Høringssvar fra Asker kommune til høringsuttalelse forskrift brukerplan
Vi viser til høringsnotat datert 28.11.2022 hvor det bes om høringsinstansenes høringssvar til forskrift om BrukerPlan.
Om høringen Helse- og omsorgsdepartementet foreslår å forskriftsfeste et helseregister som skal ha til hensikt å kartlegge brukere av kommunale tjenester for rus og psykisk helse.
Registeret har sitt opphav i et kartleggingsverktøy utarbeidet av Helse Fonna HF som heter BrukerPlan, og som har vært i bruk siden 2006. Frem til 2018 var behandlingen av personopplysninger regulert ved konsesjon fra Datatilsynet. Etter 2018 har behandlingen vært basert på vedtak om dispensasjon fra taushetsplikt.
Asker kommunes uttalelse er utarbeidet med bakgrunn i innspill fra den kommunale arbeids- og velferdsforvaltningen i NAV, Barnevernstjenesten, Velferdsforvaltningen, Psykisk helse- og rustjenester og personvernombudet.
Overordnet er Asker kommune enig i at BrukerPlan er et viktig verktøy for å sikre gode tjenester for personer med rusmiddelproblemer og / eller psykisk helseproblemer. Datagrunnlaget gir også styringsgrunnlag for både den kommunale rus- og psykisk helsepolitikken og for planlegging og utvikling av tjenestetilbudet.
Mulighet for innhenting av opplysninger fra den kommunale arbeids- og velferdsforvaltningen og barnevernstjenesten vil gi en viktig utvidelse av det samlede kunnskapsgrunnlaget, slik som beskrevet i høringsbrevet. Dette vil kunne gi brukergruppene innen psykisk helse- og rus bedre tjenester på sikt.
Asker kommune har likevel flere merknader til høringsnotatet knyttet til personvernhensyn. Disse vil bli beskrevet i den videre framstillingen.
Overordnede merknader med hensyn til personvernhensynet
Behandlingen av person- og helseopplysninger i Brukerplan har siden 2018 foregått uten en skikkelig gjennomgang av hvordan behandlingen etterlever personvernregelverket. Det er slik sett positivt at departementet tar initiativ til å få på plass et rettslig grunnlag, og en overordnet regulering som kan bidra til åpenhet om behandlingen og enhetlige retningslinjer for bruk i tråd med personvernregelverket.
Det er også positivt at departementet uttrykkelig anerkjenner at registeret er et inngrep i de registrertes personvern, og peker på risikoer for at rettigheter ikke blir ivaretatt. Som en konsekvens av dette foreslår departementet også spesifikke tiltak som departementet mener kan være egnet til å kompensere for dette.
Når det er sagt så er det flere sider ved den foreslåtte reguleringen som det er grunn til å stille spørsmål ved med hensyn til etterlevelse av personvernforordningens grunnleggende prinsipper og reell ivaretagelse av de registrertes rettigheter. Dette gjelder særlig prinsippene om lovlighet, rettferdighet, åpenhet og ansvarlighet. Dette kommenteres nærmere nedenfor. I tillegg har vi noen merknader hva mangler knyttet til innebygd personvern og informasjonssikkerhet.
Ansvarlighetsprinsippet
Ansvarlighetsprinsippet i personvernforordningen er et overordnet prinsipp som fastslår at den behandlingsansvarlige skal være ansvarlig for å kunne demonstrere etterlevelse av alle personvernprinsippene.
Asker kommune mener at ansvarsforholdene mellom Helsedirektoratet, Helse Fonna HF og kommunene ikke er tilstrekkelig avklart i det foreliggende utkastet til forskrift.
I forslag til forskrift § 3 står det at Helsedirektoratet bestemmer hvem som er dataansvarlig for behandling av opplysninger i Brukerplan, og at den enkelte kommune er dataansvarlig for egen behandling av opplysninger. I høringsnotatet kommer det frem at det er ønskelig at ansvaret for løsningen i dag ligger hos Helse Fonna HF, men at det også er ønskelig med en viss fleksibilitet med hensyn til teknologiløsning og plasseringen av ansvar. Av denne grunn nevnes ikke dataansvarlig spesifikt. Når det gjelder kommunens ansvar legges det til grunn at hver enkelt kommune tar det ansvaret som følger av forordningen foir sin del av behandlingen.
Asker kommune ønsker å bemerke at mye av ansvaret for å ivareta de registrertes rettigheter i forbindelse med bruk av Brukerplan legges til kommunen. Dette gjelder spesielt ansvaret for å gi informasjon om registeret og muligheten til å motsette seg registrering, samt håndtering av at noen motsetter seg registrering og sletting av koblingsnøkkel etter registrering. Det er også viktig å påpeke at nettopp disse aktivitetene utgjør grunnmuren i lovligheten av Brukerplan. At kommunene oppfyller ansvaret som er lagt til dem er dermed avgjørende for at bruken av Brukerplan skal være lovlig.
Vi må dessuten bemerke at registreringen i kartleggingsverktøyet i seg selv er en ekstra operasjon som må gjøres av kommunen uten at dette kommer verken kommunen eller tjenestemottakerne direkte til gode.
Asker kommune mener at departementet eller direktoratet må ta et større ansvar for at pliktene etter personvernforordningen og de registrertes rettigheter blir innfridd ved bruken ab Brukerplan.
Prinsippene om lovlighet, rettferdighet og åpenhetAt en behandling skal være lovlig, rettferdig og at det skal være åpenhet om den, er et gjennomgående prinsipp i personvernforordningen som gir seg uttrykk i flere plikter og rettigheter.
For at innbyggerne i Asker kommune skal ha tillit til at kommunen ivaretar deres rettigheter på en god måte er det avgjørende at bruk av deres person- og helseopplysninger er godt forankret i regelverk og forutsigbar for de det gjelder.
Asker kommune mener at de nevnte prinsipper, og særlig de registrertes rett til informasjon og grad av selvbestemmelse, ikke er tilstrekkelig ivaretatt i det foreliggende utkastet til forskrift.
Når det gjelder selvbestemmelse så fraviker departementet hovedregelen om at det skal være frivillig å la seg kartlegge i helseregistre som har kvalitetssikring og forskning som hovedformål. Ikke nok med at brukerne ikke får valget selv, men de som skal registreres skal heller ikke gis rett til å reservere seg. Forslaget innebærer en såkalt «rett til å motsette seg» at helseopplysningene behandles til dette formålet. Dette er en begrenset rettighet som kun gjelder for selve overføringen av opplysninger til Brukerplan, og som i realiteten fratar de registrerte de øvrige rettighetene de har etter personvernforordningen – f.eks innsyn, retting, sletting.
Begrunnelsen departementet gir for at samtykke er lite hensiktsmessig er at «(…) det er vanskelig å få tak i personer ved registreringen da dette er en utsatt gruppe som ofte ikke kan nås. De kan også ha utfordringer med å ta standpunkt til en forespørsel om kartlegging og samtykke.»
Det er ikke gitt noen spesiell begrunnelse for hvorfor det ikke gis rett til reservasjon annet enn at dette er en rett som det stilles krav til er reell, og det det vurderes som vanskelig å oppfylle den.
Asker kommune mener høringsnotatet ikke inneholder en tilstrekkelig begrunnelse for å fravike både hovedregelen om samtykke og rett til reservasjon.
Når det gjelder åpenhet så fremmer departementet retten til å motsette seg, og den informasjonen brukerne har rett til i den forbindelse, som et kompenserende tiltak for lite selvbestemmelse. De skriver at «pasientene/ brukerne (må) få vite om at opplysninger om dem vil bli overført og registrert i Brukerplan. De må også få vite hvordan opplysningene kan brukes og hvem de eventuelt kan bli utlevert til.»
Oppgaven med å informere brukerne er lagt til kommunen. Med bakteppet som departementet selv beskriver, med hensyn til hvor vanskelig det er å kommunisere med denne utsatte gruppen, er dette informasjonsarbeidet en krevende oppgave.
Asker kommune mener departementet eller direktoratet bør ta et større ansvar for å legge til rette for at disse pliktene blir overkommelige å ivareta for kommunene. Dette kan for eksempel gjøres ved at det fra sentralt hold utarbeides rutiner for hvilken informasjon som skal gis og på hvilken måte. Når det er tale om en sårbar og utsatt gruppe er det spesielt viktig at informasjon og informasjonskanal er tilpasset målgruppen.
En annen måte å avhjelpe kommunenes arbeidsbyrde, og samtidig øke sannsynligheten for at regelverket etterleves, kan være å stille krav til at løsningen som brukes er bygd etter prinsippene om innebygd personvern. Dette betyr at løsningen for eksempel bør inneholde funksjonalitet for å reelt sett ivaretar de registrertes rettigheter.
Et eksempel kan være at avkryssing for at informasjon er gitt til de registrerte er obligatorisk, slik at du ikke kommer videre i registreringen uten at dette er gjort. Det kan også ligge tilgjengelig maler for infoskriv, visualisering av informasjonen som skal gis i form av film eller tegneserie, etc.
Informasjonssikkerhet
Det er positivt at departementet foreslår å forskriftsfeste en henvisning til forordningen artikkel 32 om informasjonssikkerhet. Det forutsettes dermed at dataansvarlig gjennomfører tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til at det som behandles er svært sensitive opplysninger.
Det som ikke er så betryggende er at praksis beskrevet i brukermanual for Brukerplan strider mot grunnleggende prinsipper innen informasjonssikkerhet. Det legges for eksempel opp til at alle «kartleggere» (de kommunalt ansatte som registrerer inn personopplysningene) skal bruke samme brukernavn og passord. For kommuner som jobber mye med å etablere god sikkerhetskultur er det nedslående at tjenester som tilbys fra Helse- og omsorgsdepartementet legger opp til denne type praksis.
Vi viser til høringsnotat datert 28.11.2022 hvor det bes om høringsinstansenes høringssvar til forskrift om BrukerPlan.
Om høringen Helse- og omsorgsdepartementet foreslår å forskriftsfeste et helseregister som skal ha til hensikt å kartlegge brukere av kommunale tjenester for rus og psykisk helse.
Registeret har sitt opphav i et kartleggingsverktøy utarbeidet av Helse Fonna HF som heter BrukerPlan, og som har vært i bruk siden 2006. Frem til 2018 var behandlingen av personopplysninger regulert ved konsesjon fra Datatilsynet. Etter 2018 har behandlingen vært basert på vedtak om dispensasjon fra taushetsplikt.
Asker kommunes uttalelse er utarbeidet med bakgrunn i innspill fra den kommunale arbeids- og velferdsforvaltningen i NAV, Barnevernstjenesten, Velferdsforvaltningen, Psykisk helse- og rustjenester og personvernombudet.
Overordnet er Asker kommune enig i at BrukerPlan er et viktig verktøy for å sikre gode tjenester for personer med rusmiddelproblemer og / eller psykisk helseproblemer. Datagrunnlaget gir også styringsgrunnlag for både den kommunale rus- og psykisk helsepolitikken og for planlegging og utvikling av tjenestetilbudet.
Mulighet for innhenting av opplysninger fra den kommunale arbeids- og velferdsforvaltningen og barnevernstjenesten vil gi en viktig utvidelse av det samlede kunnskapsgrunnlaget, slik som beskrevet i høringsbrevet. Dette vil kunne gi brukergruppene innen psykisk helse- og rus bedre tjenester på sikt.
Asker kommune har likevel flere merknader til høringsnotatet knyttet til personvernhensyn. Disse vil bli beskrevet i den videre framstillingen.
Overordnede merknader med hensyn til personvernhensynet
Behandlingen av person- og helseopplysninger i Brukerplan har siden 2018 foregått uten en skikkelig gjennomgang av hvordan behandlingen etterlever personvernregelverket. Det er slik sett positivt at departementet tar initiativ til å få på plass et rettslig grunnlag, og en overordnet regulering som kan bidra til åpenhet om behandlingen og enhetlige retningslinjer for bruk i tråd med personvernregelverket.
Det er også positivt at departementet uttrykkelig anerkjenner at registeret er et inngrep i de registrertes personvern, og peker på risikoer for at rettigheter ikke blir ivaretatt. Som en konsekvens av dette foreslår departementet også spesifikke tiltak som departementet mener kan være egnet til å kompensere for dette.
Når det er sagt så er det flere sider ved den foreslåtte reguleringen som det er grunn til å stille spørsmål ved med hensyn til etterlevelse av personvernforordningens grunnleggende prinsipper og reell ivaretagelse av de registrertes rettigheter. Dette gjelder særlig prinsippene om lovlighet, rettferdighet, åpenhet og ansvarlighet. Dette kommenteres nærmere nedenfor. I tillegg har vi noen merknader hva mangler knyttet til innebygd personvern og informasjonssikkerhet.
Ansvarlighetsprinsippet
Ansvarlighetsprinsippet i personvernforordningen er et overordnet prinsipp som fastslår at den behandlingsansvarlige skal være ansvarlig for å kunne demonstrere etterlevelse av alle personvernprinsippene.
Asker kommune mener at ansvarsforholdene mellom Helsedirektoratet, Helse Fonna HF og kommunene ikke er tilstrekkelig avklart i det foreliggende utkastet til forskrift.
I forslag til forskrift § 3 står det at Helsedirektoratet bestemmer hvem som er dataansvarlig for behandling av opplysninger i Brukerplan, og at den enkelte kommune er dataansvarlig for egen behandling av opplysninger. I høringsnotatet kommer det frem at det er ønskelig at ansvaret for løsningen i dag ligger hos Helse Fonna HF, men at det også er ønskelig med en viss fleksibilitet med hensyn til teknologiløsning og plasseringen av ansvar. Av denne grunn nevnes ikke dataansvarlig spesifikt. Når det gjelder kommunens ansvar legges det til grunn at hver enkelt kommune tar det ansvaret som følger av forordningen foir sin del av behandlingen.
Asker kommune ønsker å bemerke at mye av ansvaret for å ivareta de registrertes rettigheter i forbindelse med bruk av Brukerplan legges til kommunen. Dette gjelder spesielt ansvaret for å gi informasjon om registeret og muligheten til å motsette seg registrering, samt håndtering av at noen motsetter seg registrering og sletting av koblingsnøkkel etter registrering. Det er også viktig å påpeke at nettopp disse aktivitetene utgjør grunnmuren i lovligheten av Brukerplan. At kommunene oppfyller ansvaret som er lagt til dem er dermed avgjørende for at bruken av Brukerplan skal være lovlig.
Vi må dessuten bemerke at registreringen i kartleggingsverktøyet i seg selv er en ekstra operasjon som må gjøres av kommunen uten at dette kommer verken kommunen eller tjenestemottakerne direkte til gode.
Asker kommune mener at departementet eller direktoratet må ta et større ansvar for at pliktene etter personvernforordningen og de registrertes rettigheter blir innfridd ved bruken ab Brukerplan.
Prinsippene om lovlighet, rettferdighet og åpenhetAt en behandling skal være lovlig, rettferdig og at det skal være åpenhet om den, er et gjennomgående prinsipp i personvernforordningen som gir seg uttrykk i flere plikter og rettigheter.
For at innbyggerne i Asker kommune skal ha tillit til at kommunen ivaretar deres rettigheter på en god måte er det avgjørende at bruk av deres person- og helseopplysninger er godt forankret i regelverk og forutsigbar for de det gjelder.
Asker kommune mener at de nevnte prinsipper, og særlig de registrertes rett til informasjon og grad av selvbestemmelse, ikke er tilstrekkelig ivaretatt i det foreliggende utkastet til forskrift.
Når det gjelder selvbestemmelse så fraviker departementet hovedregelen om at det skal være frivillig å la seg kartlegge i helseregistre som har kvalitetssikring og forskning som hovedformål. Ikke nok med at brukerne ikke får valget selv, men de som skal registreres skal heller ikke gis rett til å reservere seg. Forslaget innebærer en såkalt «rett til å motsette seg» at helseopplysningene behandles til dette formålet. Dette er en begrenset rettighet som kun gjelder for selve overføringen av opplysninger til Brukerplan, og som i realiteten fratar de registrerte de øvrige rettighetene de har etter personvernforordningen – f.eks innsyn, retting, sletting.
Begrunnelsen departementet gir for at samtykke er lite hensiktsmessig er at «(…) det er vanskelig å få tak i personer ved registreringen da dette er en utsatt gruppe som ofte ikke kan nås. De kan også ha utfordringer med å ta standpunkt til en forespørsel om kartlegging og samtykke.»
Det er ikke gitt noen spesiell begrunnelse for hvorfor det ikke gis rett til reservasjon annet enn at dette er en rett som det stilles krav til er reell, og det det vurderes som vanskelig å oppfylle den.
Asker kommune mener høringsnotatet ikke inneholder en tilstrekkelig begrunnelse for å fravike både hovedregelen om samtykke og rett til reservasjon.
Når det gjelder åpenhet så fremmer departementet retten til å motsette seg, og den informasjonen brukerne har rett til i den forbindelse, som et kompenserende tiltak for lite selvbestemmelse. De skriver at «pasientene/ brukerne (må) få vite om at opplysninger om dem vil bli overført og registrert i Brukerplan. De må også få vite hvordan opplysningene kan brukes og hvem de eventuelt kan bli utlevert til.»
Oppgaven med å informere brukerne er lagt til kommunen. Med bakteppet som departementet selv beskriver, med hensyn til hvor vanskelig det er å kommunisere med denne utsatte gruppen, er dette informasjonsarbeidet en krevende oppgave.
Asker kommune mener departementet eller direktoratet bør ta et større ansvar for å legge til rette for at disse pliktene blir overkommelige å ivareta for kommunene. Dette kan for eksempel gjøres ved at det fra sentralt hold utarbeides rutiner for hvilken informasjon som skal gis og på hvilken måte. Når det er tale om en sårbar og utsatt gruppe er det spesielt viktig at informasjon og informasjonskanal er tilpasset målgruppen.
En annen måte å avhjelpe kommunenes arbeidsbyrde, og samtidig øke sannsynligheten for at regelverket etterleves, kan være å stille krav til at løsningen som brukes er bygd etter prinsippene om innebygd personvern. Dette betyr at løsningen for eksempel bør inneholde funksjonalitet for å reelt sett ivaretar de registrertes rettigheter.
Et eksempel kan være at avkryssing for at informasjon er gitt til de registrerte er obligatorisk, slik at du ikke kommer videre i registreringen uten at dette er gjort. Det kan også ligge tilgjengelig maler for infoskriv, visualisering av informasjonen som skal gis i form av film eller tegneserie, etc.
Informasjonssikkerhet
Det er positivt at departementet foreslår å forskriftsfeste en henvisning til forordningen artikkel 32 om informasjonssikkerhet. Det forutsettes dermed at dataansvarlig gjennomfører tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til at det som behandles er svært sensitive opplysninger.
Det som ikke er så betryggende er at praksis beskrevet i brukermanual for Brukerplan strider mot grunnleggende prinsipper innen informasjonssikkerhet. Det legges for eksempel opp til at alle «kartleggere» (de kommunalt ansatte som registrerer inn personopplysningene) skal bruke samme brukernavn og passord. For kommuner som jobber mye med å etablere god sikkerhetskultur er det nedslående at tjenester som tilbys fra Helse- og omsorgsdepartementet legger opp til denne type praksis.