Spesielt om helseopplysninger
Helseopplysninger er taushetsbelagte opplysninger, og helsepersonell er underlagt en taushetsplikt. I noen situasjoner vil andre interesser likevel kunne veie tyngre enn hensynet til pasientens behov for konfidensialitet. Helsepersonelloven gjør derfor noen unntak fra/begrensninger i taushetsplikten slik at helsepersonell kan ha rett, og i noen tilfeller også plikt, til å gi opplysninger om pasientforhold til politiet og andre nødetater.
Konkret åpner helsepersonelloven § 23 nr. 4 for unntak fra taushetsplikten når tungtveiende offentlige interesser gjør det legitimt at opplysninger viderebringes. Det kan tenkes at E-tjenesten kan benytte denne hjemmelen overfor helsepersonell for å få tilgang til informasjon. Når det gjelder tilgang til helseopplysninger som ikke viderebringes av helsepersonell, men som er trafikk som går over landegrensen, er ikke reglene om helsepersonells taushetsplikt relevante ettersom det ikke handler om noe helsepersonell gjør. Derimot gjelder en taushetsrett for den opplysningene gjelder.
Et forslag om DGF som omfatter helseopplysninger antas å ville gå langt videre enn de gjeldende reglene i helsepersonelloven som vil gjelde dersom E-tjenesten går mot helsepersonell for å få informasjon. Det vil derfor være behov for en tydelig hjemmel i lov for å legitimere bruddet på taushetsretten mht. helseopplysninger som oppstår i en slik situasjon, ettersom myndighetenes inngrep overfor den enkelte må ha grunnlag i lov (legalitetsprinsippet).
Vi ønsker å belyse noen forhold knyttet til helseopplysningenes karakter og hvilke vurderinger vi gjør rundt foreslåtte DGF dersom dette også vil komme til å omfatte konfidensielle helseopplysninger. Det er et faktum at helseopplysninger kommuniseres gjennom fiberkabler som går inn og ut av Norge, både over Helsenettet og med internett som bærer.
Helsenettet driftes av Norsk Helsenett og er en sikret digital arena for alle aktører i helsesektoren, der man kan utveksle informasjon på en trygg og sikret måte. Helsenettets primære infrastruktur er norsk. I deler av landet går imidlertid sekundærlinjer via nordiske naboland. Hensikten med dette er å skape høyest mulig sikkerhet for rask leveranse. Kommunikasjon over Helsenettet er primært kommunikasjon mellom forskjellige helsetjenestetilbydere. Denne er av kritisk karakter for hele den norske helsetjenesten, og behovet for konfidensialitet kan ikke overdrives.
Konkret åpner helsepersonelloven § 23 nr. 4 for unntak fra taushetsplikten når tungtveiende offentlige interesser gjør det legitimt at opplysninger viderebringes. Det kan tenkes at E-tjenesten kan benytte denne hjemmelen overfor helsepersonell for å få tilgang til informasjon. Når det gjelder tilgang til helseopplysninger som ikke viderebringes av helsepersonell, men som er trafikk som går over landegrensen, er ikke reglene om helsepersonells taushetsplikt relevante ettersom det ikke handler om noe helsepersonell gjør. Derimot gjelder en taushetsrett for den opplysningene gjelder.
Et forslag om DGF som omfatter helseopplysninger antas å ville gå langt videre enn de gjeldende reglene i helsepersonelloven som vil gjelde dersom E-tjenesten går mot helsepersonell for å få informasjon. Det vil derfor være behov for en tydelig hjemmel i lov for å legitimere bruddet på taushetsretten mht. helseopplysninger som oppstår i en slik situasjon, ettersom myndighetenes inngrep overfor den enkelte må ha grunnlag i lov (legalitetsprinsippet).
Vi ønsker å belyse noen forhold knyttet til helseopplysningenes karakter og hvilke vurderinger vi gjør rundt foreslåtte DGF dersom dette også vil komme til å omfatte konfidensielle helseopplysninger. Det er et faktum at helseopplysninger kommuniseres gjennom fiberkabler som går inn og ut av Norge, både over Helsenettet og med internett som bærer.
Helsenettet driftes av Norsk Helsenett og er en sikret digital arena for alle aktører i helsesektoren, der man kan utveksle informasjon på en trygg og sikret måte. Helsenettets primære infrastruktur er norsk. I deler av landet går imidlertid sekundærlinjer via nordiske naboland. Hensikten med dette er å skape høyest mulig sikkerhet for rask leveranse. Kommunikasjon over Helsenettet er primært kommunikasjon mellom forskjellige helsetjenestetilbydere. Denne er av kritisk karakter for hele den norske helsetjenesten, og behovet for konfidensialitet kan ikke overdrives.
Helseopplysninger over internett
Krypterte helseopplysninger transporteres også over internett. Dette skjer allerede i dag, og på mange forskjellige måter:
Felles for alle eksemplene er at datatrafikken vil kunne gå gjennom fiberkabler ut og inn over den norske grensen, og at den derfor kan fanges opp av DGF, selv om brukerne befinner seg i Norge.
Digitale løsninger brukes i stor grad i tjenesten pr i dag, og vil bli benyttet i stadig større grad i årene som kommer. Direktoratet for e-helse er bekymret for hvilken langsiktig effekt det foreslåtte DGF kan ha for innbyggeres tillit til helsetjenesten som sådan, ikke bare bruken av digitale løsninger i tjenesten.
Lysne II-utvalgets rapport påpeker selv at det er påvist nedkjølingseffekter i befolkningen ved generell overvåkning i samfunnet (kap. 6.3).
I helsesektorens sammenheng vil en slik effekt ha den konsekvens at pasienter og pårørende over tid kan vegre seg for 1) å gi nødvendig informasjon som er avgjørende for riktig behandling, og 2) å bruke de digitale løsningene som sektoren tilbyr. Dette kan igjen medføre at de ikke får full del i tjenestetilbudet, når dette etter hvert blir mer og mer basert på digitale tjenester. Resultatet kan bli redusert verdi av den informasjonen som deles digitalt, redusert adopsjon av helsetjenester med integrerte digitale løsninger, samt kvalitetsreduksjon i helseutfall. På lang sikt kan dette utfordre helsetjenestens evne til å håndtere kjente kommende demografiske endringer som stiller helt nye krav til fremtidens offentlige helsetjeneste, der digitalisering anses som et vesentlig virkemiddel for å lykkes.
Foreslåtte DGF berører ikke bare pasienters personvern. DGF berører også helsepersonells personvern fordi personopplysninger om helsepersonell som yter helsetjenester, og som gjennom dette registrerer og behandler pasienters helseopplysninger, kan fanges opp av DGF.
Lysne II-utvalgets rapport presenterer ikke en reell risikoanalyse for hvilke effekter det foreslåtte DGF kan ha, herunder nedkjølingseffekter hos brukere. Vi mener at slike analyser er nødvendige før et DGF eventuelt vedtas. Dette for å balansere nytteverdien ved DGF med potensielle negative virkninger i samfunnet rundt, og for å identifisere risikoreduserende tiltak i god tid før eventuell implementering begynner. Risikoreduserende tiltak i denne sammenheng er tiltak som har til hensikt å bevare og bygge befolkningens tillit til helsesektorens digitale løsninger.
Norske helsetjenester er avhengig av å bevare og stadig forsterke brukernes tillit til de digitale løsningene som helsesektoren i stadig større grad vil basere seg på. Det er også et mål i seg selv å bidra til økt digital modenhet i befolkningen. Brukerne i denne sammenheng er både helsepersonell og privatpersoner. Foreslåtte DGF har stort potensial for å redusere reell og opplevd konfidensialitet i digital kommunikasjon med helseopplysninger, og representerer derfor et vesentlig risiko-område.
All transport av helseopplysninger er kryptert og sikret på tjenestenivå. Det betyr at opplysningene ikke uten videre er tilgjengelig for E-tjenesten med DGF. Lysne II-utvalgets rapport forklarer hvilke etterretningsmessige utfordringer kryptering av kommunikasjon representerer for DGF, og gir inntrykk av at E-tjenesten har eller vil søke å tilegne seg kapabiliteter for å omgå kryptering. Man går imidlertid ikke nærmere inn på hvilke kapabiliteter dette er (kap 4.5 og 8.3).
E-tjenestens ønske om å omgå kryptering kan synes forståelig fra et etterretningsperspektiv, men kan samtidig sies å representere en trussel i seg selv for de individene som helseopplysningene gjelder og de aktørene som har til oppgave å sikre kommunikasjonen av disse. Uavhengig av om E-tjenesten lykkes med å omgå sterk kryptering eller ikke, skaper motivasjonen til å omgå den en usikkerhet som i seg selv er egnet til å redusere tillit til at opplysningene forblir konfidensielle.
Etableringen av et DGF vil i seg selv representere risikoer for at data kommer på avveie. Når nye datalagre etableres, vil det alltid foreligge risiko for uautorisert inntrenging, sosial manipulering eller utpressing, menneskelige feil, sårbarheter i programvare, hendelser i driftsituasjonen, omgåelse av rutiner med mer. Lysne II-utvalgets rapport henviser kun til at E-tjenesten sine lokaler er fysisk godt skjermet, og at oppmerksomhet og kompetanse rundt elektronisk sikkerhet og datasikkerhet er svært høy (kap 9.5.5).
Lysne II-utvalget foreslår evaluering av ordningen etter 5 år. På det tidspunktet en slik evaluering gjennomføres, vil eventuelle tillitstap i befolkningen allerede være en realitet, samtidig som de vesentligste investeringene allerede er tatt. Man kan anta at påløpte kostnader er store nok til å medføre et implisitt ønske om å videreføre ordningen, selv om nytteverdien skulle vise seg å ikke være så stor som man hadde sett for seg. Direktoratet for e-helse mener også på bakgrunn av dette at det bør gjennomføres grundige risikoanalyser før det eventuelt vedtas at DGF skal gjennomføres.
Skulle et DGF bli realisert, vil det slik rapporten selv uttrykker, foreligge risiko for formålsglidning. Dette er et tema som bør følges opp ytterligere før DGF eventuelt vedtas. Et mulig tiltak kan være scenariobaserte risikoanalyser, hvor ulike helserelaterte scenarioer er en del av materialet.
EU-domstolen avsa den 21. desember 2016 en dom som stenger døren for generell innsamling av trafikk- og lokasjonsdata i bulk . Dommen definerer generell innsamling av trafikk- lokasjonsdata som meget inngripende, og at slike data gir et meget detaljert bilde av innbyggeres privatliv. Konsekvensene av denne dommen må vurderes opp mot innretningen av foreslåtte DGF.
Direktoratet for e-helse foreslår at følgende tiltak vurderes før et eventuelt DGF vedtas:
Direktoratet for e-helse er av den oppfatning at det foreligger en betydelig mangel på kunnskap om mulige negative virkninger som det foreslåtte DGF kan medføre i samfunnet generelt, og for helsetjenesten spesielt. Manglende utredning av de tidligere nevnte forslagspunktene kan gi en samlet interesseavveining som ikke vil være reell, slik at risikoen for å vedta et foreslått DGF, som i realiteten er for inngripende, er til stede. Risikoen for redusert tillit til helsetjenesten i befolkningen og vegring mot digitale løsninger er særskilt viktige faktorer i denne sammenhengen. Med basis i dette går Direktoratet for e-helse imot innføring av det foreslåtte DGF.
Felles for alle eksemplene er at datatrafikken vil kunne gå gjennom fiberkabler ut og inn over den norske grensen, og at den derfor kan fanges opp av DGF, selv om brukerne befinner seg i Norge.
Digitale løsninger brukes i stor grad i tjenesten pr i dag, og vil bli benyttet i stadig større grad i årene som kommer. Direktoratet for e-helse er bekymret for hvilken langsiktig effekt det foreslåtte DGF kan ha for innbyggeres tillit til helsetjenesten som sådan, ikke bare bruken av digitale løsninger i tjenesten.
Lysne II-utvalgets rapport påpeker selv at det er påvist nedkjølingseffekter i befolkningen ved generell overvåkning i samfunnet (kap. 6.3).
I helsesektorens sammenheng vil en slik effekt ha den konsekvens at pasienter og pårørende over tid kan vegre seg for 1) å gi nødvendig informasjon som er avgjørende for riktig behandling, og 2) å bruke de digitale løsningene som sektoren tilbyr. Dette kan igjen medføre at de ikke får full del i tjenestetilbudet, når dette etter hvert blir mer og mer basert på digitale tjenester. Resultatet kan bli redusert verdi av den informasjonen som deles digitalt, redusert adopsjon av helsetjenester med integrerte digitale løsninger, samt kvalitetsreduksjon i helseutfall. På lang sikt kan dette utfordre helsetjenestens evne til å håndtere kjente kommende demografiske endringer som stiller helt nye krav til fremtidens offentlige helsetjeneste, der digitalisering anses som et vesentlig virkemiddel for å lykkes.
Foreslåtte DGF berører ikke bare pasienters personvern. DGF berører også helsepersonells personvern fordi personopplysninger om helsepersonell som yter helsetjenester, og som gjennom dette registrerer og behandler pasienters helseopplysninger, kan fanges opp av DGF.
Lysne II-utvalgets rapport presenterer ikke en reell risikoanalyse for hvilke effekter det foreslåtte DGF kan ha, herunder nedkjølingseffekter hos brukere. Vi mener at slike analyser er nødvendige før et DGF eventuelt vedtas. Dette for å balansere nytteverdien ved DGF med potensielle negative virkninger i samfunnet rundt, og for å identifisere risikoreduserende tiltak i god tid før eventuell implementering begynner. Risikoreduserende tiltak i denne sammenheng er tiltak som har til hensikt å bevare og bygge befolkningens tillit til helsesektorens digitale løsninger.
Norske helsetjenester er avhengig av å bevare og stadig forsterke brukernes tillit til de digitale løsningene som helsesektoren i stadig større grad vil basere seg på. Det er også et mål i seg selv å bidra til økt digital modenhet i befolkningen. Brukerne i denne sammenheng er både helsepersonell og privatpersoner. Foreslåtte DGF har stort potensial for å redusere reell og opplevd konfidensialitet i digital kommunikasjon med helseopplysninger, og representerer derfor et vesentlig risiko-område.
All transport av helseopplysninger er kryptert og sikret på tjenestenivå. Det betyr at opplysningene ikke uten videre er tilgjengelig for E-tjenesten med DGF. Lysne II-utvalgets rapport forklarer hvilke etterretningsmessige utfordringer kryptering av kommunikasjon representerer for DGF, og gir inntrykk av at E-tjenesten har eller vil søke å tilegne seg kapabiliteter for å omgå kryptering. Man går imidlertid ikke nærmere inn på hvilke kapabiliteter dette er (kap 4.5 og 8.3).
E-tjenestens ønske om å omgå kryptering kan synes forståelig fra et etterretningsperspektiv, men kan samtidig sies å representere en trussel i seg selv for de individene som helseopplysningene gjelder og de aktørene som har til oppgave å sikre kommunikasjonen av disse. Uavhengig av om E-tjenesten lykkes med å omgå sterk kryptering eller ikke, skaper motivasjonen til å omgå den en usikkerhet som i seg selv er egnet til å redusere tillit til at opplysningene forblir konfidensielle.
Etableringen av et DGF vil i seg selv representere risikoer for at data kommer på avveie. Når nye datalagre etableres, vil det alltid foreligge risiko for uautorisert inntrenging, sosial manipulering eller utpressing, menneskelige feil, sårbarheter i programvare, hendelser i driftsituasjonen, omgåelse av rutiner med mer. Lysne II-utvalgets rapport henviser kun til at E-tjenesten sine lokaler er fysisk godt skjermet, og at oppmerksomhet og kompetanse rundt elektronisk sikkerhet og datasikkerhet er svært høy (kap 9.5.5).
Lysne II-utvalget foreslår evaluering av ordningen etter 5 år. På det tidspunktet en slik evaluering gjennomføres, vil eventuelle tillitstap i befolkningen allerede være en realitet, samtidig som de vesentligste investeringene allerede er tatt. Man kan anta at påløpte kostnader er store nok til å medføre et implisitt ønske om å videreføre ordningen, selv om nytteverdien skulle vise seg å ikke være så stor som man hadde sett for seg. Direktoratet for e-helse mener også på bakgrunn av dette at det bør gjennomføres grundige risikoanalyser før det eventuelt vedtas at DGF skal gjennomføres.
Skulle et DGF bli realisert, vil det slik rapporten selv uttrykker, foreligge risiko for formålsglidning. Dette er et tema som bør følges opp ytterligere før DGF eventuelt vedtas. Et mulig tiltak kan være scenariobaserte risikoanalyser, hvor ulike helserelaterte scenarioer er en del av materialet.
EU-domstolen avsa den 21. desember 2016 en dom som stenger døren for generell innsamling av trafikk- og lokasjonsdata i bulk . Dommen definerer generell innsamling av trafikk- lokasjonsdata som meget inngripende, og at slike data gir et meget detaljert bilde av innbyggeres privatliv. Konsekvensene av denne dommen må vurderes opp mot innretningen av foreslåtte DGF.
Direktoratet for e-helse foreslår at følgende tiltak vurderes før et eventuelt DGF vedtas:
Direktoratet for e-helse er av den oppfatning at det foreligger en betydelig mangel på kunnskap om mulige negative virkninger som det foreslåtte DGF kan medføre i samfunnet generelt, og for helsetjenesten spesielt. Manglende utredning av de tidligere nevnte forslagspunktene kan gi en samlet interesseavveining som ikke vil være reell, slik at risikoen for å vedta et foreslått DGF, som i realiteten er for inngripende, er til stede. Risikoen for redusert tillit til helsetjenesten i befolkningen og vegring mot digitale løsninger er særskilt viktige faktorer i denne sammenhengen. Med basis i dette går Direktoratet for e-helse imot innføring av det foreslåtte DGF.