Høring med tidligere helse- og omsorgsminister Bjarne Håkon Hanssen
Møtelederen: Da er vi klare til å starte opp for alvor. Temaet i denne første delen av høringen er oppfølging av Stortingets vedtak av 1. februar 2007 om kryptering av helseregistre.
Da vil jeg først få lov til å ønske velkommen tidligere statsråd Bjarne Håkon Hanssen. Med seg som bisittere har han Kari Sønderland, som er ekspedisjonssjef, Elin Anglevik, som er avdelingsdirektør, Geir Stene-Larsen, som er direktør i Folkehelseinstituttet og Bjørn Guldvog, som er assisterende helsedirektør.
Vær så god, Bjarne Håkon Hanssen. Da har du 10 minutter til disposisjon.
Bjarne Håkon Hanssen: Takk for det, gode leder! Jeg skal gi en veldig kort redegjørelse innledningsvis og heller stille meg til disposisjon for spørsmål.
Jeg var ikke helseminister veldig lenge i den perioden det nå snakkes om. Jeg startet som helseminister i juni 2008 og var det fram til høsten 2009.
For meg er det veldig naturlig å ta utgangspunkt i at i loven om Norsk pasientregister som ble vedtatt i 2007, ble det også vedtatt krav om kryptering av alle sentrale helseregistre. Det siste var et vedtak som kom inn i forbindelse med Stortingets behandling. Jeg tror det er viktig at vi har med oss at dette med å kryptere alle de sentrale helseregistrene, var ikke hørt, og det var ikke utredet på forhånd.
I min tid som helseminister vil jeg si at hovedarbeidet lå i å få på plass en god løsning for Norsk pasientregister. Det ble det brukt store ressurser på. Kravet til kryptering og utforming av det ble nedfelt i forskriften for Norsk pasientregister. Den forskriften forutsatte at man ikke kunne starte innsamling av fødselsnumre før sikkerhets- og krypteringsløsninger var på plass. Etter at den forskriften var vedtatt, gikk det over to år før vi hadde alle disse løsningene på plass.
I juni 2008, da jeg startet, opplevde jeg at det som da var hovedfokuset – det var en veldig hektisk aktivitet, en hektisk fase – var å finne gode løsninger både teknisk og organisatorisk for å kunne oppfylle kravene i forskriften om Norsk pasientregister. Det var stor aktivitet mellom direktorat og departement når det gjelder dette, og den aktiviteten er i og for seg grundig dokumentert.
Så brukte man tiden intensivt på det. Og i mars 2009 kunne Helsedirektoratet bekrefte at de hadde iverksatt tilstrekkelig fysiske, organisatoriske og tekniske tiltak til at forskriften kunne tre i kraft. Derfor, og på det grunnlaget, vedtok jeg 14. april at forskriften om Norsk pasientregister skulle tre i kraft 15. april 2009.
Årsaken til at jeg fokuserer så mye på dette, er at det er ingen tvil om at i denne perioden ble det lagt veldig stor vekt på å få Norsk pasientregister på plass, og det ble prioritert. Det betyr ikke at det ikke ble jobbet med de andre sentrale helseregistrene. Men det er viktig å si at alle de øvrige helseregistrene, som man altså i 2007 vedtok skulle krypteres, hadde en veldig gammel og umoderne IT-arkitektur. De var basert på at det var papirbasert innmelding til registrene. Dette skulle vise seg å gi spesielle utfordringer som man nok ikke hadde overskuet rekkevidden av.
Da jeg tiltrådte som helseminister, var spørsmålet om intern kryptering altså inne i en veldig teknisk krevende periode – på den ene siden jobbingen med Norsk pasientregister, på den andre siden fokus på å modernisere de andre sentrale helseregistrene, slik at de kunne krypteres. Først skulle man altså få registrene så moderne at de kunne krypteres. Folkehelseinstituttet sto i bresjen for dette arbeidet. Instituttet hadde i 2008 fokus på særlig to ting. Det ene var å gjøre SYSVAK-registeret fullelektronisk, med muligheter for intern kryptering. Det andre var arbeidet med innføring av elektronisk melding av fødsler og svangerskapsavbrudd til Medisinsk fødselsregister. Det var altså modernisering av registrene, slik at man kunne kryptere dem.
Høsten 2008 ba departementet de sentrale helseregistrene, som hadde blitt pålagt kryptering, om å redegjøre for hvordan registrene ivaretok helseregisterlovens krav. I sine tilbakemeldinger redegjorde registrene for ulike sikkerhetstiltak knyttet til spørsmålet om kryptering. Det ble redegjort for status for NPR, og instituttet redegjorde i sin tilbakemelding for den valgte krypteringsløsningen for det nye elektroniske SYSVAK-registeret samt for at instituttet arbeidet videre med innføring av sladdede personnumre i skjermbilder i Medisinsk fødselsregister, splitting av helseopplysninger i ulike databaser og kryptering av databaser og disker for de øvrige papirbaserte registrene. På dette grunnlaget ble det jobbet videre. Man jobbet med å finne løsninger for å få dette til.
Jeg har lyst til å understreke at det politisk viktige for meg, altså det som ble prioritert, var å sørge for at vi jobbet med krypteringen, og som jeg allerede har sagt, det aller viktigste var å få Norsk pasientregister på beina som et personidentifiserbart register. Det greide vi altså i april 2009.
Jeg vil oppsummere det hele med å si at det var sterk fokusering på å oppfylle lovens krav – ikke minst med hensyn til Norsk pasientregister. Men det ble hele tiden jobbet med alle registre, og hele tiden opplevde vi at vi sto overfor nye tekniske problemer. For å finne et bilde på det: Jeg mener det er et ganske godt bilde at det var som å gå på en fjelltur i ukjent terreng. Man ser toppen og ser at den er godt innen rekkevidde. Når man kommer opp dit, ser man at det ikke var toppen likevel. Det er en ny topp bak denne. Den så man ikke da man først la om kursen til den første toppen. Slik var det litt med arbeidet vårt med å få kryptert helseregistrene også. Vi trodde vi så løsninger: Kommer vi dit, er vi i mål, da har vi oppfylt lovens krav. Og da vi kom dit, så vi at vi hadde gått oss opp i nye tekniske problemer som gjorde at det viste seg at målet lå enda lenger fram.
Når man ser hele dette forløpet i dag, er jeg ganske klar på at man burde vurdert å gå til Stortinget med en egen proposisjon om utsatt iverksetting i forhold til lovens krav om kryptering av alle de sentrale helseregistrene. Men jeg vil insistere på at det er en konklusjon som er lett å trekke i dag, for i dag har vi gått hele terrenget. Det viste seg altså at det var flere fjelltopper. Men underveis var det ikke lett å se hele det forløpet. Derfor trodde vi at vi snart var i mål, noe som det viste seg at vi ikke var.
Møtelederen: Takk for det.
Da er det saksordføreren, Per-Kristian Foss, som har inntil 10 minutter. Jeg gjør spesielt oppmerksom på at det er utspørrer som nå fullt og helt styrer sin egen tid, uten innblanding fra møteleder.
Per-Kristian Foss (H): Jeg skal komme tilbake til fjellvandringene senere. Jeg starter med et spørsmål som gjelder Innst. O. nr. 40 for 2006–2007, der regjeringspartiene skriver i sine merknader at personidentifikasjon er lagret kryptert i de helseregistrene som nevnes i helseregisterloven § 8, med unntak av Forsvarets helseregister. De mener at lovteksten må gjenspeile dette, og vedtok derfor å nedfelle kravet om intern kryptering i lovs form den 1. februar 2007.
I det brev som den nåværende helse- og omsorgsministeren har sendt til kontrollkomiteen 11. mars i år, er det imidlertid opplyst at flertallet av de aktuelle helseregistrene ikke var kryptert, og at arbeidet med kryptering fortsatt pågår, tre år etter at Stortinget nedfelte dette kravet i lovs form. Stortinget fattet med andre ord den gang et vedtak på et feilaktig grunnlag. Hva er begrunnelsen for at den tidligere statsråden ikke på noe tidspunkt fant det betimelig å informere Stortinget om at flertallet av helseregistrene ikke var kryptert, slik Stortingets flertall hadde forutsatt da de fattet sitt vedtak og stilte kravet i lovs form?
Og jeg vil legge til: Kan statsråden også beskrive den dialog han den gang hadde med fraksjonen? Det er relativt kjent at det er tett dialog mellom regjeringspartier og regjeringsfraksjonen ved behandling av saker i Stortinget. Hvorfor fremkom ikke slike opplysninger under denne tette dialogen?
Bjarne Håkon Hanssen: Jeg føler vel at det spørsmålet har jeg besvart i det jeg sa innledningsvis, at det som var fokus i departementet, var å oppfylle Stortingets vedtak. Det er helt åpenbart at da vi sto overfor utfordringen med å sørge for at loven ble oppfylt, så var vi ikke i mål – de sentrale helseregistrene var ikke kryptert. Derfor var det en stor jobb å gjøre, og jeg forsøkte å forklare innledningsvis at når fokuset var der, å oppfylle Stortingets vedtak, og det viste seg at etter hvert som en kom nærmere, så ...
Per-Kristian Foss (H): Så langt skjønner jeg det, men mitt spørsmål avgrenser seg nå egentlig til perioden da denne saken var til behandling i komiteen i regjeringsfraksjonen, og den tette dialogen som da er mellom statsråden og regjeringsfraksjonen. Føler ikke statsråden at når regjeringsfraksjonen skriver mot bedre vitende – noe statsråden visste – at dialogen kanskje ikke har vært tett nok, eller at informasjonen ikke har vært gitt presist nok til regjeringsfraksjonen?
Bjarne Håkon Hanssen: Det spørsmålet må nesten stilles til Sylvia Brustad. Jeg var ikke statsråd da denne loven ble vedtatt.
Per-Kristian Foss (H): Nei, og du føler heller ikke at det i din tid som statsråd var rimelig å opplyse Stortinget om at man hadde skrevet mot bedre vitende?
Bjarne Håkon Hanssen: Jeg har svart på at fokuset i min tid som statsråd var å sørge for å oppfylle lovens krav, og at fokuset var der.
Per-Kristian Foss (H): Mener statsråden at det er to typer lover – de som regjeringen har foreslått, og de som blir vedtatt i Stortinget uten at regjeringen har foreslått dem?
Bjarne Håkon Hanssen: Nei.
Per-Kristian Foss (H): Mener statsråden at oppfølgings-/iverksettelsesplikten er like sterk for begge typer lover?
Bjarne Håkon Hanssen: Ja.
Per-Kristian Foss (H): Hvorfor fant han da, i sin tid som statsråd, allikevel ikke grunn til å informere Stortinget om at loven ikke var oppfylt?
Bjarne Håkon Hanssen: Ja, det har jeg svart på.
Per-Kristian Foss (H): I grunnen ikke, annet enn at man arbeidet med det.
Bjarne Håkon Hanssen: Jeg mener å ha svart på det. At saksordføreren ikke liker svaret, er jo i og for seg saksordførerens utfordring.
Per-Kristian Foss (H): Ja, nå er det tydelig at jeg ikke er alene om det.
Bjarne Håkon Hanssen: Jeg har forklart hvordan saken ble håndtert, at vi på det tidspunktet vi jobbet med den, ikke så at det ville trekke ut i tid å oppfylle Stortingets krav. Vi ser – når vi nå ser hele forløpet – at vi på et tidspunkt da burde ha vurdert å gå til Stortinget med en egen proposisjon og be om utsatt iverksetting.
Per-Kristian Foss (H): Ja, jeg har registrert det.
Bjarne Håkon Hanssen: Det er kunnskap som er klar i dag, men som ikke var klar på det tidspunktet. Derfor gjorde man det ikke.
Per-Kristian Foss (H): Men du var altså statsråd et drøyt år, og i det året satt du som ansvarlig statsråd for at Stortingets lovvedtak ikke var oppfylt. Mener du at det er også å overholde informasjonsplikten overfor Stortinget?
Bjarne Håkon Hanssen: I ettertid, når vi ser hele forløpet, så mener vi at vi burde ha vurdert å gå til Stortinget med en egen proposisjon om utsatt iverksettelse, men på det tidspunktet følte vi at vi var så nær å kunne oppfylle Stortingets vedtak at vi valgte å prioritere å få det på plass i stedet for å skrive en egen proposisjon om utsatt iverksettelse.
Per-Kristian Foss (H): Du sa nå at dere burde ha vurdert å gå til Stortinget. Det var det vel en selvfølge at man hele tiden gjorde. For en lov som ikke er iverksatt, når Stortinget er i den tro at loven gjelder, det er jo et forhold som normalt påtvinger informasjon til Stortinget. Men hva var grunnen til at dere vurderte det, men ikke fant å gjøre det?
Bjarne Håkon Hanssen: Fordi vi trodde at vi straks sto foran en løsning.
Per-Kristian Foss (H): Da vil jeg fokusere litt på om du føler i ettertid også å utøve noe selvkritikk på balansen mellom iverksetting av registerlovene og krypteringen, for begrepet kryptering er jo heller ikke entydig. Datatilsynet er fortsatt ikke enig med departementet – vi kommer tilbake til det i en senere del av høringen – i departementets definisjon av intern kryptering. Var det på noe tidspunkt en formell dialog med Datatilsynet om definisjonen av intern kryptering i din tid i departementet?
Bjarne Håkon Hanssen: Det må jeg nesten få spørre mine bisittere om å svare på.
Elin Anglevik: På det tidspunktet hadde vi utarbeidet forskriften for Norsk pasientregister, og på det tidspunktet var det på en måte den definisjonen som gjaldt. Der var krypteringsløsningen for Norsk pasientregister beskrevet, og det var det eneste skriftlige vi hadde i forhold til å definere hva som var intern kryptering. Samtidig framgikk det jo av innstillingen at Norsk pasientregister skulle ha høyeste grad av sikkerhet, og det var klart at flere av de andre registrene ikke kunne sammenlignes med Norsk pasientregister i så måte. Men på det tidspunktet …
Per-Kristian Foss (H): Mitt spørsmål gjaldt mer direkte om det var noen formell kontakt med Datatilsynet i den prosess du nå beskriver. Dette er jo ikke et område hvor Helsedepartementet besitter ekspertise. Den sitter i Datatilsynet hva gjelder deres evne til å overvåke datasikkerhet. Da må jo de også godta den definisjonen dere gir av datasikkerhet. Var det noen formell kontakt med Datatilsynet det året statsråden var ansvarlig? Det må være mulig å svare ja eller nei på det spørsmålet.
Elin Anglevik: Det var uformell kontakt med Datatilsynet.
Per-Kristian Foss (H): Men ingen sporbar kontakt? Siden vi nå er i en revisjonshøring, er vi i grunnen ikke opptatt av hvem dere har pratet med, men om det er noen sporbar kontakt, altså om det er noe det er ført referat fra.
Elin Anglevik: Vi har dokumentert at vi har hatt uformell kontakt med Datatilsynet i den perioden.
Per-Kristian Foss (H): Og hva var resultatet av den kontakten?
Elin Anglevik: Nå er jeg litt i tvil om hvor vi er hen i tidspunktene.
Per-Kristian Foss (H): Jeg vil spesifisere spørsmålet: Føler dere at dere var inne på en definisjon av intern kryptering som kunne bli godtatt? Statsråden har beskrevet at man befant seg i et fjellterreng, for å bruke dette bildet, hvor man oppdaget stadig nye topper. Men hadde man i det hele tatt oversikt over hvilket terreng man gikk inn i? For hvis man endte opp med en definisjon som var slik at Datatilsynet sa at nei, dette er ikke en godtagbar intern kryptering, så er man jo like langt. Så spørsmålet er: Var departementet i en dialog med Datatilsynet som gjorde at man anså det som sikkert at man fikk det godkjent?
Bjarne Håkon Hanssen: Jeg skjønner hvor spørreren vil hen, og jeg vil si at jeg selvfølgelig anerkjenner at det er en sentral del av høringen. Men jeg vil veldig klart gi uttrykk for at det er ikke Datatilsynets rolle å forstå og tolke lovvedtaket. Det må jo være departementet som har retten til å tolke lovvedtaket. Dermed var jeg veldig klar over hva det er som skal til for å oppfylle lovens krav, og derfor mener jeg at vi visste ganske klart hva som skulle til for at kryptering var ivaretatt.
Per-Kristian Foss (H): Sluttresultatet er at Datatilsynet sier at der departementet nå har nådd, er de ikke villige til å godta det. Så statsråden har jo nå beskrevet at man befant seg i et terreng man overhodet ikke hadde oversikt over.
Bjarne Håkon Hanssen: Men det terrenget var en beskrivelse av de tekniske utfordringene vi sto overfor, ikke hva som måtte til for at lovens krav ble oppfylt.
Møtelederen: Da er tiden ute, og det er Arbeiderpartiets tur til å stille spørsmål. Det er representanten Bendiks H. Arnesen som skal stille spørsmålene. Vær så god, du har 5 minutter.
Bendiks H. Arnesen (A): Takk.
Jeg mener at denne høringen koker ned til å få klarhet i hva som gjør at saken ikke er blitt effektuert slik den er vedtatt av Stortinget, og jeg synes Bjarne Håkon Hanssen har svart godt på det spørsmålet. Det som har vært hovedargumentet her, er vel at det er tekniske og organisatoriske utfordringer som har gjort at man ikke nådde fram.
Men jeg har lyst til å spørre: Er det flere ting som er inne i dette bildet? Hva med kostnader for å gjennomføre dette? Har det vært en utfordring?
Bjarne Håkon Hanssen: Nei, jeg kan ikke si at det har vært det som har vært problemet vårt. Det er selvfølgelig sånn at økonomiske rammer til enhver tid definerer hvor mye arbeid man greier å utføre fortløpende, men i min tid kan i hvert fall ikke jeg erindre at det var noen diskusjon om at egentlig kan vi få til å oppfylle Stortingets vedtak, men vi har ikke råd, vi har ikke budsjett. Utgangspunktet var mye mer at det ble jobbet med det, og så viste det seg at når du liksom kom dit at du trodde du var i mål, så var du ikke i mål. Og så var det bare å jobbe på videre.
Som sagt, det var nok noen utfordringer knyttet til å få Norsk pasientregister på plass. Det ble da diskutert noe økonomi, men så vidt jeg husker, ble det også sørget for at det ble tilstrekkelige bevilgninger til at økonomi ikke var noe argument for å forsere arbeidet med Norsk pasientregister. Det tok jo også over to år fra forskriften ble vedtatt – i desember 2007, tror jeg – til den trådte i kraft i april 2009.
Bendiks H. Arnesen (A): Det er jo sånn at i mange sammenhenger søker man litt utenfor landets grenser og ser om det er sammenlignbare forhold i land vi kan sammenligne oss med, om man kan hente opplysninger derfra. Har man gjort søk ute for å finne andre som har kunnet være til hjelp i dette bildet, eller er vi så langt framme at vi ikke har hatt noen å støtte oss på der?
Bjarne Håkon Hanssen: Jeg tror jeg velger å bruke Geir Stene-Larsen til å si noe om det.
Geir Stene-Larsen: Det er slik at Norge er langt framme når det gjelder helseregistre. Det gjelder også de andre nordiske landene, så de mest relevante å sammenligne med i den sammenhengen vil nok være Sverige, Danmark og Finland. Det vi har kjennskap til etter å ha hatt nokså inngående samtaler med dem, er at de har kryptert de delene av arbeidet som vi også hadde kryptert for mange år siden, dvs. forsendelser av filer, oppbevaring av kopier og slike ting. Men det å kryptere selve basen som dataene ligger i, har heller ikke de gjort, så de har en langt dårligere løsning enn det vi har pr. i dag.
Bendiks H. Arnesen (A): Jeg har ikke flere spørsmål.
Møtelederen: Da er det Fremskrittspartiets tur til å spørre ut, og det er jeg som skal stille spørsmålene i de neste 5 minuttene.
Hanssen, du tok over som statsråd i juni 2008. På hvilket tidspunkt ble du klar over at Stortingets lovvedtak ikke var fulgt opp – hvor lenge etter at du tiltrådte?
Bjarne Håkon Hanssen: Jeg har ikke noen logg på det, men det var nok i forbindelse med arbeidet med Norsk pasientregister-forskriften at jeg ble klar over det. Arbeidet med den forskriften var i en intens fase i den tiden jeg tok over, og vi snakker, mener jeg, om tidlig høst 2008.
Møtelederen: Det var altså bare noen måneder etter at du tiltrådte.
Så har du forklart at dette var teknisk krevende og vanskelig. Vurderte dere på noe tidspunkt å gå utenfor egne rekker for å kjøpe denne krypteringsløsningen?
Bjarne Håkon Hanssen: Det tror jeg også jeg må få lov til å spørre andre om å svare på.
Møtelederen: Jeg vil gjerne vite om det var en politisk vurdering.
Bjarne Håkon Hanssen: Ikke en politisk vurdering som jeg har vært med på, nei.
Møtelederen: Så det var ikke aktuelt å gå utenfor det systemet som da du tok over, allerede var iverksatt?
Bjarne Håkon Hanssen: Ikke i den forstand at jeg ville hatt noe imot det, hvis den problemstillingen hadde kommet opp. Hvis instituttets folk eller direktoratets folk hadde sagt at vi har ikke den kompetansen, vi trenger å kjøpe inn dette fra noen andre, så ville det ha vært helt greit for meg. Men den problemstillingen ble aldri løftet.
Møtelederen: Men problemstillingen var jo berørt i den aktuelle innstillingen hvor lovvedtaket ble fremmet. Det var til og med et flertallsforslag i innstillingen som sa at dette skulle kjøpes eksternt.
Bjarne Håkon Hanssen: Jo, men som jeg sier, så ble den problemstillingen aldri løftet opp for meg, det at problemet var at vi ikke kjøpte, og at det var et politisk problem at det ikke ble kjøpt inn kompetanse.
Møtelederen: Du har flere ganger i høringen, både i innledningen og i svar på spørsmål fra saksordføreren, sagt at sett i ettertid burde dere ha vurdert å gå til Stortinget og be om utsatt iverksettelse. Sett i ettertid, burde dere ikke ha gått til Stortinget og bedt om utsatt iverksettelse?
Bjarne Håkon Hanssen: Det vi vel nå sitter og diskuterer, er hvordan lover blir til, og jeg tror det alltid er lurt å vurdere om man skal fremme en lov, før man fremmer loven. Det er vel den erfaringen vi sitter og har en høring om. Men så lenge den vurderingen ikke blir foretatt ...
Møtelederen: Du er jo i den heldige situasjonen at du nå egentlig sier at du ikke har vurdert det. Men sett i ettertid, burde du ikke ha konkludert med, hvis du hadde vurdert, at man skulle gå til Stortinget?
Bjarne Håkon Hanssen: Det er avhengig av vurderingen, ikke sant? Men så lenge man ikke har vurdert det, så tror jeg at vi gjør lurt i ikke å fremme lovforslag.
Møtelederen: Så du mener at sett i ettertid kan du ikke konkludere med at det ville vært fornuftig å gå til Stortinget og fortelle at du ikke fulgte opp stortingets lovvedtaket?
Bjarne Håkon Hanssen: Jeg har vel svart på det nå.
Møtelederen: Så det betyr ja?
Bjarne Håkon Hanssen: Det betyr at vi burde ha vurdert det. Og det kan godt hende at vi i den vurderingen hadde konkludert med at vi burde ha gått til Stortinget.
Møtelederen: Vi er jo enige om hvordan stortingsvedtak skal følges opp. Synes du det er forsvarlig at en statsråd i over ett år er kjent med at et stortingsvedtak ikke er oppfylt, uten å informere Stortinget om det?
Bjarne Håkon Hanssen: Det er vel også et spørsmål jeg mener at jeg har svart på, at forsvarligheten ligger i at man hele tiden tror at man er nær målet, nemlig å oppfylle Stortingets vedtak. Og så viser det seg i ettertid, når man ser hele forløpet, at vi var lenger fra enn det vi trodde vi var på det gitte tidspunkt. Det kan man si er en situasjon som er uønsket, og man skulle veldig gjerne ønske at man ikke var der, men sannheten er at sånn var det. Viljen var rettet mot å oppfylle Stortingets vedtak, ikke å sabotere Stortingets vedtak.
Møtelederen: Litt tilbake til når informasjonen tilfløt deg. Du sier at det tok noen måneder. Det betyr at det var ingen konkret overlevering av informasjon til deg om dette fra din forgjenger. Gjorde du noe spesielt for å gjøre din etterfølger oppmerksom på disse problemene?
Bjarne Håkon Hanssen: Det er sikkert ulike tradisjoner i ulike politiske ledelser, men det som jo veldig ofte er systemet i dette fine demokratiet vi har i Norge, er at det jo ikke er den avgående statsråden som først og fremst orienterer den nye statsråden om hva det er av utfordringer i departementet. Det har vi et flott embetsverk som sørger for.
Møtelederen: Det forstår jeg også, men det er jo en veldig spesiell situasjon at en statsråd er kjent med at et stortingsvedtak ikke følges opp. Det kunne vel kanskje vært fornuftig å vurdere hvorvidt en hadde informert sin etterfølger om at dette var situasjonen. Men det ble ikke gjort fra din side.
Bjarne Håkon Hanssen: Det fornuftige, etter min mening, er at vi heldigvis har et embetsverk som sitter med den kunnskapen. Så det er ikke nødvendig at den avgående statsråden husker å informere den nye statsråden om alt det som er viktig.
Møtelederen: Takk, da har jeg ikke flere spørsmål, og vi går over til en runde med oppklarende spørsmål fra komiteen.
Da er det først saksordføreren, Per-Kristian Foss – vær så god.
Per-Kristian Foss (H): Den overgangen mellom to statsråder som statsråden nå beskriver, kjenner jeg best igjen fra når man skifter regjering. Men det er kanskje også slik når man skifter statsråd i en regjering, at man ikke informerer hverandre om problemer?
Bjarne Håkon Hanssen: Jeg tror det er ulike tradisjoner i ulike departementer og ulike partier. Det som er det viktige, er jo at det er naturlig, selvfølgelig, at en statsråd som slutter, og en statsråd som begynner, har en samtale. Men det er jo ikke sånn at man er avhengig av å huske å huke av alle viktige spørsmål som man skal sørge for en kunnskapsoverlevering om til den kontakten. Det er jo et embetsverk som sitter og jobber her, og som selvfølgelig fanger opp den nye statsråden med viktig kunnskap. Jeg har i hvert fall aldri gjort det sånn – og jeg har sluttet som statsråd tre ganger – at jeg liksom har laget meg en egen notatblokk med ting jeg skal huske å fortelle den nye statsråden om. Det tror jeg kanskje ikke Foss har gjort heller.
Møtelederen: Så er det Ulf Erik Knudsen.
Per-Kristian Foss (H): Jeg vil bare her legge til at den tidligere statsråden er jo i den frie situasjonen at han nå gir råd til mulige statsråder, og det er kanskje ikke noe dårlig råd å ta med seg, å ha en slik notatblokk.
Møtelederen: Da er det Ulf Erik Knudsen.
Ulf Erik Knudsen (FrP): Leder, for at denne fjellvandringen ikke skal bli en ørkenvandring, føler jeg det er behov for at det konkretiseres noe. Man har altså sittet et helt år og stadig fått nye tekniske utfordringer knyttet til innføringen av registre, og det er da hovedproblemet som ligger der. Da kan man sikkert også, med den store stallen man har med seg i dag, konkretisere noen av de mange fallgruver og tekniske utfordringer som har dukket opp i denne periode.
Bjarne Håkon Hanssen: Det kan vi sikkert. Jeg tror ikke jeg skal prøve meg på å gjøre det, men jeg kan gjerne spille på mine gode medspillere. Kanskje Bjørn Guldvog kan si noe om det?
Bjørn Guldvog: Vi i Helsedirektoratet hadde ansvaret for å få på plass NPR ferdig kryptert. Det var i hovedsak tre typer utfordringer vi sto overfor. Det var tekniske utfordringer, som også hadde med datasikkerhet å gjøre. Som et eksempel kan vi si at vi måtte forsikre oss om at de som tok imot informasjon om norske pasienter på NPR, ikke så hvilke pasienter dette dreide seg om, ved mottaket. Det gjorde at man måtte finne en teknisk løsning hvor man fikk sendt informasjon fra sykehusene i to separate leveranser, en leveranse med persondata, navn og personnummer og en leveranse med de dataene som omfattet sykdom og behandling. På basis av at man har et personidentifiserbart felt – en ID – var det mulig å gjøre en kobling av dette, men før det en kryptering av de personidentifiserbare dataene. Det er et eksempel på de tekniske utfordringene som ligger der.
I tillegg ligger det også fysiske utfordringer, det å sikre at data lagres på spesielle steder som er isolert fra omverdenen, og med en helt spesiell tilgangsstyring med hensyn til hvem som kan gå inn i disse arenaene. Det ble også jobbet mye med organisatoriske løsninger for å sikre at det var et minimum antall mennesker som kunne sitte med store deler av informasjonen på én gang.
Oppsummert ligger det både tekniske utfordringer, organisatoriske utfordringer og fysiske utfordringer i dette. På alle de tre områdene skal det også finnes mekanismer for å dokumentere alt som skjer, altså loggefunksjoner.
Møtelederen: Takk for det.
Da rekker vi to korte spørsmål, et fra Foss og et fra undertegnede.
Per-Kristian Foss (H): Statsråden uttalte tidligere i høringen at man burde ha vurdert å gå til Stortinget med en proposisjon, med beskjed om at det tok tid å iverksette dette. Jeg setter strek under vurdert. Mener statsråden i ettertid at man burde ha gjort det?
Bjarne Håkon Hanssen: Som jeg sier – jeg prøver ikke å være vanskelig – var det aldri en vurdering, aldri en diskusjon, aldri en situasjon vi var oppe i. Derfor sier jeg at vi burde ha vurdert det, og det kan godt være at konklusjonen på den vurderingen ville ha vært at vi skulle gått til Stortinget. Men som jeg prøver å si: Det å fremme lovforslag må man bruke god på å vurdere, man må ha høring, og man må gjøre en grundig jobb. Hvis ikke kommer man fort opp i store problemer. Så lenge den vurderingen aldri var gjort skikkelig, synes jeg det blir veldig feil å si at nok en gang fremmer man en lov uten å foreta en grundig vurdering. Derfor svarer jeg som jeg gjør på det spørsmålet.
Møtelederen: Takk for det.
Da er tiden for oppklarende spørsmål ute, og tidligere statsråd Hanssen får mulighet til en kort oppsummering, dersom han ønsker det, på inntil 5 minutter – vær så god, Hanssen.
Bjarne Håkon Hanssen: Jeg tror vel det, leder, at jeg har fått sagt det jeg har å si om saken, og jeg synes at den i og for seg oppsummeres. Det jeg har å oppsummere, oppsummerte jeg i det siste svaret til Foss. Så jeg tror ikke jeg har noe å tilføye.
Det eneste må være å si at jeg i min redegjørelse glemte å nevne at det ikke var slik at det eneste vi fikk på plass i min tid som statsråd, var Norsk pasientregister. Også SYSVAK-registeret kom på plass, kryptert, i denne perioden. Det viser at man jobbet med saken, og man sørget for å sette lovvedtaket i kraft så fort man bare klarte, overfor de enkelte registre. Det at vi greide å få SYSVAK-registeret på plass, er et eksempel på at vi her jobbet med å finne løsninger, og vi trodde de lå framfor oss. SYSVAK-registeret stimulerte oss til den tenkingen at vi fikk det på plass – og så tok ting for lang tid.
Møtelederen: Takk for det, og takk for dine bidrag under denne åpne kontrollhøringen.
Vi tar en kort pause til kl. 9.50, da helse- og omsorgsminister Anne-Grete Strøm-Erichsen kommer.
Høringen ble avbrutt kl. 9.41.
-----
Høringen ble gjenopptatt kl. 9.50.
Høring med helse- og omsorgsminister Anne-Grete Strøm-Erichsen
Møtelederen: Da går vi videre i programmet.
Jeg vil få lov til å ønske helse- og omsorgsminister Anne-Grete Strøm-Erichsen velkommen. Med seg har hun de samme bisitterne som tidligere statsråd Hanssen hadde. Velkommen igjen til dere.
Da er det lagt opp slik at statsråden har 10 minutter til innledning – vær så god, statsråd Strøm-Erichsen.
Statsråd Anne-Grete Strøm-Erichsen: Komitéleder, ærede komité!
La meg først si at gode helseregistre er helt nødvendig for å gi oss den kunnskapen vi trenger for å dimensjonere, prioritere og evaluere helsetjenestene. Helseregistrene er avgjørende for at vi skal få til en kvalitetsforbedring i helsetjenesten. Til sammen har vi åtte sentrale helseregistre, som er personidentifiserbare uten samtykke, og det er disse registrene som er temaet i dag.
Lovens krypteringskrav gjelder for disse helseregistrene, og jeg vil understreke at intern kryptering aldri alene er tilstrekkelig for å sikre informasjonssikkerheten. Det er gjennomført omfattende sikkerhetstiltak av teknisk og organisatorisk art i alle våre registre. Kryptering kan ikke erstatte de sikkerhetstiltakene som allerede ligger i registrene i dag. Krypteringen kan heller ikke erstatte god sikkerhetskultur blant de ansatte i registrene.
Som den tidligere helseministeren sa, har det siden intern kryptering ble vedtatt, vært arbeidet med innføring av dette i registrene. Da jeg ble helse- og omsorgsminister i oktober 2009, var krypteringsløsningene i Norsk pasientregister og Vaksinasjonsregisteret i drift. De øvrige registrene under Helse- og omsorgsdepartementets ansvarsområde har en umoderne IT-arkitektur, dvs. at de er ganske gamle, og mesteparten av meldingene inn til registrene skjer på papir. Det var derfor ikke mulig å benytte samme krypteringsmodell for disse registrene. Administrativt ble det derfor høsten 2009 jobbet med å finne spesialtilpassede krypteringsløsninger for disse. I november 2009 inviterte departementet Folkehelseinstituttet og Helsedirektoratet ved avd. Norsk pasientregister til et møte for å forsøke å komme frem til felles retningslinjer for hvordan lovens krav om intern kryptering skulle forstås. Norsk pasientregister og Folkehelseinstituttet presenterte i januar 2010 sine krypteringsløsninger.
Den 15. februar mottok jeg brev fra tre av opposisjonspartiene på Stortinget med spørsmål om registrene var i tråd med krypteringskravet i helseregisterloven. Etter dette ble det raskt kalt inn til et møte, som ble avholdt den 2. mars med Helse Sør-Øst, Kreftregisteret og Folkehelseinstituttet, der de to institusjonene presenterte sine krypteringsløsninger. Dagen etter mottok jeg brev fra kontroll- og konstitusjonskomiteen med tilsvarende spørsmål. Samme dag inviterte departementet Datatilsynet til et møte for å gjennomgå departementets forslag til lovfortolkning og overordnede rammer for kryptering. Møtet med Datatilsynet ble avholdt den 14. mars. I samme periode gjennomførte Datatilsynet skriftlige tilsyn med intern kryptering i samtlige åtte registre. Samtidig hadde jeg også på denne tiden et eget møte med Datatilsynet, hvor vi diskuterte personvern og ulike former for helseregistre.
Det foreligger få rettskilder om intern kryptering i helseregistrene, og lovteksten kan åpne for forskjellige fortolkninger. Etter en komplisert prosess i dialog med både registrene og Datatilsynet har vi kommet frem til en forståelse av det som jeg mener lovens krav til intern kryptering innebærer.
Det følger av helseregisterloven § 8 tredje ledd at «direkte personidentifiserende kjennetegn skal lagres kryptert i registrene». Med «direkte personidentifiserende kjennetegn» forstås i hovedregel navn og fødselsnummer. Slike opplysninger skal, ved hjelp av en algoritme eller andre metoder som gir en like god sikkerhet, gjøres uforståelig for andre. Direkte personidentifiserende kjennetegn kan bare behandles ukryptert i registeret når det er strengt nødvendig for spesielt autoriserte medarbeidere for å kunne oppfylle registerets formål.
Det fremgår av Ot.prp. nr. 49 for 2005–2006 om Norsk pasientregister:
«Ulike løsninger for kryptering vil bero på de teknologiske mulighetene som finnes.»
For flere av de eksisterende registre med umoderne IT-arkitektur er det per i dag ikke håndterbart å skille ut de direkte personidentifiserende kjennetegn og kryptere bare disse. Det innebærer at hele registeret må krypteres. Harddisker, eller databasefiler og sikkerhetskopier, skal krypteres i de registre som på grunn av registerets formål og IT-arkitektur ikke kan kryptere direkte personidentifiserende kjennetegn separat. Meldingssystem for smittsomme sykdommer, Tuberkuloseregisteret og enkelte deler av Medisinsk fødselsregister er kryptert på denne måten.
Det stilles ikke krav til hvilke krypteringsteknikker eller type nøkler som skal benyttes, fordi krypteringsmetoder som vil være egnet for ett register, ikke nødvendigvis er det for et annet. Min vurdering er dermed at med unntak av Dødsårsaksregisteret er alle de sentrale helseregistrene nå internt kryptert. Dødsårsaksregisteret, som ligger i Statistisk sentralbyrå, vil bli kryptert om kort tid. Det er gjennomført tiltak i flere av registrene etter Datatilsynets tilsyn. Dersom Datatilsynet i sine tilsynsrapporter har funnet avvik fra lovens krav som ikke allerede er rettet opp, vil jeg sørge for å følge opp dette.
Kryptering er en særlig ressurskrevende og komplisert prosess for registre som ikke er fullelektroniske. Det som har vært spesielt utfordrende, har vært å løse hvordan dette skulle gjennomføres for de registrene som har en umoderne IT-arkitektur, og som i tillegg brukes i pasientrettet virksomhet der det er nødvendig å ha identitet. Tuberkuloseregisteret brukes bl.a. for å evaluere behandlingstiltak, noe som krever identitet. Meldingssystem for smittsomme sykdommer brukes bl.a. i smitteoppsporing ved f.eks. utbrudd av E. coli og legionellose. I etterforskningen av utbrudd kan det være helt nødvendig med personidentifikasjon for å spore opp mulige smittekilder. Vaksinasjonsregisteret er også et eksempel på et register der det har vært spesielt utfordrende å kryptere, fordi det har et formål som krever synlig identitet. Registeret brukes bl.a. av landets helsesøstre for å holde oversikt over hvilke vaksiner det enkelte barn har fått i det nasjonale barnevaksinasjonsprogrammet.
Det at registrene tilfredsstiller lovens krav, betyr likevel ikke at ting ikke kan gjøres bedre. Det er et langsiktig mål å gjøre alle registrene elektroniske. Dette vil gjøre det langt enklere å få til gode krypteringsløsninger. Gjennom Nasjonalt helseregisterprosjekt er det foreslått en tiårsplan for modernisering av helseregistrene.
Så til spørsmål 2: Det hersker ikke tvil om at lovvedtak fattet av Stortinget skal følges opp av regjering og underliggende etater. Som Bjarne Håkon Hanssen og jeg tidligere har vist til, har det helt siden krypteringskravet kom, vært arbeidet med å finne løsninger for å oppfylle lovens krav. Stortinget la imidlertid til grunn i innstillingen at kryptering allerede var gjort i helseregistrene. Da vi gikk inn i dette, fant vi at det foreligger en rekke sikkerhetstiltak i registrene, i tråd med kravene i helseregisterloven, men kryptert, i dagens forståelse av kravet, var de ikke.
Det vil alltid være problematisk når Stortinget fatter vedtak uten at dette er tilstrekkelig utredet i forkant. Kravet om intern kryptering av alle helseregistrene var ikke en del av det forslaget som regjeringen fremmet i Ot.prp. nr. 49. Stortingets vedtak om å lovfeste et krav om intern kryptering for alle helseregistrene avvek i så måte fra daværende regjerings forslag og altså fra det høringsnotatet som regjeringen Bondevik sendte ut i 2005. Det ble likevel vedtatt ved behandlingen i 2007 at lovendringen skulle tre i kraft straks.
Avslutningsvis vil jeg understreke at departementet og de sentrale helseregistrene har lagt inn betydelige ressurser i arbeidet med å få alle registrene internt kryptert, i tråd med Stortingets vedtak.
Møtelederen: Takk for det.
Da er det Per-Kristian Foss, som er saksordfører, som har 10 minutter til disposisjon, og jeg vil presisere at det er utspørreren selv som disponerer hele tiden, uten innblanding fra møtelederen.
Per-Kristian Foss (H): Hva er statsrådens definisjon av at en lov må tre i kraft straks?
Statsråd Anne-Grete Strøm-Erichsen: Det er at loven skal tre i kraft når den er vedtatt.
Per-Kristian Foss (H): Statsråden har altså vært statsråd et år og kan se tilbake på at siden ikrafttredelsesvedtaket og Stortingets lovvedtak ble fattet, har det gått over tre år. Mener statsråden at hun har oppfylt sin informasjonsplikt om straksvedtaket tatt i betraktning at det ikke er iverksatt?
Statsråd Anne-Grete Strøm-Erichsen: Jeg har vært helse- og omsorgsminister i sju måneder. Jeg har uten opphør i denne tiden arbeidet i departementet for at vi skulle få oppfylt lovens krav på alle helseregistrene.
Ellers slutter jeg meg til det som tidligere helseminister sa: Det er klart at når man ser det i ettertid, skulle man vurdert å fremme en ny lovproposisjon, hvor man ba om utsatt ikrafttredelse av loven.
Per-Kristian Foss (H): Mitt spørsmål gjaldt hvordan man forholdt seg til at vedtaket skulle tre i kraft straks? Er det tøyelig etter statsrådens mening?
Statsråd Anne-Grete Strøm-Erichsen: Det er ikke slik at et lovvedtak er tøyelig, men jeg understreker igjen at vi har jobbet hele tiden for å kunne oppfylle lovens krav.
Så må jeg si at når vi ser på sikkerhetstiltakene, er kryptering bare én del – og i denne sammenheng faktisk en ganske liten del – av de totale sikkerhetskravene på helseregistrene. Det aller viktigste med helseregistrene er at sensitive opplysninger er beskyttet for innsyn …
Per-Kristian Foss (H): Det fikk jeg også med meg, men det er ikke det høringen gjelder. Jeg fikk også med meg at intern kryptering alene ikke er nok. Der er jeg helt enig med statsråden, kultur i behandlingen av det og veldig mye annet må oppfylles. Men nå er vi inne på temaet om informasjonsplikten overfor Stortinget. Da er mitt spørsmål: Mener statsråden at det å jobbe med å få en sak gjennomført er det samme som å la loven iverksettes straks?
Statsråd Anne-Grete Strøm-Erichsen: Igjen vil jeg understreke at vi har arbeidet på mange måter for å oppfylle lovens krav, og har hele tiden fokusert på å kunne tilfredsstille lovens krav parallelt med at det har vært jobbet med mange andre sikkerhetstiltak.
Per-Kristian Foss (H): Da har jeg et spørsmål med utgangspunkt i den forrige høringen med tidligere statsråd Hanssen.
Han brukte uttrykket at man nok i ettertid burde vurdert å gå til Stortinget med opplysninger om at loven etter to år ikke var trådt i kraft. Vil statsråden si det samme for sin periodes del?
Statsråd Anne-Grete Strøm-Erichsen: Nå vil jeg si at i løpet av disse syv månedene har alle registrene så nær som ett, Dødsårsaksregisteret, som vil bli kryptert i nærmeste fremtid, oppnådd status å være internt kryptert. Slik at …
Per-Kristian Foss (H): Det var ikke det spørsmålet gjaldt!
Statsråd Anne-Grete Strøm-Erichsen: Som jeg også har sagt tidligere, har jeg hatt fullt fokus på at vi skulle oppfylle lovens krav. Det er lett i ettertid …
Per-Kristian Foss (H): Da får jeg stille spørsmålet på en annen måte når jeg ikke får noe svar på spørsmålet. Man behøver ikke gjenta innledningen, for den har vi fått med oss.
Jeg stiller spørsmålet: Har statsråden i sine syv måneder vurdert å gå til Stortinget med informasjon om at Stortinget har fattet vedtak på feilaktig grunnlag og ikke er informert om at det er gått tre år uten av loven er iverksatt?
Statsråd Anne-Grete Strøm-Erichsen: Nå er det slik at jeg har sendt et brev til Høyres stortingsgruppe datert 3. mars, og jeg har også sendt et brev til kontroll- og konstitusjonskomiteen i mars. …
Per-Kristian Foss (H): Ja, men det var fordi statsråden var blitt spurt om det!
Statsråd Anne-Grete Strøm-Erichsen: Jo, men jeg gjorde det på det tidspunkt og orienterte da ganske grundig om status på registrene. Og …
Per-Kristian Foss (H): Men det var informasjon som Stortinget hadde fått helt utenfra. På egen hånd har ikke statstråden informert Stortinget om problemene med iverksettelsen i den tiden hun har hatt parlamentarisk ansvar for Helse- og omsorgsdepartementet?
Statsråd Anne-Grete Strøm-Erichsen: Nei, jeg har hatt fullt fokus på å få gjennomført krypteringen av helseregistrene i tråd med lovens vedtak.
Per-Kristian Foss (H): I det statsråden nå sa avslutningsvis, viser hun til det samme som i brevet til kontrollkomiteen, nemlig at Stortingets vedtak om å lovfeste krav om intern kryptering avvek fra Regjeringens forslag. Hva er grunnen til at den opplysningen bringes inn? Er det slik å forstå at iverksettingskravet av lovvedtaket stiller i en annen klasse?
Statsråd Anne-Grete Strøm-Erichsen: Nei, men fordi bl.a. i forarbeidene til den loven, altså Ot.prp. nr. 49 for 2005–2006, står det egentlig problematisert dette med intern kryptering. Og det står også begrunnet hvorfor departementet mente at akkurat når det dreide seg om kryptering, burde det være en del av forskriften og ikke en del av loven, fordi ulike løsninger for kryptering …
Per-Kristian Foss (H): Ja, men statsråden er bundet av Stortingets vedtak!
Jeg bare minner om det, og at meninger om Stortingets vedtak i forkant slik sett ikke fritar statsråden for å følge opp loven.
Statsråd Anne-Grete Strøm-Erichsen: Ja, jeg ser det at alle statsråder er bundet av Stortingets vedtak. Derfor var jeg også veldig opptatt av å kunne oppfylle Stortingets vedtak.
Per-Kristian Foss (H): Jeg gjentar spørsmålet: Hvorfor informerte du ikke? Statsråden hadde en bakgrunn fra Forsvarsdepartementet, hvor statsråden var kjent med de problemene som da meldte seg der når det gjaldt å kryptere Forsvarets registre. Så statsråden var på en måte godt kjent med problemstillingen da hun tiltrådte som helseminister. Mitt spørsmål er da: Med den bakgrunnen, hvorfor informerte hun da ikke Stortinget om at et lovvedtak med en straksiverksettelsesordlyd ikke var iverksatt?
Statsråd Anne-Grete Strøm-Erichsen: Det var fordi jeg var opptatt av å følge opp det arbeidet som var startet opp i Helse- og omsorgsdepartementet med å få kryptert registrene og oppfylle lovens krav, og det har vi holdt på med siden.
Per-Kristian Foss (H): Hadde det vært noe problem, og ville det arbeidet stoppet opp om man hadde informert Stortinget om det, da?
Statsråd Anne-Grete Strøm-Erichsen: Nei, men nå ble det i brevs form, i to brev, informert om dette i mars i år.
Per-Kristian Foss (H): Ja, men statsrådens informasjonsplikt er ikke å svare på et brev, det er på selvstendig grunnlag å informere om at vedtaket ikke er iverksatt. Det gjorde statsråden altså ikke på noe tidspunkt?
Statsråd Anne-Grete Strøm-Erichsen: Jeg …
Per-Kristian Foss (H): Det er mulig å svare ja eller nei på det spørsmålet!
Statsråd Anne-Grete Strøm-Erichsen: Jeg må bare gjenta at i etterkant er det veldig lett å sitte og si at vi burde kanskje ha gått tilbake med en sak og bedt om en utsatt iverksettelse av loven. Det ble da ikke vurdert. Jeg har fokusert på å få oppfylt lovens krav.
Per-Kristian Foss (H): Når mener statsråden at det hadde vært betimelig å be om en utsettelse av iverksettelsen? I år 1, år 2 eller i år 3 etter vedtaket, der hun selv var inne?
Statsråd Anne-Grete Strøm-Erichsen: Jeg vil bare si at i løpet av sju måneder har vi nå fått kryptert alle helseregistrene, så nær som Dødsårsaksregisteret, som blir kryptert i nærmeste fremtid. Vi har hatt fullt fokus på å jobbe med sikkerhetsløsninger. Det er det viktige i denne sammenheng. Det er viktig at helseregistrene har god sikkerhet. Det har vært mitt fremste fokus, og det er det jeg har jobbet med.
Per-Kristian Foss (H): Mener statsråden at internt arbeid i et departement, arbeid som er ukjent for offentligheten, er fullgodt med å informere Stortinget?
Statsråd Anne-Grete Strøm-Erichsen: Jeg sendte brev til Stortinget i mars i år om dette. Jeg sendte brev til Høyres gruppe og kontroll- og konstitusjonskomiteen om status på registrene.
Per-Kristian Foss (H): Men ingen informasjon før det?
Statsråd Anne-Grete Strøm Erichsen: Vi sendte ikke noe før det. Men vi hadde altså full fokus på å oppfylle lovens krav i registrene. Jeg vil også minne om at det var ikke noen klar definisjon av …
Per-Kristian Foss (H): Det leder meg til mitt siste spørsmål. Du brukte mye tid i innledningen – og jeg synes det var nyttig – på å drøfte begrepet «intern kryptering», som er faglig vanskelig. Synes du det har vært tilfredsstillende at departementet ikke hadde sitt første formelle møte med Datatilsynet før den 14. mars i år om dette?
Statsråd Anne-Grete Strøm-Erichsen: Men det har jo vært en dialog med Datatilsynet. Jeg har også selv hatt møte med Datatilsynet. Og når det gjelder …
Per-Kristian Foss (H): Har statsråden hatt noe møte før den 14. mars?
Statsråd Anne-Grete Strøm-Erichsen: Jeg hadde vel et møte med Datatilsynet helt i begynnelsen av mars – jeg tror det var den 4. mars. Det var et møte hvor vi drøftet ulike registre til ulike formål og personvern i forbindelse med registre. Det var et veldig nyttig møte. Men når det gjelder akkurat dette punktet, om krypteringen og hvordan det skal forstås, mener jeg at det er departementet som har retten til å fortolke det.
Per-Kristian Foss (H): Unnskyld at jeg må avbryte, for jeg har bare 10 sekunder igjen.
Mener statsråden at man nå er enig med Datatilsynet om definisjonen av intern kryptering?
Statsråd Anne-Grete Strøm-Erichsen: Jeg er helt overbevist om at den internkrypteringsløsningen som vi nå har på våre helseregistre, oppfyller lovens krav. Så er det som jeg sa: Man kan alltid gjøre ting bedre og på en annen måte. Men det er ikke noe krav om, som på Norsk pasientregister, at man skal ha adskilte personopplysninger og helseopplysninger. Det er det ikke noe krav om i loven, men alle opplysningene er internt krypterte. Det betyr også at de personindentifiserbare opplysningene er internt krypterte.
Møtelederen: Takk for det. Tiden er godt og vel ute.
Jeg minner om at når den røde lampen slukner, er taletiden ute – etter at den har lyst i 30 sekunder.
Da er det Arbeiderpartiets tur til å stille spørsmål, og jeg gir ordet til Bendiks H. Arnesen i 5 minutter – vær så god.
Bendiks H. Arnesen (A): Som jeg sa i stad, er jo dette et spørsmål om hvorfor denne saken ikke er blitt effektuert før. Jeg synes både tidligere statsråd og nåværende statsråd har svart grundig på det spørsmålet.
Men i brevet fra helse- og omsorgsministeren til komiteen av 11. mars står det at det å få på plass full intern kryptering av alle helseregistrene elektronisk «vil kreve tid og ressurser». Kan du utdype dette litt mer? Hva vil det koste? Og hvor lang tid vil dette ta?
Statsråd Anne-Grete Strøm-Erichsen: Det er startet opp et stort prosjekt om nasjonale helseregistre i Helse- og omsorgsdepartementet for å få alle helseregistrene over på en mer moderne form, mer i tråd med Norsk pasientregister. Det arbeidet er startet opp. Det forslaget har vært på høring. Da ligger vel høringsresultatene i departementet.
Det er gjort anslag på at det kan koste mellom 50 og 100 mill. kr å modernisere alle helseregistrene og få dem over på en ny form. Det er også et tidkrevende arbeid, som man regner med at man vil bruke ti år på. Men da vil jeg understreke at da er det ikke bare snakk om kryptering. Da er det snakk om å få dem over på en helt annen arkitektur enn i dag.
Bendiks H. Arnesen (A): Takk, det var grei tilbakemelding.
Men jeg har lyst til å spørre litt mer. Jeg ser at departementet sier at moderniseringen av disse registrene vil gi bedre helse, og her trekker man Kreftregisteret fram som et eksempel på noe som fungerer godt. Kan du si litt mer om det?
Statsråd Anne-Grete Strøm-Erichsen: Hele hensikten med å ha gode helseregistre er jo at man skal vinne erfaring, man skal kunne overvåke sykdomssituasjoner, man skal kunne følge opp pasienter, man skal kunne bruke ny kunnskap fra tidligere pasienter. Det er jo alt dette som er så viktig når det gjelder helseregistre. Det er klart at Kreftregisteret er noe som veldig mange har et forhold til, for man vet jo at Kreftregisteret har hjulpet til med å vinne ny kunnskap og kunne bruke nye metoder, ny behandling på nye pasienter. Det er jo nettopp derfor det var så viktig å få hjerte- og karregisteret på plass, også som et personidentifiserbart register, nettopp fordi man også skal kunne følge opp pasienter over tid.
Det er mulig at Geir Stene-Larsen, som har ansvar for å følge folkehelsen, burde ha sagt noe om dette. Jeg vet ikke om han kan si noe om det?
Geir Stene-Larsen: Jeg kan jo legge til at vi framhever Kreftregisteret fordi det i realiteten er det eneste sykdomsregisteret vi har hatt til nå. Nå får vi også et register for hjerte- og karsykdommer, som er den andre av de aller største folkesykdommene. Men det er en mangel i dag, faktisk, at vi ikke har like god oversikt over mange av de andre store folkesykdommene, som kols, diabetes og de andre. Men Kreftregisteret har gitt oss veldig mye bra.
Bendiks H. Arnesen (A): Jeg har lest gjennom en del dokumenter, og jeg registrerer at statsråden sier at vi skal klare å forbedre helseregistrene uten å gå på akkord med personvernet. Jeg synes også det kunne være interessant å få det utdypet, for jeg har jo lest hva Datatilsynet sier, og de motforestillingene de har.
Statsråd Anne-Grete Strøm-Erichsen: Det er mange teknikker man kan bruke i forbindelse med registre for å fremme personvern og for å gjøre dem enda sikrere. Det er klart at Norsk pasientregister, som denne proposisjonen egentlig handlet om, er et register med en moderne standard og god sikkerhet, også utenom krypteringen. Men det som selvfølgelig er viktig, er jo å ivareta sikkerheten når det gjelder å ha sikre soner for hvor registeret oppbevares. Noen steder oppbevares det på egne maskiner i helt egne, lukkede nett som ikke er koblet til noe annet, men noen registre – som direktøren for Folkehelseinstituttet sa i stad – er det helt nødvendig at man har tilgang til, f.eks. vaksineregisteret som alle landets helsesøstre er på.
Møtelederen: Jeg tror vi må avslutte der. Tiden er godt og vel ute.
Da er det Fremskrittspartiets tur til å stille spørsmål, og det er jeg som har gleden av å stille Fremskrittspartiets spørsmål.
Du har vært statsråd i syv måneder. På hvilket tidspunkt ble du klar over at du var i en situasjon hvor du ikke fulgte Stortingets vedtak?
Statsråd Anne-Grete Strøm-Erichsen: Formelt sett er det jo slik at når departementet er kjent med en problemstilling, kan heller ikke statsråden unndra seg dette. Men hvis du spør når jeg personlig ble oppmerksom på dette, var det i februar.
Møtelederen: Så det betyr at du ikke personlig har hatt dette hovedfokuset i syv måneder, som du sa i stad.
Statsråd Anne-Grete Strøm-Erichsen: Jeg har personlig hatt hovedfokus på registrene – jo – fordi jeg har vært opptatt av at man skulle få på plass registre. Det var mye diskusjon om hjerte- og karregisteret. Jeg reiste på besøk til Medisinsk fødselsregister i Bergen for å sette meg inn i hele problematikken rundt registeret, og jeg var på Folkehelseinstituttet og fikk orientering om registeret …
Møtelederen: Takk for det.
Statsråd Anne-Grete Strøm-Erichsen: … slik at jeg har hatt fullt trykk på registre fra jeg kom inn i departementet.
Møtelederen: Men du har ikke vært kjent med det personlig? Det er greit.
Statsråd Anne-Grete Strøm-Erichsen: Jo …
Møtelederen: I det brevet du skrev til kontroll- og konstitusjonskomiteen 11. mars 2010, skrev du bl.a. om arbeidet med å oppfylle lovens krav at «dette arbeidet gis nå aller høyeste prioritet». Hvilken prioritet har det hatt før?
Statsråd Anne-Grete Strøm-Erichsen: Jeg vil jo si at det har hatt høy prioritet i departementet etter det jeg er gjort kjent med. Som også tidligere statsråd sa i dag, har det hatt høy prioritet når det gjelder å oppfylle lovens krav. Dette har det jo vært jobbet med i Folkehelseinstituttet og i departementet.
Møtelederen: Men det må jo ha hatt en lavere prioritet enn den «aller høyeste» i og med at du presiserer at det fra nå gis «høyeste prioritet».
Statsråd Anne-Grete Strøm-Erichsen: Det har jo selvfølgelig også noe å gjøre med definisjonen av hva som egentlig kreves her. Hvis man hadde lagt Norsk pasientregister til grunn, kunne man sett at det ble en annen måte å kryptere på enn den som jeg nå mener absolutt tilfredsstiller lovens krav.
Møtelederen: Mener statsråden at det er forsvarlig at et departement ikke har som «høyeste prioritet» å følge opp Stortingets vedtak?
Statsråd Anne-Grete Strøm-Erichsen: Det jeg sier om at dette arbeidet har «høyeste prioritet», har jo saken vist. Vi har jobbet og jobbet for å få dette til og for å få oppfylt Stortingets krav. Det har det vært jobbet med helt siden dette ble vedtatt.
Møtelederen: I det samme brevet står det:
«Det er et mål at alle de sentrale helseregistrene skal være elektroniske og dermed muliggjøre full intern kryptering.»
Hvordan henger det sitatet sammen med det vedtaket Stortinget fattet i 2007 om at loven trer i kraft straks?
Statsråd Anne-Grete Strøm-Erichsen: Som jeg sa, var det vedtaket fattet på bakgrunn av at man antok at alle de tidligere helseregistrene hadde kryptert personidentifiserbare opplysninger. Det viste seg jo i ettertid at det ikke stemte. Man tok et unntak for Forsvarets helseregister. Men så viste det seg, som sagt, i ettertid at det ikke stemte, og så har man etter det jobbet uten opphør for å tilfredsstille lovens krav.
Møtelederen: Da er det, som du er kjent med, regjeringspartienes stortingsgrupper som både i merknad og etter forslag fikk dette vedtatt, og vi er jo kjent med at det er en nær dialog mellom departementet og regjeringspartienes fraksjoner på Stortinget i slike sammenhenger.
Men du sier nå at du var kjent med at Stortinget fattet et vedtak på feil grunnlag, og det utløste ingen reaksjon i forhold til at du hadde en selvstendig plikt til å gjøre Stortinget oppmerksom på dette.
Statsråd Anne-Grete Strøm-Erichsen: Jeg svarte Stortinget i mars i år og ga en status med hensyn til hvordan det var med helseregistrene.
Møtelederen: Men informasjonsplikten handler vel ikke om at du skal vente på et initiativ fra Stortinget – at Stortinget skal spørre og grave om det er noe vi trenger å vite? Informasjonsplikten er vel relatert til at du som statsråd har ansvar for å sørge for at Stortinget er skikkelig opplyst om de spørsmål som Stortinget skal være opplyst om. Her har vi en situasjon hvor det har gått tre år uten at Stortingets vedtak er oppfylt, og det utløste ingen reaksjon hos deg eller i departementet for øvrig i forhold til direkte å informere Stortinget.
Statsråd Anne-Grete Strøm-Erichsen: Stortingets vedtak var oppfylt for Norsk pasientregister, som ikke ble iverksatt før man kunne oppfylle alle lovens krav. Fordi det var et nytt register, jobbet man selvfølgelig med å få oppfylt lovens krav og med to andre registre, som jeg nevnte. Og så har det vært jobbet hele tiden, uten opphør, med sikkerhetsløsninger og med krypteringsløsninger.
Møtelederen: Helt til slutt: Føler du at du har oppfylt informasjonsplikten din overfor Stortinget?
Statsråd Anne-Grete Strøm-Erichsen: Jeg mener at Stortinget har fått svar på det partiene og kontroll- og konstitusjonskomiteen har bedt om å få svar på.
Jeg ser jo også i ettertid at man burde vurdert å få utsatt ikrafttredelse ved å gå ut med en ny lovproposisjon til Stortinget.
Møtelederen: Takk, da er tiden godt og vel ute også der, og det er lagt inn 5 minutter til oppklarende spørsmål fra komiteen.
Per-Kristian Foss – vær så god.
Per-Kristian Foss (H): Jeg følger opp akkurat det siste du sa. Det var det samme som foregående statsråd også sa – at man burde vurdert det. Men betyr det at du ikke på noe tidspunkt vurderte det?
Statsråd Anne-Grete Strøm-Erichsen: Som jeg har sagt, har mitt fokus vært på at vi skulle oppfylle lovens krav, og at vi skulle ha helseregistre som var godt sikret på alle måter.
Per-Kristian Foss (H): Du vurderte altså ikke på noe tidspunkt å informere Stortinget om at et to år gammelt lovvedtak ikke var trådt i kraft.
Statsråd Anne-Grete Strøm-Erichsen: I mars informerte jeg Høyres stortingsgruppe og kontroll- og konstitusjonskomiteen i brevs form om status for helseregistrene. Det var altså før vi behandlet hjerte- og karregisteret i Stortinget.
Det ble det informert om i mars.
Møtelederen: Da er det Marit Nybakk – vær så god.
Marit Nybakk (A): Takk, leder.
Jeg synes både nåværende statsråd og tidligere statsråd har svart grundig både på hvorfor det har tatt lang tid å sette dette lovverket ut i livet, på hele spørsmålet knyttet til informasjonsplikt, og på hva man burde ha gjort og ikke burde gjort.
Jeg vil likevel be statsråden bekrefte én ting: I Stortinget er vi av og til litt småirriterte på at departementene tilsynelatende ikke alltid leser stortingsinnstillingene, men bare leser regjeringens dokumenter. Jeg vil derfor be statsråden bekrefte at lovvedtak som er initiert fra Stortinget og fra en stortingskomité, fattet av Stortinget uten forutgående lovproposisjon, eller altså uten forarbeider fra departementet, blir behandlet like seriøst og grundig i departementet som de paragrafer som blir vedtatt på bakgrunn av en lovproposisjon. Det kan være greit å få det bekreftet også for referatets skyld.
Statsråd Anne-Grete Strøm-Erichsen: Ja, det er selvsagt at lovvedtak er like gyldig, og jeg synes også at det at departementet faktisk har jobbet hele tiden med å få oppfylt dette kravet, lovens krav – og som jeg også opplever at tidligere statsråd beskrev veldig i detalj – er en bekreftelse på at det selvfølgelig er slik at et lovvedtak, selv om det kommer fra Stortinget og ikke har den vanlige høringsrunden, blir oppfylt.
Møtelederen: Takk for det. Da har jeg tegnet meg selv til spørsmål.
Jeg har forstått på svarene til statsråden at statsråden ikke var kjent med dette før i februar, altså en tid etter at hun tiltrådte. Vi har tidligere hatt tidligere statsråd Hanssen inne, hvor han har fortalt at han ikke overbrakte den informasjonen til den nye statsråden om at det var en situasjon hvor Stortingets vedtak ikke var fulgt opp. Mener statsråden at det ville ha vært en fordel å ha fått den informasjonen direkte på et tidligere tidspunkt?
Statsråd Anne-Grete Strøm-Erichsen: Da jeg ble spurt om når jeg personlig ble kjent med det og svarte på det, er det jo ikke fordi jeg vil unndra at jeg har et ansvar som statsråd. Jeg synes på en måte det er det som betyr noe her – hvilket ansvar jeg har som statsråd for å oppfylle Stortingets vedtak. Og det som i alle fall er sikkert, er at det har vært arbeidet i departementet og underliggende etater for å oppfylle dette kravet, som også var et krav som kom i forbindelse med Stortingets behandling. Det har jeg hatt veldig stor oppmerksomhet på, selvfølgelig, etter at jeg ble nærmere kjent med hva som lå i dette.
Så har jeg lyst til å understreke at dette er en ganske komplisert problemstilling, så det er jo ikke slik at fordi om man får vite om noe, så kjenner man til problemstillingene i dybden. Jeg har brukt mye tid på å sette meg inn i helseregistrene, og jeg har brukt mye tid på hele problematikken rundt fordi jeg synes det er viktig. Jeg synes også det er viktig at folk i vårt land skal ha trygghet for at sensitive opplysninger i helseregistrene er godt ivaretatt.
Møtelederen: Takk for det.
Ingen flere har tegnet seg til tilleggspørsmål, og vi er da kommet til den oppsummerende runden, hvor statstråden har mulighet til å oppsummere i 5 minutter, dersom hun ønsker det.
Statsråd Anne-Grete Strøm-Erichsen: Jeg opplever at jeg har fått svart på de spørsmålene som jeg har blitt stilt. Men jeg vil nok en gang understreke at departementet og de sentrale helseregistrene har lagt inn betydelige ressurser i arbeidet med å få alle registrene internt kryptert, i tråd med Stortingets vedtak. Så er det slik at arbeidet ble større og vanskeligere enn man i utgangspunktet kunne forestille seg. I ettertid ser jeg, som jeg også har sagt, og som forrige statsråd sa, at man skulle ha vurdert utsatt ikraftsetting av hele eller deler av lovvedtaket. Men det skal ikke være noen tvil om at dette er noe som vi har jobbet med, tatt veldig seriøst og hatt stort fokus på.
Møtelederen: Takk for det. Vi takker for ditt bidrag og svarene på våre spørsmål.
Vi tar nå en liten pause i kontrollhøringen frem til kl. 10.40.
Høringen ble avbrutt kl. 10.26.
-----
Høringen ble gjenopptatt kl. 10.40.