Bakgrunn

I dag opprettes det stadig nye helseregistre på ulike nivåer i samfunnet. Vi har store nasjonale registre som har skaffet til veie nødvendig og verdifull kunnskap om befolkningens helse. Men vi ser et vedvarende, økende press for å gjøre det enklere å samle, bruke og oppbevare personopplysninger knyttet til helse. I vår iver etter å kartlegge befolkningen risikerer vi at folk mister tillit til helsevesenet. IPLOS er et nytt register som brukes for å samle inn personopplysninger om brukere som mottar hjemmebasert omsorg. Forslagsstillerne har mottatt mange henvendelser fra personer som er engstelige. I forbindelse med IPLOS-registreringen, som i dag skjer pseudonymt sentralt, er det funksjonshemmede som vegrer seg for å ta kontakt med helsetjenesten fordi de føler seg tvunget til å avdekke svært personlige og sensitive detaljer. Dette viser at selv for pseudonyme registre viser erfaring at enkelte er engstelige for å stå i registeret med sensitive personopplysninger. Erfaringene med IPLOS hittil er sannsynligvis bare en forsmak på problemstillingene knyttet til Norsk Pasientregister (NPR).

At folk ikke lenger tør å være ærlige med legen sin eller mister tilliten til sine behandlere, kan medføre at enhver tillit til helseforvaltningen går tapt. En eneste feil kan medføre uopprettelige konsekvenser for hele befolkningen.

Det er avgjørende at helsevesenet har tillit i befolkningen. Engstelse og utrygghet kan oppstå når opplysninger som er gitt i fortrolighet til helsepersonell blir videreformidlet til et sentralt register uten at pasienten har samtykket i det eller vet om det.

Datatilsynet er av den oppfatning at valg av registerform er avgjørende for å avhjelpe den personvernulempen som etableringen av et personentydig NPR i seg selv innebærer, og anbefaler derfor at pseudonym benyttes i stedet for fødselsnummer.

Personvernet kan ikke ivaretas like godt i et personidentifiserbart register som i et pseudonymt register. Pseudonymt register er et forholdsmessig bedre alternativ som kan ivareta både samfunnets interesse i bedre tilgjengelighet og enkeltindividets interesse i godt personvern.

Norsk Pasientregister (NPR) er et nytt register som skal følge befolkningen fra fødsel til grav. NPR vil inneholde en stor samling med sensitive opplysninger og planlegges som et register som skal følge pasienten fra fødsel til død og deretter oppbevares permanent. I fremtidens informasjonsteknologiske samfunn kan vi ikke utelukke at denne personinformasjonen vil kunne komme på avveie. Det er sannsynligvis bare et spørsmål om tid før noe slikt vil kunne skje. Konsekvensene av feil vil kunne bli alvorlig når den valgte registerform gjør det enklere å finne tilbake til enkeltpersonen bak opplysningene. Dersom det velges en registerform hvor det er åpnet for tilgang til identifiserende opplysninger, vil det også være enkelt å ta ut opplysningene til illegitime formål. Misbruksfaren øker drastisk. Eksemplene på mulige feil og misbruk er mange:

• Uautorisert oppslag (sniking),

• Uautorisert utlevering - opplysningene kommer på avveie med vilje,

• Utilsiktet utlevering grunnet: menneskelig feil, svikt i rutiner, teknisk feil og angrep fra utsiden.

En pseudonym løsning er et betydelig hinder mot dette. Skadevirkningen vil bli langt mindre alvorlig dersom opplysninger fra et pseudonymt helseregister skulle komme på avveie. Da vil ikke uvedkommende kunne vite hvem opplysningene gjelder, bare at de gjelder ugjenkjennelige individer med kryptert identitet (bestående av et utall tegn eller symboler). Lekkasjefaren og farer som hacking og annen uautorisert tilgang gir, skaper derfor langt mindre problemer for pasientene. Muligheten til å sammenstille personopplysninger blir stadig bedre. Risikobildet for alle helseregistre vil endres med et NPR med fødselsnummer, fordi det vil bli enklere å sammenstille opplysninger og identifisere enkeltmennesker også i disse registrene. Et NPR med fødselsnummer kan fremstå som et nøkkelregister for innhenting av annen identifiserbar informasjon. Etter hvert vil mange personer kunne ha tilgang til personidentifiserbare helseopplysninge i NPR, ikke bare NPR-ansatte. Hver gang NPR i personidentifiserbar form blir koplet mot et annet personidentifiserbart register, for eksempel ett eller flere forskningsregistre, vil nye og stadig mer omfattende personidentifiserbare registre oppstå, og mange vil etter hvert ha de sensitive personidentifiserbare helseopplysningene fra NPR. Også av den grunn bør NPR være pseudonymt istedenfor personidentifiserbart.

Rammebetingelsene for NPR er blitt endret blant annet gjennom utvidelse av registerets formål. NPR skal oppfylle mange forskjellige formål, alle med behov for ulike opplysninger. Registerets innhold vil senere trolig bli utvidet. Opplysninger vil bli brukt dersom man har dem, også til andre formål enn det man opprinnelig planla.

Pseudonymisering er en personvernfremmende teknologi. Etableringen av NPR er en mulighet for å benytte dette verktøyet uten at det i vesentlig grad går ut over formålet med NPR. Det fremstår som uklart hvorfor den pseudonyme løsningen ble ansett hensiktsmessig i forbindelse med opprettelsen av Reseptregisteret og IPLOS-registeret, mens denne linjen ikke følges opp for NPR som er et register med et bredere nedslagsfelt hva gjelder antall registrerte og antall parametre sett i forhold til hverandre.

Med et pseudonymt register er det sikret, gjennom lovregulering (helseregisterloven), at det er forskjellige parter som må involveres før man kan gå tilbake til enkeltperson, i tillegg til tekniske hindringer. Et personidentifiserbart register reguleres i forskrift og sikres gjennom sikkerhetstiltak hos registeransvarlig.

Det er en grunnleggende plikt å håndtere personopplysninger på den minst inngripende måten når denne samtidig i stor grad tilfredsstiller formålet. Et pseudonymt register er klart mindre inngripende enn et identifiserbart register.

Forslag

På denne bakgrunn fremmes følgende

forslag:

Stortinget ber Regjeringen gjennomgå alle nyopprettede helseregistre og fremme forslag om at registeropplysninger skal lagres med kryptert identitet, at kryptering skal foretas av en utenforstående, uavhengig instans, og at samkjøring av registre skal skje ved hjelp av krypterte identiteter.