oppfølging av Stortingets vedtak. Flertallet mener
det fremstår som klart at det arbeidsmessige fokus i departementet
under Hanssens ledelse var rettet mot å få etablert Norsk pasientregister
som et personidentifiserbart register, ikke å sikre at opplysningene
i andre helseregistre var kryptert i henhold til lov.
Flertallet vil presisere at det
ikke er opp til statsråden å vurdere hensiktsmessigheten av eller
rekkefølgen i oppfølging av Stortingets lovvedtak. Lovvedtak som
trer i kraft straks, skal ha umiddelbar virkning. Dersom lovvedtaket fremstår
som urealistisk eller ikke gjennomførbart, har regjeringen alltid
rett til å fremme ny sak for Stortinget om utsatt iverksettelse.
Flertallet mener det er kritikkverdig
at tidligere statsråd Bjarne Håkon Hanssen ikke fulgte opp Stortingets
lovvedtak.
Flertallet viser til at helse-
og omsorgsminister Anne-Grethe Strøm-Erichsen opplyser at hun nå mener
helseregistrene tilfredsstiller lovens krav. Datatilsynet har en
annen forståelse av loven som samsvarer med departementets tidligere
tolkning. Flertallet vil understreke betydningen av
at departementets lovtolkning kommer nesten tre år etter at loven
trådte i kraft, mens det bare tok en drøy måned å omdefinere den
opprinnelige lovtolkning. Departementets lovtolkning er derfor omstridt.
Flertallet fremmer følgende forslag:
«Stortinget ber regjeringen fremlegge spørsmålet
om valg av krypteringsløsning for de sentrale helseregistrene for
Stortinget i egnet form.»
Flertallet viser til
at helse- og omsorgskomiteen under behandlingen av Prop. 23 L (2009–2010)
ble gjort kjent med at personidentifiserende kjennetegn ikke var
kryptert i alle de sentrale helseregistrene. Det ble først bekreftet av
helse- og omsorgsministeren i svar av 3. mars 2010 på spørsmål fra
representanter for Høyre, Kristelig Folkeparti og Venstre i brev
av 15. februar 2010. Den samme informasjon fremgår av statsrådens
svarbrev til kontroll- og konstitusjonskomiteen av 11. mars 2010.
Flertallet konstaterer at Innst.
O. nr. 40 (2006–2007) og Besl. O. nr. 52 (2006–2007) var basert på
en feilaktig forutsetning om at personidentifiserende kjennetegn
var kryptert i de sentrale helseregistrene. Det vises til uttalelse
fra helse- og omsorgsminister Anne-Grete Strøm-Erichsen under høringen
i kontroll- og konstitusjonskomiteen 19. mai 2010, der hun uttaler
følgende:
«Da vi gikk inn i dette, fant vi at det foreligger en
rekke sikkerhetstiltak i registrene, i tråd med kravene i helseregisterloven,
men kryptert i dagens forståelse av kravet, var de ikke.»
Flertallet finner det sterkt
kritikkverdig at ansvarlige statsråder ikke på noe tidspunkt tok
initiativ til å informere Stortinget om at personidentifiserende
kjennetegn ikke var kryptert, slik Stortinget hadde forutsatt. Det
vises til at informasjonsplikten innebærer at statsråden skal sørge
for at Stortinget har korrekt og relevant informasjon som grunnlag
for sine beslutninger. Flertallet forutsetter at
statsrådene aktivt sørger for å informere Stortinget om forhold
av betydning for dets vedtak.
Flertallet finner det likeledes
sterkt kritikkverdig at ansvarlige statsråder heller ikke tok initiativ
til å informere Stortinget om at krav om intern kryptering av personidentifiserende
kjennetegn i de sentrale helseregistrene ikke var oppfylt. Stortinget
ble først kjent med dette mer enn tre år etter at vedtaket trådte
i kraft, og da fra andre enn den ansvarlige statsråd.
Regjeringen fremmet den 16. oktober 2009 Prop.
23 L (2009–2010) om opprettelse av et nytt hjerte- og karregister.
I proposisjonen omtales kryptering som et sentralt personverntiltak,
og ulike krypteringsløsninger drøftes. Flertallet vil
påpeke at det i denne sammenheng hadde vært naturlig å omtale det
faktum at allerede vedtatte krav til kryptering av de sentrale helseregistrene
ikke var oppfylt. Disse opplysningene var relevante for behandlingen
av proposisjonen, der vurderinger av registerform og personverntiltak
var sentralt. Det faktum at helse- og omsorgsministeren heller ikke
i denne saken informerte Stortinget om at lovvedtaket om intern
kryptering ikke var fulgt opp, kan skape inntrykk av at informasjonen
ble holdt tilbake.
I den grad det er reelle utfordringer med å
iverksette lovvedtak, forutsetter flertallet at regjeringen
tar dette opp med Stortinget på egnet måte. Det vises i den sammenheng
til følgende uttalelse fra tidligere statsråd Bjarne Håkon Hanssen
under høringen 19. mai 2010:
«Når man ser hele dette forløpet i dag, er jeg ganske
klar på at man burde vurdert å gå til Stortinget med en egen proposisjon
om utsatt iverksetting i forhold til lovens krav om kryptering av alle
de sentrale helseregistrene.»
Helse- og omsorgsminister Strøm-Erichsen sluttet
seg til denne uttalelsen i samme høring. Flertallet stiller
seg uforstående til at denne vurderingen ikke ble foretatt av noen
av de ansvarlige statsråder i løpet av de tre årene som har gått
siden Stortingets vedtak trådte i kraft.
Flertallet mener at statsrådene
Sylvia Brustad, Bjarne Håkon Hanssen og Anne-Grete Strøm-Erichsens
manglende informasjon til Stortinget i denne saken reflekterer en
mangelfull respekt for og forståelse av informasjonsplikten.
Flertallet viser til at helse-
og omsorgsminister Sylvia Brustad hadde ansvar for å iverksette
bestemmelsen om intern kryptering av de sentrale helseregistrene
fra det tidspunktet loven trådte i kraft 16. februar 2007 og frem
til hun gikk av som helse- og omsorgsminister 20. juni 2008. Flertallet påpeker
at statsråden ikke iverksatte nødvendige tiltak for å sikre etterlevelse
av Stortingets lovvedtak, og Stortinget ble heller ikke informert
om at lovens krav ikke ble fulgt opp.
Flertallet er kommet til at kritikken
er av en så alvorlig karakter at det ikke er tilstrekkelig med kommentarer
i merknads form. Flertallet ber derfor om Stortingets
tilslutning til følgende forslag:
«Stortinget uttaler at det er kritikkverdig og uheldig
at Stortingets lovvedtak av 1. februar 2007 om kryptering av helseregistre
(Besl. O. nr. 52 (2006–2007)) ikke er iverksatt av tidligere helse-
og omsorgsministre Sylvia Brustad og Bjarne Håkon Hanssen og nåværende
helse- og omsorgsminister Anne-Grete Strøm-Erichsen.»
Flertallet viser til
at Den europeiske menneskerettighetskonvensjonen er inkorporert
i norsk lov i lov om menneskerettigheter av 21. mai 1999, og at
bestemmelsene er gitt forrang i norsk rett. Dette krever at regjeringen
gjør en grundig vurdering av forholdet til menneskerettighetene i
forbindelse med lovarbeid og reguleringer.
Datatilsynets representanter og forsker Njål Høstmælingen
uttalte under kontroll- og konstitusjonskomiteens høring 19. mai
2010 at forholdet til Menneskerettighetskonvensjonens bestemmelse
om rett til privatliv ikke er tilstrekkelig utredet i sammenheng
med etablering av helseregistre og valg av registerform, eksempelvis
i Prop. 23 L (2009–2010). Videre har Datatilsynet i sin høringsuttalelse
av 22. mars 2010 til Helse- og omsorgdepartementets rapport «Gode
helseregistre, bedre helse» stilt spørsmål om reguleringen av private
helseopplysninger er i strid med Grunnlovens forbud mot å gi lover
tilbakevirkende kraft.
Flertallet ber regjeringen sikre
grundige vurderinger av forholdet til menneskerettighetsloven og
Grunnloven i sammenhenger der dette kan være relevant, også i reguleringen
av helseregistrene.
Komiteens medlemmer fra Arbeiderpartiet,
Sosialistisk Venstreparti og Senterpartiet viser til at
formålet med endringene i Norsk pasientregisters formål og registerform som
ble vedtatt våren 2007, innebærer at registeret vil bidra til mer
kunnskap om helsetjenester og behandling, som igjen vil kunne gi
bedre kvalitet i helsetjenesten. Det nye registeret har blant annet
som formål å bidra til medisinsk og helsefaglig forskning som kan
gi viten om helsetjenester, behandlingseffekter og diagnose, sykdommers
årsaker, utbredelse og forløp og forebyggende tiltak. Gjennom Innst.
O. nr. 40 (2006–2007) og den påfølgende behandling i Stortingets
avdelinger, ga regjeringspartiene sin tilslutning til endringene
i helseregisterloven. Det ble i innstillingen forutsatt at Norsk
pasientregister skulle ha tekniske og organisatoriske hindre av
høyeste kvalitet. Regjeringspartiene viste i sine merknader til
en rekke tekniske og organisatoriske hindre for å unngå misbruk,
heriblant:
Fødselsnummer skal
ikke kobles til pasientdata, verken i kommunikasjon eller i registeret
Fødselsnummer skal ikke lagres, verken
i krypteringsløsning eller i selve registeret
All kommunikasjon skal krypteres
Alle brukere og maskiner skal autentiseres
Brannmur skal etableres foran hver maskin
i systemet
All utlevering krever egen hjemmel
Kun et fåtall spesielt autoriserte medarbeidere kan
utløse dekryptering
Dekryptering og utlevering forutsetter
involvering av kvalitetssikrer i alle trinn
Alle prosesser skal logges
Disse medlemmer viser til at
det ikke var et krav at de andre registrene skal ha samme krypteringsløsning
som Norsk pasientregister.
Disse medlemmer viser til at
regjeringen fulgte opp disse forutsetningene fra Stortinget gjennom
St.prp. nr. 59 (2007–2008) Tilleggsbevilgninger og omprioriteringer
i statsbudsjettet 2008. I proposisjonen heter det blant annet:
«Personidentifiserbar NPR
[…]
I
forbindelse med behandling av Ot.prp. nr. 49 (2005–2006) om lov
om endringer i helseregisterloven, jf. Innst. O. nr. 40 (2006–2007),
forutsatte Stortinget at det ble 'innført tekniske og organisatoriske
hindre av høyeste kvalitet for å unngå misbruk'. Dette innebærer
konkrete krav til konfidensialitet og informasjonssikkerhet. Norsk
pasientregisterforskriften vil ikke tre i kraft før de nye kravene
til sikkerhet er ivaretatt. Det er behov for 2 mill. kroner til
investeringer og enkelte driftsoppgaver for å få ivaretatt de nye kravene
til sikkerhet.»
Disse medlemmer viser til at
regjeringen i proposisjonen foreslo å bevilge beløpet det var behov
for, og at dette fikk Stortingets tilslutning.
Disse medlemmer viser videre
til regjeringspartienes merknader i Innst. O. nr. 40 (2006–2007),
jf. Ot.prp. nr. 49 (2005–2006) der det advares mot å se isolert
på spørsmålet om kryptering i arbeidet med å sikre personvernet
i registeret:
«[Medlemmene fra Arbeiderpartiet, Sosialistisk Venstreparti
og Senterpartiet] mener at kryptert personidentifikasjon imidlertid
i seg selv ikke er tilstrekkelig for å ivareta personvernet på en
god måte. Det er derfor utviklet et omfattende lovverk, regler,
forskrifter og rutiner for å sikre personvernet i databaser som
inneholder både fødselsnummer og helseopplysninger. Kryptering bidrar
til å styrke personvernet i databaser med mange opplysninger om
hver enkelt pasient, men tilstrekkelig sikring av personvernet forutsetter
at kryptering ikke brukes alene, men i kombinasjon med andre personvernfremmende
tiltak.»
Disse medlemmer har merket seg
at regjeringspartiene gjennom helse- og omsorgskomiteens lovbehandling
ikke forutså at forslaget om kryptering av helseregistre ville føre
til endringer i registrene, da premisset for forslaget var at de
personidentifiserbare registrene allerede var internt kryptert.
Dette framgår både av komitéinnstillingen og av debatten i Odelstinget
vedrørende Innst. O. nr. 40 (2006–2007).
Disse medlemmer viser til komiteens
høring i saken, og vil framheve at alle de sentrale helseregistrene,
med unntak av Dødsårsaksregisteret, nå er internt kryptert. De oppfyller
altså helseregisterlovens krav, jamfør Helse- og omsorgsdepartementets
brev til helseregistrene av 10. mai i år. Dødsårsaksregistret ligger
i Statistisk sentralbyrå, og vil bli kryptert om kort tid.
Disse medlemmer vil vise til
at både tidligere statsråd Bjarne Håkon Hanssen og helse- og omsorgsminister
Anne-Grete Strøm-Erichsen under høringen redegjorde for at det helt
fra kravet til kryptering av de sentrale helseregistrene kom inn,
har vært jobbet med å oppfylle lovens krav. Da arbeidet startet,
var det ingen som kunne forutse rekkevidden av hvor komplisert denne prosessen
ville bli. Disse medlemmer viser også til at det
ikke var lett å se hele forløpet. Når departementet og registrene
trodde at saken var løst, viste det seg at målet var lenger unna
enn først antatt. Disse medlemmer har i tillegg notert
at Vaksinasjonsregisteret SYSVAK ble kryptert i 2008, og at NPR
startet innsamling av personidentifiserbare data i april 2009. Disse medlemmer viser
i denne sammenheng til høringen i saken hvor tidligere helseminister Bjarne
Håkon Hanssen blant annet uttalte:
«Når man ser hele dette forløpet i dag, er jeg ganske
klar på at man burde vurdert å gå til Stortinget med en egen proposisjon
om utsatt iverksetting i forhold til lovens krav om kryptering av alle
de sentrale helseregistrene».
Disse medlemmer viser også til
helse- og omsorgsminister Anne-Grethe Strøm-Erichsen som i samme
høring blant annet uttalte:
«Det er klart at når man ser det i ettertid, skulle man
vurdert å fremme en ny lovproposisjon hvor man ba om utsatt ikrafttredelse
av loven».
Disse medlemmer slutter seg til
disse betraktningene.
Disse medlemmer har videre merket
seg at det hele tiden har vært arbeidet parallelt med krypteringsløsninger
for de øvrige registrene, og at man har innført ulike krypteringstiltak
underveis i perioden.
Disse medlemmer viser til at
det i høringen framkom at det er gjennomført omfattende sikkerhetstiltak
av teknisk og organisatorisk art i alle våre registre. Disse
medlemmer vil derfor bemerke at kryptering aldri alene er tilstrekkelig
for å sikre informasjonssikkerheten og at kryptering ikke kan erstatte
de sikkerhetstiltakene som allerede ligger i registrene i dag. Kryptering
kan heller ikke erstatte god sikkerhetskultur blant de ansatte i
registrene.
Disse medlemmer er av den oppfatning
at det har tatt lenger tid enn forventet å oppfylle Stortingets
vedtak, men viser til det som kom frem i høringen om at kryptering
var en særlig ressurskrevende og komplisert prosess for registre
som ikke er fullelektroniske, som har en umoderne IT-arkitektur
og som i tillegg brukes i pasientrettet virksomhet. I den forbindelse
har disse medlemmer merket seg at statsråd Anne-Grete Strøm-Erichsen
under høringen fremhevet at hun framfor å finne den optimale løsningen
for alle registrene valgte å finne løsninger som oppfyller lovens
krav og som samtidig kunne komme på plass snarest mulig. Videre
har disse medlemmer merket seg hva statsråd Anne-Grete
Strøm-Erichsen sa om tidsperspektiv og økonomiske konsekvenser for
å oppnå optimale løsninger:
«Det er startet opp et stort prosjekt om nasjonale helseregistre
i Helse- og omsorgsdepartementet for å få alle helseregistrene over
på en mer moderne form, mer i tråd med Norsk pasientregister. Det
arbeidet er startet opp. Det forslaget har vært på høring. Da ligger
vel høringsresultatene i departementet.
Det er gjort
anslag på at det kan koste mellom 50 og 100 millioner kroner å modernisere
alle helseregistrene og få dem over på en ny form. Det er også et
tidkrevende arbeid, som man regner med at man vil bruke ti år på.
Men da vil jeg understreke at da er det ikke bare snakk om kryptering.
Da er det snakk om å få dem over på en helt annen arkitektur enn
i dag.»
Disse medlemmer er av den oppfatning
at personvern er svært viktig og skal ivaretas på en best mulig
måte. Det er imidlertid ingenting som tyder på at Helse- og omsorgsdepartementet
og de statsrådene som har sittet i denne perioden, ikke har gjort
det de kunne for nettopp å ivareta dette viktige hensynet som Stortinget
også ville forsikre seg om gjennom sitt vedtak. Likeledes vil disse
medlemmer vise til at Norge, på tross av sine mange helseregistre,
har et sterkt fokus på personvern. Disse medlemmer vil videre
vise til at statsråd Anne-Grete Strøm-Erichsen under høringen presiserte
at hun syntes «det er svært viktig å ha mye fokus på personvern».
Disse medlemmer understreker
at flere europeiske land, deriblant våre nordiske naboland, i mange
år har hatt ulike sentrale personidentifiserende, ikke-samtykkebaserte
helseregistre, med tilhørende kvalitetsregistre.
Disse medlemmer viser til at
spørsmålet om hvorvidt opprettelsen av et personidentifiserbart register
uten krav om samtykke er i samsvar med Den europeiske menneskerettighetskonvensjonen,
blir omhandlet i merknadene i Innst. 193 L (2009–2010), jf. Prop
L 23 (2009–2010). I brev av 11. februar 2010 til helse- og omsorgskomiteen
utdyper Helse- og omsorgsdepartementet forholdet mellom det foreslåtte
hjerte- og karregisteret og internasjonalt regelverk på feltet. Disse
medlemmer merker seg at Den europeiske menneskerettskonvensjon
(EMK) i artikkel 8 nr. 2 stiller krav om at inngrep overfor den
enkelte må være 1) i samsvar med loven, og 2) nødvendig i et demokratisk
samfunn for å ivareta for eksempel helsehensyn. Den nasjonale lovgivningen
på dette feltet er nedfelt i helseregisterloven og helsepersonelloven.
Disse medlemmer mener at dagens
eksisterende helseregistre er i samsvar med menneskerettighetskonvensjonens
lovbestemmelser.