Kommentarer til Kapittel 17.5.5 Særskilte personvernutfordringer Dato: 15.03.2016 Svartype: Med merknad Høringssvar fra Folkehelseinstituttet til NOU 2015: 13 – Digital sårbarhet – sikkert samfunn Folkehelseinstituttet takker for anledningen til å gi høringssvar. Utredningen «Digital sårbarhet – sikkert samfunn» kartlegger samfunnets digitale sårbarhet, og foreslår konkrete tiltak for å styrke beredskapen og redusere den digitale sårbarheten i samfunnet. Folkehelseinstituttet er databehandlingsansvarlig for ti nasjonale helseregistre hjemlet i helseregisterloven med egne forskrifter. Helseopplysningene som inngår i disse registrene brukes til formål som statistikk, helseanalyser, forskning, kvalitetsforbedring, planlegging, styring og beredskap i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten, jf. Lov om helseregistre og behandling av helseopplysninger (helseregisterloven) vedtatt 20. juni 2014, i kraft 1. januar 2015. Den digitale sårbarheten i helse- og omsorgssektoren, herunder for de nasjonale helseregistrene, er beskrevet og vurdert i kapittel 17. Folkehelseinstituttet ønsker med dette å rette oppmerksomhet mot omtalen av nasjonale helseregistre i utredningens kapittel 17.5.5, som er tendensiøs, mangelfull, og ikke i overenstemmelse med dagens situasjon. Utredningen har følgende påstand (s.196): «I helseregistrene er det fullt mulig å beskytte pasientenes identitet ved hjelp av ulike former for anonymisering, men dette er i liten grad sørget for.» med referanse til NOU 2009: 1 Individ og integritet – Personvern i det digitale samfunnet. Denne påstanden er upresis og vanskelig å imøtegå uten en lengre utredning. Faktum er i alle fall at dersom en skal kunne bruke data i helseregistre til de lovbestemte formålene som helseanalyser, forskning, kvalitetsforbedring, planlegging, styring og beredskap i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten, er det nødvendig at opplysningene er knyttet til enkeltindivider og at man kan bruke en unik personidentifikator (i praksis fødselsnummer) for sammenstillinger av data fra ulike kilder. Spørsmålet er da hvordan man går frem for å sikre et godt personvern til tross for behandling av direkte personidentifiserende kjennetegn. Videre heter det i utredningen (s. 196) at «Det skal likevel fremheves at et av de store registrene, Norsk pasientregister, har etablert en forsvarlig forvaltning av pasientenes identitet, der denne behandles både teknisk og fysisk isolert fra helseopplysningene.» Denne beskrivelsen er tendensiøs og kan etterlate inntrykk av at øvrige nasjonale registre ikke har etablert en forsvarlig forvaltning av de registrertes identitet. Temaet nasjonale helseregistre, og spesielt kryptering av direkte personidentifiserende kjennetegn i nasjonale helseregistre, har vært til behandling i Stortinget flere ganger siden NOU 2009: 1 og ble avlevert, blant annet i forbindelse med lovvedtaket om opprettelsen av Nasjonalt register over hjerte- og karlidelser (mars 2010), ved behandlingen av flere stortingsmeldinger i 2012-2013 (Meld. St. 9 Én innbygger – én journal, Meld. St. 10 God kvalitet – trygge tjenester, kvalitet og pasientsikkerhet i helse- og omsorgstjenesten, Meld. St. 11 Personvern - utsikter og utfordringar og Meld. St. 34 Folkehelsemeldingen – God helse – felles ansvar), samt under behandlingen av ny helseregisterlov (juni 2014). Den nye helseregisterloven som trådte i kraft 1. januar 2015 oppstiller krav til konfidensialitet, integritet og tilgjengelighet, herunder krav om at « i registre som er etablert med hjemmel i §§ 10 eller 11, skal direkte personidentifiserende kjennetegn lagres kryptert» (§ 21). Dette kravet er ivaretatt i alle nasjonale helseregistre hvor det behandles direkte personidentifiserende kjennetegn, herunder Dødsårsaksregisteret, Medisinsk fødselsregister, Meldingssystem for smittsomme sykdommer (MSIS), System for vaksinasjonskontroll (SYSVAK), og Nasjonalt register over hjerte- og karlidelser som Folkehelseinstituttet er databehandlingsansvarlig for. I tillegg til at nasjonale helseregistre har vært debattert flere ganger i Stortinget siden NOU 2009: 1 ble avlevert, har regjeringen etablert Nasjonalt helseregisterprosjekt (september 2011) for å modernisere og koordinere nasjonale helseregistre. Det er vedtatt en nasjonal tiårig strategi med målsettinger for helseregisterfeltet og det utarbeides toårige handlingsplaner i prosjektet. Visjonen for prosjektet er at «vi i 2020 skal ha fortløpende oppdatert, pålitelig og personvernmessig sikker kunnskap om kvalitet på behandling og befolkningens helsetilstand.» Prosjektet ledes av Helse- og omsorgsdepartementet, og arbeidet forankres i det øvrige nasjonale e-helsearbeidet, hvor personvern og informasjonssikkerhet står sentralt. Vi ber om at disse momentene tas med i det videre arbeidet med digital sårbarhet. Med hilsen, Gun Peggy Knudsen, områdedirektør, Helsedata og digitalisering Marta Ebbing, fagdirektør helseregistre, Helsedata og digitalisering Justis- og beredskapsdepartementet Til høringen Til toppen
