Under stortingsbehandlinga av Innst. 338 S (2009–2010)
frå kontroll- og konstitusjonskomiteen varsla helse- og omsorgsministeren
eit lovforslag som presiserer korleis ein skal forstå kravet i helseregisterlova
§ 8 tredje ledd om at direkte personidentifiserande kjenneteikn
skal lagrast i kryptert form i sentrale helseregister. Bakgrunnen
for dette var at Helse- og omsorgsdepartementet og Datatilsynet
hadde ulik oppfatning av innhaldet i kravet.
I proposisjonen blir det presisert korleis dette kravet
er å forstå. Vidare blir det gjort framlegg om å flytta kravet frå
helseregisterlova § 8 til § 16. Den sistnemnde paragrafen regulerer
det ansvaret den databehandlingsansvarlege og databehandlarane har
for at informasjonstryggleiken er tilfredsstillande når helseopplysningar blir
behandla.
Departementet meiner at kravet om kryptert lagring
er eit tryggingskrav og ikkje eit krav om registerform. Slik departementet
forstår helseregisterlova § 8 tredje ledd, inneber ikkje kravet
om kryptert lagring at direkte personidentifiserande kjenneteikn
må skiljast frå andre registeropplysningar og krypterast separat.
Departementet meiner derfor at det bør gå fram av
lova at kravet om kryptert lagring må sjåast i samanheng med den
totale informasjonstryggleiken og takast med i vurderinga av om
denne er tilfredsstillande. Slik departementet ser det, vil dette
gå fram tydelegare dersom kravet om kryptert lagring blir flytta
frå helseregisterlova § 8 til § 16. Der finst dei generelle føresegnene om
sikring av konfidensialitet, integritet, kvalitet og tilgjenge ved
behandling av helseopplysningar.
Komiteen understreker
at det er viktig å gjøre grundige vurderinger av personvernhensyn
når arkiv og register på helsefeltet etableres. Tiltak som hver
for seg kan være fornuftige, kan sette personvernet under press.
På helsefeltet håndteres store mengder personlige opplysninger,
og det er derfor spesielt viktig å ivareta personvernhensyn.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Sosialistisk Venstreparti og Senterpartiet,
mener at lovverket med regjeringens forslag til endringer og tilhørende
forskrifter ivaretar personvernet på en god måte.
Komiteens medlemmer fra Fremskrittspartiet,
Høyre og Kristelig Folkeparti er skeptiske til departementets
tolkning av at kravet om kryptert lagring ikke innebærer «at direkte
personidentifiserande kjenneteikn må skiljast frå andre registeropplysninger
og krypterast separat». Disse medlemmer mener det
er svært viktig, av personvernhensyn, å sørge for at de direkte
personidentifiserende kjennetegnene blir holdt og kryptert separat
fra de øvrige opplysningene i registeret. Imidlertid er disse
medlemmer kjent med utfordringene dette kan medføre for
registre som er etablert før kravet om kryptert lagring. Disse
medlemmer oppfatter det derfor som hensiktsmessig, slik
Kompetansesenter for IT i helse- og sosials-ektoren (KITH) foreslo
i sin høringsuttalelse i forkant av proposisjonen, heller å gi en
hjemmel som muliggjør å gi en midlertidig dispensasjon fra kravet
om at direkte personidentifiserende kjennetegn skal krypteres separat.
Disse medlemmer viser til Innst.
O. nr. 40 (2006–2007) der komiteens medlemmer fra Fremskrittspartiet,
Høyre, Kristelig Folkeparti og Venstre, foreslo at det skulle etableres
et krav om ekstern kryptering. Dette er forhold som ikke er berørt
i den gjeldende proposisjonen, og som vil kreve videre utredning. Disse
medlemmer ber regjeringen komme tilbake til Stortinget med en
sak om ekstern kryptering som hovedkrav.
Disse medlemmer fremmer følgende
forslag:
«I helseregisterloven skal § 16 andre ledd lyde:
I registre som er nevnt i § 8 tredje ledd, skal direkte
personidentifiserende kjennetegn lagres kryptert og adskilt fra
andre registeropplysninger. Kravet om at direkte personidentifiserende
kjennetegn skal lagres kryptert og adskilt fra andre registeropplysninger,
gjelder ikke for Nasjonal database for elektroniske resepter. Departementet
kan dispensere fra kravet om at direkte personidentifiserende kjennetegn skal
lagres kryptert og adskilt fra andre registeropplysninger. Dispensasjoner
skal være tidsbegrensede.»