Inge Lønning (H) [12:16:01]: Jeg har følgende spørsmål til helse‑ og omsorgsministeren:
«Datatilsynet gjennomførte våren 2008 kontroller knyttet til håndtering av person‑ og helseopplysninger i Nasjonalt informasjonssystem for pasienttransport (NISSY). Kontrollen avdekker betydelig svikt i forhold til kravet om å ivareta pasientens personvern. Videre fremkommer det at Helse Sør‑Øst RHF har instruert underliggende helseforetak om å benytte ordninger som strider mot gjeldende regelverk.
Hva vil statsråden gjøre for å sikre at de regionale helseforetakene respekterer gjeldende regler om personvern?»
Statsråd Bjarne Håkon Hanssen [12:16:40]: Det er et viktig spørsmål representanten Lønning tar opp. Transport av pasienter er en lovpålagt oppgave for de regionale helseforetakene etter pasientrettighetsloven § 2–6 og spesialisthelsetjenesteloven § 2–1a. For pasienten foretas det både direkte oppgjør og enkeltoppgjør ved refusjon av utgifter til transport. Ved direkte oppgjør gjøres det opp direkte mellom transportør og helseforetak, mens ved enkeltoppgjør refunderes utgifter i etterkant av foretatt reise. Direkteoppgjør behandles i dag gjennom Nasjonalt informasjonssystem for pasienttransport, altså NISSY. Helse Sør‑Øst RHF v/ Ullevål Universitetssykehus er systemeier for NISSY.
Datatilsynet pekte i sin vurdering på at det manglet databehandlingsavtaler som er påkrevd i henhold til § 18 i helseregisterloven. Norsk Helsenett AS, som drifter NISSY, har nå inngått databehandlingsavtale med alle helseforetak som har kjørekontor og/eller oppgjørskontor. Dette skal sikre forsvarlig bruk av NISSY og at det etableres rutiner som sikrer at pasientinformasjon håndteres i tråd med helseregisterlovens bestemmelser. Slik vi ser det, vil dette også ivareta Datatilsynets vurdering om at Helse Sør‑Øst RHF har instruert underliggende helseforetak om å benytte ordninger som strider mot gjeldende regelverk. Jeg har vært i kontakt med Helse Sør‑Øst som nå arbeider med å lukke avvikene som er påpekt av Datatilsynet. Flere av de forholdene som ble påpekt, er allerede utbedret, og det foreligger planer for når og hvordan de resterende avvikene skal lukkes. Dette er også meddelt Datatilsynet.
Departementet er nå i dialog med Datatilsynet for å avklare om de opplysningene som skal behandles i forbindelse med oppgjør ved pasienttransport, er å anse som helseopplysninger, og dermed bør etableres som et helseregister. Det vil i så fall innebære at helseregisterloven skal anvendes ved bruk av NISSY. Det vil også bli vurdert om et slikt register skal etableres med hjemmel i konsesjon.
Det er viktig for meg at pasientopplysninger blir behandlet på en god og betryggende måte. Det gjelder også for opplysninger som registreres i NISSY, selv om de ikke anses å være spesielt sensitive – det gjelder fødselsnummer, navn, hente‑ og leveringsadresse. Det er viktig at opplysningene ikke oppbevares lenger enn det som er nødvendig for å administrere pasienttransport og egenandeler. Fødselsnummer lagres for øvrig kryptert.
Jeg er svært opptatt av at personvern og taushetsplikt blir godt ivaretatt i helsesektoren. I NISSY registreres det begrenset informasjon om hver enkelt pasient, men forvaltningen av dette, både hos systemeier, driftsansvarlig og hos databehandlingsansvarlig, skal være forsvarlig. Departementet vil, når dialogen med Datatilsynet er avsluttet, følge opp saken med relevante initiativ overfor Helse Sør‑Øst RHF.
Inge Lønning (H) [12:20:01]: Jeg takker statsråden for et utførlig og detaljert svar og er glad for at han tar utfordringen på stort alvor.
Det er selvfølgelig mulig å si, som statsråden gjør, at vanligvis vil ikke denne type informasjon være spesielt sensitiv. Men samtidig må man se i øynene at kunnskap om at navngitte pasienter over tid fraktes til bestemte behandlingssteder, gjør at uvedkommende vil kunne trekke slutninger om pasientens diagnose, kunne oppstille formodninger om det og sette rykter i omløp. Så under gitte omstendigheter er dette helt klart personfølsomme opplysninger.
Vil statsråden kunne garantere at de tiltak han har bedt Helse Sør‑Øst om å iverksette, vil være på plass i løpet av rimelig kort tid?
Statsråd Bjarne Håkon Hanssen [12:21:04]: Jeg er enig med representanten Lønning i at selv om det som registreres her ikke i seg selv er svært sensitive opplysninger, er det allikevel all grunn til aktsomhet overfor opplysningene, og det er nettopp det jeg prøver å gi uttrykk for at vi har.
Jeg har ikke fått noen nærmere tidsangivelse for når man regner med å kunne være ferdig med den dialogen vi nå er i gang med overfor Datatilsynet. Derfor må jeg be om å få komme tilbake til representanten Lønning med en vurdering av tidsperspektivet. Men jeg forutsetter jo at det skjer uten opphold, altså at det skjer så raskt som mulig. Men definisjonen av begrepet «så raskt som mulig» må jeg da få lov til å komme tilbake til.
Inge Lønning (H) [12:22:01]: Jeg takker for svaret.
Jeg har lest rapporten fra Datatilsynet, og det er ganske sterk kost. Datatilsynet er meget krass på de punktene hvor man påpeker at her er lovgivningens betingelser ikke oppfylt. Dels er det gjort ting som er direkte i strid med eksisterende lovgivning.
Vil statsråden ut fra erfaringene med denne saken, som jeg da regner med blir korrigert så raskt og effektivt som mulig, også overveie mer generelt å gå ut til helsetjenesten med en påminnelse om at lovgivningen på dette området skal overholdes, og at det ikke er akseptabelt at man ikke er påpasselig med å gjøre det?
Statsråd Bjarne Håkon Hanssen [12:22:58]: Mitt generelle inntrykk er vel at helseforetakene, sykehusene og helheten i helsetjenesten er opptatt av de spørsmålene som Lønning tar opp, men det kan godt være at Lønning har et poeng i at det bør poengteres og understrekes. Jeg vil ta med meg den oppfordringen fra Lønning og etterspørre hvorvidt vi bør, og i så fall hvordan vi kan sende det signalet ut nok en gang til Helse‑Norge.