I forbindelse med behandlingen av Ot.prp. nr
49 (2005–2006) fattet odelstinget følgende vedtak 1.februar 2007,
jf. Besl. O. nr. 52 (2006–2007):
vedtak til lov om endringer i lov 18. mai 2001
nr. 24 om helseregistre og behandling av helseopplysninger (helseregisterloven)
I
I lov 18. mai 2001 nr. 24 om helseregistre og
behandling av helseopplysninger (helseregisterloven) gjøres følgende
endringer:
§ 8 tredje ledd fram til og med kolon skal lyde:
I følgende registre kan navn, fødselsnummer
og andre direkte personidentifiserende kjennetegn behandles uten
samtykke fra den registrerte i den utstrekning det er nødvendig
for å nå formålet med registeret, og direkte personidentifiserende kjennetegn
skal lagres kryptert i registeret:
§ 8 tredje ledd nytt nr. 8 skal lyde:
II
Loven trer i kraft straks.
Som følge av dette vedtaket er ordlyden i helseregisterloven
§ 8 slik:
§ 8 Sentrale helseregistre
Det kan ikke etableres
andre sentrale helseregistre med helseopplysninger enn det som følger
av denne eller annen lov.
Kongen i Statsråd kan i
forskrift gi nærmere bestemmelser om etablering av sentrale helseregistre
og behandling av helseopplysninger i sentrale helseregistre for
ivaretakelse av oppgaver etter apotekloven, kommunehelsetjenesteloven,
sosialtjenesteloven, tannhelsetjenesteloven, smittevernloven og
spesialisthelsetjenesteloven, herunder overordnet styring og planlegging
av tjenestene, kvalitetsutvikling, forskning og statistikk. Navn,
fødselsnummer eller andre direkte personidentifiserende kjennetegn
kan bare behandles etter samtykke fra den registrerte. Samtykke
fra den registrerte er ikke nødvendig, dersom det i forskriften
bestemmes at helseopplysningene bare kan behandles i psudonymisert eller
avidentifisert form. Forskriften skal eventuelt fastsette nærmere
regler om hvem som skal foreta pseudonymiseringen og prinsipper
for hvordan det skal gjøres.
I følgende registre kan
navn, fødselsnummer og andre direkte personidentifiserende kjennetegn behandles
uten samtykke fra den registrerte i den utstrekning det er nødvendig
for å nå formålet med registeret, og direkte personidentifiserende
kjennetegn skal lagres kryptert i registrene:
1. Dødsårsaksregisteret
2. Kreftregisteret
3. Medisinsk fødselsregister
4. Meldingssystem for smittsomme sykdommer
5. Det sentrale tuberkuloseregisteret
6. System for vaksinasjonskontroll (SYSVAK)
7. Forsvarets helseregister
8. Norsk pasientregister
9. Nasjonal database for elektroniske resepter.
Kravet til at direkte personidentifiserende
kjennetegn skal lagres kryptert i registrene gjelder ikke nasjonal
database for elektroniske resepter.
Kongen i Statsråd kan i
forskrift gi nærmere bestemmelser om behandlingen av helseopplysningene
i helseregistrene.
Forskriftene etter annet
og fjerde ledd skal angi formålet med behandlingen av helseopplysningene
og hvilke opplysninger som skal behandles. Forskriften skal videre
angi hvem som er databehandlingsansvarlig for opplysningene.
Databehandlingsansvaret
kan delegeres. Forskriftene bør også gi bestemmelser om den databehandlingsansvarliges
plikt til å gjøre data tilgjengelig for at formålene kan nås.
Endringen i helseregisterloven § 8 var ikke fremmet
av Regjeringen Stoltenberg i Ot.prp. nr. 49 (2005–2006), men ble
fremmet av mindretallet i Helse- og omsorgskomiteen bestående av representanter
for regjeringspartiene Arbeiderpartiet, Senterpartiet og Sosialistisk
Venstreparti. Vedtaket i odelstinget 1. februar 2007 ble vedtatt
med støtte av flertallet bestående av representanter for regjeringspartiene.
Mindretallet, bestående at Høyre, Kristelig Folkeparti, Venstre
og Fremskrittspartiet gikk inn for et strengere krav om kryptering,
der krypteringen skulle foretas av en ekstern instans.
I Rapport for arbeidsgruppe Hjerte- og karregisteret
fra mai 2008 heter det på s. 40–41:
«Samtidig med at NPR ble personentydig register i
februar 2007, ble Helseregisterloven endret slik at alle de sentrale
helseregistrene som er nevnt i § 8, skulle lagre direkte personidentifiserende
kjennetegn kryptert i registrene. HOD er orientert om at Dødsårsaksregisteret,
Kreftregisteret, Medisinsk fødselsregister, Meldingssystemet for
infeksjonssykdommer (MSIS), Det sentrale tuberkulose registeret
og System for vaksinasjonskontroll (SYSVAK) ikke oppfyller dette
kravet per i dag (se brev 07/1409 fra Folkehelseinstituttet)»
Folkehelseinstituttets direktør Geir Stene-Larsen uttaler
til Aftenposten 21. februar d.å. at bare systemet for vaksinekontroll
er kryptert, mens de øvrige registrene fortsatt ikke er kryptert.
Det vises videre til Ot.prp. nr. 23 (2009–2010), som
er under behandling i Helse- og omsorgskomiteen. I denne saken uttaler
Regjeringen i pkt 3.5.4 at «Alle registre som
er etablert med hjemmel i helseregisterloven § 8 tredje ledd skal som
hovedregel være internt krypterte.» I proposisjonens pkt.
3.6.3.3 heter det at: «Intern kryptering er,
slik departementet ser det, et viktig virkemiddel for å ivareta
personvernet. Og videre «Departementet
mener derfor at intern kryptering vil være et hensiktsmessig virkemiddel
for å ivareta personvernhensyn ved etablering av et nasjonalt hjerte-
og karregister, og ser ikke at det foreligger grunnlag for å gjøre
unntak fra kravet om slik kryptering.»
Stortingets Kontroll- og konstitusjonskomité
ser svært alvorlig på det faktum at en rekke helseregistre fortsatt
ikke er kryptert, tre år etter at lovkravet om intern kryptering
av personidentifiserbare kjennetegn ble vedtatt. Det må ikke herske
tvil om at lovvedtak fattet av Stortinget skal følges av Regjeringen
og dens underliggende etater. Komiteen påpeker også at personvernet
må sikres for å ivareta tilliten til helsetjenesten og helseforskningen.
Det bes om begrunnelse for at Regjeringen ved Helse-
og omsorgsdepartementet ikke har sørget for at de nevnte helseregistrene
er kryptert, slik loven krever. Det bes videre om en orientering om
hvilke tiltak Helse- og omsorgsdepartementet iverksatte for å sikre
at lovens krav om kryptering av helseregistre ble oppfylt, etter
at loven trådte i kraft. Videre ønsker komiteen en redegjørelse
for hvilke tiltak som ble iverksatt da Helse- og omsorgsdepartementet
ble gjort kjent med Folkehelseinstituttets lovstridige praksis.
Det bes videre om en redegjørelse for hvorvidt Stortinget
er orientert om at helseregistrene ikke var kryptert slik loven
krever, og eventuelt hvorfor Regjeringen ikke har funnet det nødvendig
å informere Stortinget om dette.