Til Stortinget
I dag opprettes det stadig nye helseregistre på ulike
nivåer i samfunnet. Vi har store nasjonale registre som
har skaffet til veie nødvendig og verdifull kunnskap om
befolkningens helse. Men vi ser et vedvarende, økende press
for å gjøre det enklere å samle, bruke
og oppbevare personopplysninger knyttet til helse. I vår
iver etter å kartlegge befolkningen risikerer vi at folk
mister tillit til helsevesenet. IPLOS er et nytt register som brukes
for å samle inn personopplysninger om brukere som mottar
hjemmebasert omsorg. Forslagsstillerne har mottatt mange henvendelser
fra personer som er engstelige. I forbindelse med IPLOS-registreringen,
som i dag skjer pseudonymt sentralt, er det funksjonshemmede som
vegrer seg for å ta kontakt med helsetjenesten fordi de
føler seg tvunget til å avdekke svært
personlige og sensitive detaljer. Dette viser at selv for pseudonyme
registre viser erfaring at enkelte er engstelige for å stå i
registeret med sensitive personopplysninger. Erfaringene med IPLOS
hittil er sannsynligvis bare en forsmak på problemstillingene
knyttet til Norsk Pasientregister (NPR).
At folk ikke lenger tør å være ærlige
med legen sin eller mister tilliten til sine behandlere, kan medføre
at enhver tillit til helseforvaltningen går tapt. En eneste
feil kan medføre uopprettelige konsekvenser for hele befolkningen.
Det er avgjørende at helsevesenet har tillit i befolkningen.
Engstelse og utrygghet kan oppstå når opplysninger
som er gitt i fortrolighet til helsepersonell blir videreformidlet
til et sentralt register uten at pasienten har samtykket i det eller
vet om det.
Datatilsynet er av den oppfatning at valg av registerform er
avgjørende for å avhjelpe den personvernulempen
som etableringen av et personentydig NPR i seg selv innebærer,
og anbefaler derfor at pseudonym benyttes i stedet for fødselsnummer.
Personvernet kan ikke ivaretas like godt i et personidentifiserbart
register som i et pseudonymt register. Pseudonymt register er et
forholdsmessig bedre alternativ som kan ivareta både samfunnets
interesse i bedre tilgjengelighet og enkeltindividets interesse
i godt personvern.
Norsk Pasientregister (NPR) er et nytt register som skal følge
befolkningen fra fødsel til grav. NPR vil inneholde en
stor samling med sensitive opplysninger og planlegges som et register
som skal følge pasienten fra fødsel til død
og deretter oppbevares permanent. I fremtidens informasjonsteknologiske samfunn
kan vi ikke utelukke at denne personinformasjonen vil kunne komme
på avveie. Det er sannsynligvis bare et spørsmål
om tid før noe slikt vil kunne skje. Konsekvensene av feil
vil kunne bli alvorlig når den valgte registerform gjør
det enklere å finne tilbake til enkeltpersonen bak opplysningene. Dersom
det velges en registerform hvor det er åpnet for tilgang
til identifiserende opplysninger, vil det også være
enkelt å ta ut opplysningene til illegitime formål.
Misbruksfaren øker drastisk. Eksemplene på mulige
feil og misbruk er mange:
Uautorisert oppslag (sniking),
Uautorisert utlevering - opplysningene kommer på avveie
med vilje,
Utilsiktet utlevering grunnet: menneskelig feil, svikt
i rutiner, teknisk feil og angrep fra utsiden.
En pseudonym løsning er et betydelig hinder mot dette.
Skadevirkningen vil bli langt mindre alvorlig dersom opplysninger
fra et pseudonymt helseregister skulle komme på avveie.
Da vil ikke uvedkommende kunne vite hvem opplysningene gjelder,
bare at de gjelder ugjenkjennelige individer med kryptert identitet
(bestående av et utall tegn eller symboler). Lekkasjefaren
og farer som hacking og annen uautorisert tilgang gir, skaper derfor
langt mindre problemer for pasientene. Muligheten til å sammenstille
personopplysninger blir stadig bedre. Risikobildet for alle helseregistre
vil endres med et NPR med fødselsnummer, fordi det vil
bli enklere å sammenstille opplysninger og identifisere
enkeltmennesker også i disse registrene. Et NPR med fødselsnummer
kan fremstå som et nøkkelregister for innhenting
av annen identifiserbar informasjon. Etter hvert vil mange personer
kunne ha tilgang til personidentifiserbare helseopplysninge i NPR,
ikke bare NPR-ansatte. Hver gang NPR i personidentifiserbar form
blir koplet mot et annet personidentifiserbart register, for eksempel ett
eller flere forskningsregistre, vil nye og stadig mer omfattende
personidentifiserbare registre oppstå, og mange vil etter
hvert ha de sensitive personidentifiserbare helseopplysningene fra
NPR. Også av den grunn bør NPR være pseudonymt
istedenfor personidentifiserbart.
Rammebetingelsene for NPR er blitt endret blant annet gjennom
utvidelse av registerets formål. NPR skal oppfylle mange
forskjellige formål, alle med behov for ulike opplysninger.
Registerets innhold vil senere trolig bli utvidet. Opplysninger
vil bli brukt dersom man har dem, også til andre formål
enn det man opprinnelig planla.
Pseudonymisering er en personvernfremmende teknologi. Etableringen
av NPR er en mulighet for å benytte dette verktøyet
uten at det i vesentlig grad går ut over formålet
med NPR. Det fremstår som uklart hvorfor den pseudonyme
løsningen ble ansett hensiktsmessig i forbindelse med opprettelsen
av Reseptregisteret og IPLOS-registeret, mens denne linjen ikke
følges opp for NPR som er et register med et bredere nedslagsfelt
hva gjelder antall registrerte og antall parametre sett i forhold
til hverandre.
Med et pseudonymt register er det sikret, gjennom lovregulering
(helseregisterloven), at det er forskjellige parter som må involveres
før man kan gå tilbake til enkeltperson, i tillegg
til tekniske hindringer. Et personidentifiserbart register reguleres
i forskrift og sikres gjennom sikkerhetstiltak hos registeransvarlig.
Det er en grunnleggende plikt å håndtere personopplysninger
på den minst inngripende måten når denne
samtidig i stor grad tilfredsstiller formålet. Et pseudonymt
register er klart mindre inngripende enn et identifiserbart register.
På denne bakgrunn fremmes følgende
forslag:
Stortinget ber Regjeringen gjennomgå alle nyopprettede
helseregistre og fremme forslag om at registeropplysninger skal
lagres med kryptert identitet, at kryptering skal foretas av en
utenforstående, uavhengig instans, og at samkjøring
av registre skal skje ved hjelp av krypterte identiteter.
16. november 2006