Det vises til brev av 03.03.2010 fra Stortingets kontroll-
og konstitusjonskomite vedrørende kryptering av de sentrale helseregistrene.
Jeg vil innledningsvis understreke at det ikke hersker tvil om at
lovvedtak fattet av Stortinget skal følges opp av regjering og underliggende
etater. I det følgende besvares spørsmålene fra kontroll- og konstitusjonskomiteen.
I
Kontroll- og konstitusjonskomiteen
ber i sitt brev om begrunnelsen for at Regjeringen ved Helse- og
omsorgsdepartementet ikke har sørget for at helseregistrene er kryptert
slik loven krever, og for hvilke tiltak som er iverksatt.
Det har helt siden kravet om intern kryptering
av direkte personidentifiserende kjennetegn i sentrale helseregistre
ble vedtatt, vært arbeidet med løsninger for å oppfylle lovens krav,
og dette arbeidet gis nå aller høyeste prioritet. Helse- og omsorgsdepartementet
har sammen med de sentrale helseregistrene igangsatt en omfattende prosess
for å avklare hva som ligger i kravet om intern kryptering. Denne
prosessen, som har pågått i hele perioden 2007–2010, har vist seg
å være vanskeligere og mer tidkrevende enn det som ble lagt til
grunn da lovendringen ble vedtatt.
I forbindelse med ikrafttredelse av endringene
i helseregisterloven rettet Folkehelseinstituttet i mai 2007 en
henvendelse til departementet der instituttet skriver følgende:
«Det kan reises en viss tvil om instituttet i alle henseender
tilfredsstiller de krav som nå ligger i helseregisterlovens § 8
tredje ledd. Dette notatet presenterer derfor et forslag til løsning
for Helse- og omsorgsdepartementet, som instituttet mener vil oppfylle
lovens krav.»
Samtidig ble det redegjort for instituttets
sikkerhetstiltak, herunder bl.a. styrket tilgangskontroll (dvs.
at ingen personer eller systemer skal ha tilgang til flere opplysninger
enn det de har behov for), etablering av sikker sone for sensitive data
(sone hvor bare ansatte med tjenestelig behov har tilgang), kryptering
av elektroniske meldinger, og at disse oppbevares kryptert etter innlasting
av meldingen i registrene.
Videre redegjorde instituttet for sine planer
for ytterligere sikkerhetsløsninger, som for eksempel å splitte
personopplysninger og helseopplysninger i ulike databaser. Instituttet
betegner denne løsningen som «… en god teknisk
løsning som oppfyller lovens intensjon, er håndterbar og som ikke
minst ivaretar kravet om tilgjengeligheten til dataene.» Videre
beskrives en sikkerhetsløsning som innebærer at skannede dokumenter
splittes ved at dokumentene «klippes» i to, slik at personidentifikasjon
lagres i et bilde, mens helseopplysningene lagres i et annet.
Departementet stilte seg positiv til de løsninger som
Folkehelseinstituttet presenterte, men påpekte følgende:
«Når det gjelder kryptering som en konkret måte å
sikre opplysninger på, vil departementet bemerke at det er et problem
at kryptering ikke er definert i helseregisterloven. Selv om kryptering i
seg selv ikke er definert i loven, gis det i Innst. O. nr. 40 (2006–2007)
om endringene i helseregisterloven vedrørende Norsk pasientregister
på side 7 annen spalte noen retningslinjer for hva som må foreligge
for at opplysningene skal anses kryptert.»
I løpet av 2007 ble arbeidet med å utforme forskriftstekst
for Norsk pasientregister gitt høy prioritet i departementet, og
herunder hvordan kravet til intern kryptering skulle utformes i
forskrift og merknader. Norsk pasientregisterforskriften ble vedtatt
7. desember 2007, men trådte først i kraft 15. april 2009, da krypteringsløsningen
var ferdig utviklet. Det var i Innst. O. nr. 40 (2006–2007) forutsatt
at Norsk pasientregister (NPR) skulle ha tekniske og organisatoriske
hindre av høyeste kvalitet. I samme periode og utover våren 2008
foregikk det samtidig i Nasjonalt folkehelseinstitutt et utviklingsarbeid
for å gjøre SYSVAK-registeret helelektronisk med muligheter for
intern kryptering.
I 2008 ble det fra Helse- og omsorgsdepartementets
side tatt uformell kontakt med Datatilsynet for å undersøke om tilsynet
kunne bidra i forståelsen av kravet om intern kryptering av direkte
personidentifiserende kjennetegn i helseregistrene. Departementet
ønsket å drøfte mulige løsninger i de ulike registrene ut fra deres formål,
samt behovet for å lage felles retningslinjer for registrene. Datatilsynet
ble orientert om at departementet ville komme tilbake til saken
når prosessen med helseregistrene var gjennomført.
Helse- og omsorgsdepartementet tok deretter kontakt
med alle de sentrale helseregistrene og ba om en redegjørelse for
hvordan registrene ivaretok helseregisterlovens krav om intern kryptering.
Registrene ble videre bedt om å bidra med innspill til å avklare
hva som ligger i begrepet intern kryptering, og synspunkter på hva som
med et minimum må være gjort med de personidentifiserbare opplysningene
for at lovens krav kan anses oppfylt. Departementet ba videre om
at registrene synliggjorde utfordringene knyttet til intern kryptering:
«Departementet ser at de ulike registrene har forskjellige
utfordringer knyttet til intern kryptering, særlig med tanke på
hvilken funksjon de direkte personidentifiserende kjennetegnene
har i den daglige driften. Det er derfor viktig at registrene selv
synliggjør disse utfordringene og foretar en vurdering av om den
praksis man har i dag kan endres.»
Folkehelseinstituttet redegjorde i sin tilbakemelding
i desember 2008 for den valgte krypteringsløsningen for det nye
elektroniske SYSVAK-registeret, samt at instituttet arbeidet videre
med innføring av sladdete personnumre i skjermbildet i Medisinsk
fødselsregister, splitting av helseopplysninger i ulike databaser
og kryptering av databaser og disker for de øvrige papirbaserte
registrene. Folkehelseinstituttet konkluderte med følgende:
«FHI mener at vi oppfyller lovens krav ved å ta i
bruk de ulike mekanismene vi har beskrevet for intern kryptering
der disse kan brukes og bidrar til bedre personvern. Vi kombinerer
dette med nøye regulert bruk av ukrypterte opplysninger der dette
er nødvendig for å oppfylle registrenes formål.»
I løpet av våren 2009, over to år etter at lovendringen
trådte i kraft, var som nevnt krypteringsløsningen for Norsk pasientregister
ferdig utviklet, og forskriften for NPR kunne tre i kraft. Tilbakemeldingene
fra de andre registrene viste at den krypteringsløsningen som ble
valgt for NPR, ikke var praktisk gjennomførbar for de øvrige registrene
hvor innsendingen av opplysninger er papirbasert. Det er heller
ikke et krav i Innst. O. nr. 40 (2006–2007) at de andre registrene
skal ha samme krypteringsløsning som NPR. Flere av de aktuelle helseregistrene
har formål som forutsetter tilgang til personidentifikasjon for
autoriserte personer. Dette gjelder ikke minst Meldingssystemet
for smittsomme sykdommer (MSIS), som brukes aktivt i beredskapsarbeid
for smitteoppsporing og smitteetterforskning, og Det sentrale tuberkuloseregisteret, som
brukes for oppfølging av tuberkulosebehandling. Det betyr at de
tekniske løsningene må sikre funksjonell tilgang til ukrypterte
opplysninger for spesielt autoriserte personer som har en oppgave
som gjør det strengt nødvendig. Dette kompliserer valget av tekniske
løsninger, og gjør blant annet at den tekniske løsningen utviklet
for Norsk pasientregister ikke kan benyttes.
Departementet innkalte til et møte i januar
2010 der NPR og FHI hadde en omfattende presentasjon av sine krypteringsløsninger.
Departementet har nå, på bakgrunn av dialogen med helseregistrene,
utarbeidet et utkast til tolkning av hvordan kravet om intern kryptering
er å forstå, og har tatt kontakt med Datatilsynet for å drøfte dette
i et møte 12. mars.
Status per i dag er at Norsk pasientregister
og Kreftregisteret er internt krypterte, og at SYSVAK-registeret
også må anses å være internt kryptert, slik jeg har forstått det.
De øvrige helseregistrene som Folkehelseinstituttet er databehandlingsansvarlig
for, er ikke helt i mål, men benytter ulike sikkerhets- og krypteringsløsninger.
Dette innebærer som nevnt ovenfor kryptert elektronisk meldingskommunikasjon,
krypterte sikkerhetskopier av databasene og i tillegg sladding av personidentifikasjon
i skjermbilder for elektroniske meldinger i Medisinsk fødselsregister.
Et unntak er Dødsårsaksregisteret, der FHI som databehandlingsansvarlig
og Statistisk sentralbyrå som databehandler nå arbeider med konkrete forslag
til løsninger, jf. brev av 8. mars 2010 til Datatilsynet. Det er
parallelt gitt prioritet til arbeidet med å få på plass gode elektroniske
løsninger for registrene, da dette i stor grad vil kunne bidra til
bedre sikkerhet i registrene.
II
Kontroll- og konstitusjonskomiteen
viser i sitt brev til at det i Rapport for arbeidsgruppe Hjerte-karregisteret
fra mai 2008 framgår at Folkehelseinstituttets registre ikke oppfylte kravet
om intern kryptering. Komiteen ber om en redegjørelse for hvilke
tiltak som ble iverksatt da Helse- og omsorgsdepartementet ble gjort
kjent med dette.
Jeg vil vise til redegjørelsen foran, der det
framgår at departementet tok kontakt med Datatilsynet og deretter
iverksatte et arbeid med sikte på å klargjøre hva som ligger i lovens
krav. Som nevnt er arbeidet med å få på plass mer fullstendige krypteringsløsninger
også i MSIS, Tuberkuloseregisteret, Medisinsk fødselsregister og
Dødsårsaksregisteret nå gitt høyeste prioritet. Kreftregisteret
har siden lovendringen trådte i kraft arbeidet med å tilrettelegge
IT-systemene, og de har nå utviklet en krypteringsløsning som fortsatt
er under testing. Folkehelseinstituttet har startet arbeidet med
å vurdere om denne løsningen også kan være aktuell for Dødsårsaksregisteret,
Medisinsk fødselsregister (MFR), Meldingssystem for smittsomme sykdommer (MSIS)
og Tuberkuloseregisteret. Instituttet vil i denne forbindelse innhente
en ekstern vurdering med frist 16. april. I tillegg vil det umiddelbart bli
iverksatt ytterligere tiltak i MFR. MFRs produksjonsdatabase håndterer
elektroniske meldinger og papirmeldinger som er lagret som billedfiler.
Kryptering av produksjonsdata og billedfiler for avsluttede årganger
(1967–2007) vil innføres nå. Å kryptere MFRs hoveddatabase er en
kritisk prosedyre som krever omfattende utvikling og testing, ettersom
feil her kan føre til at alle data tilbake til 1967 kan gå tapt.
Det er derfor viktig å se hen til de erfaringer Kreftregisteret
nå gjør.
III
Kontroll- og konstitusjonskomiteen
ønsker en redegjørelse for hvorvidt Stortinget er orientert om at
helseregistrene ikke var kryptert slik loven krever, og eventuelt
hvorfor Regjeringen ikke har funnet det nødvendig å informere Stortinget om
dette.
Kravet om intern kryptering var ikke en del
av det forslag som regjeringen fremmet i Ot.prp. nr. 49 (2005–2006).
Regjeringens forslag ville ha åpnet for etablering av NPR som et
personidentifiserbart register, men ville ikke medført større konsekvenser
for de eksisterende helseregistrene med hjemmel i helseregisterloven
§ 8 tredje ledd.
Stortingets vedtak om å lovfeste et krav om
intern kryptering avvek i så måte fra regjeringens forslag. Det
ble likevel vedtatt at lovendringen skulle tre i kraft straks.
I ettertid ser jeg at man skulle ha vurdert
utsatt ikraftsetting av hele, eller deler av lovvedtaket, men da
måtte saken ha vært forelagt Stortinget på nytt.
Dersom det viser seg at det ikke lar seg gjøre
å gjennomføre lovens krav om intern kryptering innen rimelig tid
og samtidig oppfylle registrenes formål, vil departementet ta opp spørsmålet
om en mulig dispensasjonsadgang frem til registrene er fullt ut
elektroniske. Det er et mål at alle de sentrale helseregistrene
skal være elektroniske og dermed muliggjøre full intern kryptering.
Dette vil kreve tid og ressurser. Det tok som nevnt over to år fra
Stortinget vedtok å opprette Norsk pasientregister som et personidentifiserbart
register til krypteringsløsningen var implementert og forskriften
kunne tre i kraft. Likeledes har Kreftregisteret arbeidet med sin
krypteringsløsning siden lovendringen trådte i kraft.
Avslutningsvis vil jeg understreke at departementet
og de sentrale helseregistrene har lagt inn betydelige ressurser
i arbeidet med å få alle registrene internt krypterte i tråd med
Stortingets vedtak, og at dette arbeidet fortsetter med høy prioritet.