Høring med forsvarsminister Grete Faremo og  tidligere forsvarsminister Anne-Grete Strøm-Erichsen

Møtelederen: Da er vi klare til å starte opp igjen, og vi er kommet til del to av denne kontrollhøringen der temaet er oppfølging av Stortingets vedtak om kryptering av Forsvarets helseregister.

Jeg vil i den anledning få ønske forsvarsminister Grete Faremo velkommen og tidligere forsvarsminister Anne-Grete Strøm-Erichsen velkommen tilbake. Dere har med dere to bisittere: ekspedisjonssjef Gisle Norheim og sjef for Forsvarets sanitet, generalmajor John Maxfield Steineger. Velkommen også til dere.

Vi har lagt opp til at Faremo og Strøm-Erichsen hver får en innledning på 5 minutter – og først ut er Anne-Grete Strøm-Erichsen. Vær så god. Du har 5 minutter til disposisjon.

Anne-Grete Strøm-Erichsen: Takk for det, komitéleder.

Helse- og omsorgsdepartementet sendte 7. oktober 2008 en henvendelse til databehandlingsansvarlige for de ulike sentrale helseregistrene. Bakgrunnen for henvendelsen var lovendringen av 16. februar 2007 i helseregisterloven § 8 tredje ledd om at direkte personidentifiserende kjennetegn skal lagres kryptert i registrene. Grunnet behovet for en nærmere avklaring av hva som ligger i lovens krav til kryptering, ba HOD adressatene bl.a. om en redegjørelse for om de ulike registrene oppfylte lovens krav til kryptering og eventuelle utfordringer knyttet til dette.

Forsvarsdepartementet ba Forsvarsstaben i brev av 16. oktober 2008 om en redegjørelse for hvordan Forsvarets helseregister oppfylte kravet til kryptering. Departementet ble i svarbrev fra Forsvarets sanitet 13. november 2008 gjort oppmerksom på at det var et avvik i forhold til lovens krav til kryptering. Det ble samtidig redegjort for øvrige sikkerhetstiltak for registeret. Dette ble videreformidlet til Helse- og omsorgsdepartementet.

I brev av 3. februar 2009 ga Forsvarsdepartementet Forsvarets sanitet oppdrag om å utarbeide et forslag til løsning for å oppfylle kravet til kryptering i helseregisterloven. Forsvarets sanitet orienterte Forsvarsdepartementet i brev av 25. august 2009 om at de i samarbeid med andre helseregistre arbeidet med å finne tekniske løsninger for kryptering, og ba samtidig om mer tid til å ferdigstille dette.

Kravet til kryptering må ses i sammenheng med helseregisterloven § 16 om sikring av konfidensialitet, integritet, kvalitet og tilgjengelighet. Kryptering er ett av flere sikkerhetstiltak som skal bidra til å hindre at opplysninger ikke kommer på avveier eller misbrukes på andre måter.

Forsvarets helseregister ble etablert uten krav om kryptering, og en la derfor ikke dette inn i den valgte løsningen. Forsvarets helseregister er lokalisert innenfor et sikret område med f.eks. kortlesere til ytterdør, heis og trapp. Selve registeret er plassert på et eget avlåst område hvor kun autorisert personell har adgang. Det er kun fire sikkerhetsklarerte og særskilt autoriserte personer som har fullt passordbeskyttet tilgang til opplysninger i registeret. Datainnhenting skjer hovedsakelig gjennom Forsvarets sikkerhetsgraderte nettverk. All transport av data inn og ut av selve registeret skjer manuelt. Selve registeret er ikke tilknyttet noe annet nettverk. All databehandling skjer på to arbeidsstasjoner i det samme rommet som registeret står. Det er kun avidentifiserte og anonymiserte data som utleveres fra registeret. Når data utleveres fra helseregisteret, vil opplysninger om f.eks. alder og avdelingstilhørighet være aggregert, slik at gruppene som fremkommer ved å krysse alder, kjønn, opplysninger av tjenlig art osv., omfatter ca. 20 personer som minimum. Sikkerhetstiltakene er nedfelt i en forholdsvis omfattende sikkerhetshåndbok for registeret. Som denne gjennomgangen viser, er det altså foretatt flere grep for å sikre Forsvarets helseregister.

Arbeidet med å utvikle en tilfredsstillende løsning for kryptering av direkte personidentifiserende kjennetegn har vært en tidkrevende prosess. Det har bl.a. hersket tvil om hva denne krypteringen innebærer, siden dette heller ikke var utredet før loven ble vedtatt. Det må også nevnes at Forsvarets helseregister i mai 2009 flyttet fra Ullevål sykehus til dagens lokaler i Oslo sentrum. Denne flytteprosessen var ressurskrevende og medførte også et behov for å fokusere på andre sikkerhetstiltak knyttet til registeret enn selve krypteringen. Som denne gjennomgangen viser, har det vært et stort administrativt og teknisk fokus i organisasjonen for å sikre registeret tilstrekkelig. Jeg er trygg på at de sikringstiltakene som eksisterte i min periode som forsvarsminister, ga en svært høy grad av sikkerhet rundt Forsvarets helseregister. Samtidig må jeg erkjenne at vi likevel ikke lyktes i å oppfylle lovens krav om kryptering av personidentifiserende opplysninger.

Møtelederen: Takk for det.

Da gir jeg ordet videre til statsråd Grete Faremo. Vær så god.

Statsråd Grete Faremo: Komitéleder, ærede komité, tusen takk for invitasjonen.

La meg først si at Forsvarsdepartementet er databehandlingsansvarlig for Forsvarets helseregister, og har således det øverste ansvaret for tilfredsstillende sikkerhet for registeret.

Som min forgjenger redegjorde for, så eksisterer det en rekke sikkerhetstiltak for helseregisteret. Dette er og har vært et kontinuerlig arbeid. Jeg vil også nevne innledningsvis den usikkerheten som har vært knyttet til forståelse av lovendringen som ble foretatt i 2007. HOD har nå gitt ut nærmere retningslinjer for hvordan krypteringskravet i loven skal forstås, og jeg kommer litt tilbake til dette senere.

La meg først si litt om sikkerhetstiltak fra oktober 2009. Siden jeg tiltrådte, har det blitt iverksatt ytterligere tiltak for å hindre uautorisert tilgang til registeret, og jeg vil spesielt trekke fram tre tiltak. Den fysiske sikkerheten er styrket ved at det for det første er installert et alarmanlegg. Videre er serveren ytterligere sikret med et låsbart dataskap. I tillegg er harddisken til Forsvarets helseregister kryptert.

Som min forgjenger har vært inne på, har Forsvarets sanitet arbeidet med å finne en teknisk løsning for å oppfylle lovens krav om kryptering. Etter at jeg tok over som forsvarsminister, gjentok Forsvarets sanitet i brev til departementet i november 2009 at de trengte mer tid for å finne en slik løsning. Datatilsynet gjennomførte skriftlig tilsyn med Forsvarets helseregister i februar 2010. På dette tidspunktet hadde registeret, som nevnt, innført harddiskkryptering. I vårt svarbrev til Datatilsynet erkjente departementet at vi ikke hadde oppfylt lovens krav til kryptering av personidentifiserende kjennetegn. Vi opplyste videre at departementet vurderte et forslag fra Forsvarets sanitet til en mulig teknisk løsning på dette. HOD har i ettertid gitt ut nærmere retningslinjer for hvordan krypteringskravet skal forstås. De skriver der at for flere av de eksisterende registrene er det, grunnet bl.a. umoderne IT-arkitektur, ikke mulig å kryptere persondata. For disse registrene uttaler HOD at det er tilstrekkelig å kryptere harddisken og sikkerhetskopiene til registrene. Med dette som bakteppe kan det synes som om Forsvarets helseregister hadde en tilfredsstillende kryptering i februar i år. HOD har imidlertid uttalt i retningslinjene at det er et langsiktig mål også for disse registrene at identitet og helseopplysninger holdes atskilt, og at identiteten krypteres. Det nevnte forslaget til en mulig teknisk løsning fra Forsvarets sanitet har, sammen med andre alternativer, vært til vurdering og bearbeiding i departementet. Og vi mener nå at vi har funnet en løsning som ivaretar målsettingen om atskillelse og kryptering av personidentifiserende kjennetegn, samtidig som registerets IT-arkitektur blir modernisert. Den nye løsningen er installert, og det jobbes med å flytte alle helseregisterets data over på denne. For oss har det vært viktig at den nye løsningen tilfredsstiller lovens krav, men også at den bidrar til at registeret oppfyller sitt formål, og danner grunnlag for en videre utvikling av registeret. Å forbedre registerets funksjonalitet har derfor også vært en viktig faktor for oss i denne prosessen.

La meg si noe overordnet om den nye tekniske løsningen. All informasjon i Forsvarets helseregister er samlet i en databaseløsning. Personidentifiserende data krypteres særskilt og holdes atskilt fra helseopplysningene. De krypterte dataene kan bare dekrypteres av personell som er autorisert av departementet, og det vil bli etablert klare rutiner for dekrypteringen. All tilgang til den krypterte databasen vil automatisk logges av systemet for å sikre sporbarhet i prosessene. I tillegg er det etablert ekstra sikkerhet for å hindre innsyn i databasene for driftsteknisk personell med utvidede rettigheter.

Forsvarets helseregister mottar helseopplysninger fra Forsvarets sanitets pasientjournalsystem. All direkte personidentifiserende informasjon som mottas herfra, vil bli kryptert og separert fra helseopplysningene. Dette medfører at alle personidentifiserende opplysninger blir sikret kryptografisk i hele prosessen.

Datatilsynet har, som nevnt, foretatt tilsyn av Forsvarets helseregister, og departementet har i den forbindelse muntlig redegjort overfor Datatilsynet for vår løsning. Vi vil følge opp skriftlig innen 25. denne måned, og deretter avvente tilbakemelding fra dem på løsningen.

Selv om vi allerede har kryptert harddisken til registeret, er jeg glad for at vi nå har fått på plass en ny teknisk løsning. Denne løsningen ivaretar den langsiktige målsettingen om å atskille identitet og helseopplysninger i registeret samt å kryptere identiteten. Løsningen gir i tillegg registeret en bedre funksjonalitet.

Møtelederen: Takk for det.

Da gir jeg ordet til saksordføreren, Per-Kristian Foss, som har 10 minutter til disposisjon. Han styrer selv taletiden, uten innblanding fra møtelederen. Vær så god.

Per-Kristian Foss (H): Jeg vil åpne med å si at vi er glade for å se forsvarsministeren vel tilbake fra Afghanistan.

Jeg starter med tidligere forsvarsminister Anne-Grete Strøm-Erichsen, som var forsvarsminister i fire år.

1. februar 2007 vedtok Stortinget kryptering. I 2008, på en dato du redegjorde for, fikk dere brev fra Helsedepartementet, og i 2009 fulgte du dette videre opp. Mitt spørsmål er om du synes at den prosess du hadde på dette, eller det fokus du hadde på dette i fire år, var å sammenligne med det fokus du hadde som helseminister på samme tema i syv måneder?

Anne-Grete Strøm-Erichsen: Det er riktig at Forsvarsdepartementet ble gjort oppmerksom på dette i oktober 2008. Men da departementet ble gjort oppmerksom på det, gikk det jo øyeblikkelig en dialog inn mot Forsvarets sanitet for å undersøke hvorvidt vi oppfylte kravet om kryptering.

Helse- og omsorgsdepartementet, som da var konstitusjonelt ansvarlig for loven, ble orientert om at vi ikke oppfylte kravene, men Forsvaret, Forsvarets sanitet og Forsvarsdepartementet jobbet jo hele tiden med å oppfylle lovens krav, samtidig som man gjorde mange andre tiltak på sikkerhetssiden for å oppfylle helseregisterloven § 16, som jeg refererte til i innledningen min.

Per-Kristian Foss (H): Men føler du selv at du hadde det samme trykk på denne saken i fire år som det du tidligere har beskrevet at du som helseminister har på krypteringssaken?

Anne-Grete Strøm-Erichsen: Det som jeg var opptatt av som forsvarsminister, var at det var god sikkerhet på helseregistrene. Det som også kom veldig god frem i min periode som forsvarsminister, var hvor god nytte det var av registrene, og hvor viktig det faktisk var at vi hadde gode registre.

Per-Kristian Foss (H): Men det er ikke tema for høringen.

Anne-Grete Strøm-Erichsen: Nei, men det er svært viktig, fordi det dreier seg om hvorfor …

Per-Kristian Foss (H): Jeg tror jeg vil forbeholde meg retten til å spørre om det som er tema for høringen.

Da vil jeg gå tilbake til det konstitusjonelle ansvar for lovvedtaket. Var du som statsråd klar over implikasjonene av lovvedtaket – for Forsvarsdepartementet – i februar 2007?

Anne-Grete Strøm-Erichsen: Forsvarsdepartementet ble gjort oppmerksom på dette i oktober 2008 …

Per-Kristian Foss (H): Det var ikke det jeg spurte om.

Anne-Grete Strøm-Erichsen: Så kan man jo si: Kunne Forsvarsdepartementet være kjent med dette lovvedtaket? Jeg vil si at Forsvarsdepartementet ikke var kjent med det lovvedtaket. Det var litt spesielt at det ble et tillegg i den loven som ikke egentlig hadde noen ting med Forsvarsdepartementet eller Forsvaret og Forsvarets helseregister på det tidspunkt å gjøre. Dette ble vi gjort oppmerksom på av Helse- og omsorgsdepartementet i oktober 2008.

Per-Kristian Foss (H): Så du som medlem av regjeringen, og som møter i stortingsgruppen til et av regjeringspartiene, var altså ikke klar over at det var et slikt lovforslag på gang i februar 2007 som kom til å omfatte departementets eget helseregister?

Anne-Grete Strøm-Erichsen: Da vil jeg igjen minne om at det tillegget som kom, kom direkte til Stortinget. Det var ikke et tillegg som hadde vært på høring. Hadde dette vært …

Per-Kristian Foss (H): Det er jo derfor jeg spør slik. Jeg vet at det ikke var på høring. Det har du gjentatt utallige ganger.

Anne-Grete Strøm-Erichsen: Hadde dette vært på høring, ville jo alle vært kjent med det.

Per-Kristian Foss (H): Jo, men grunnen til at jeg spør om ditt medlemskap i gruppen, er at vanligvis kommer jo forslag til Stortinget i alle fall opp i de forberedende møter i stortingsgrupper og fraksjoner. De er jo ikke ukjente for statsråden.

Mitt spørsmål var: Snappet du aldri opp at dette kunne ha virkning for helseregisteret som du selv var konstitusjonelt ansvarlig for?

Anne-Grete Strøm-Erichsen: Som jeg sier, ble dette informert om til Forsvarsdepartementet i oktober 2008, og det var første gangen Forsvarsdepartementet fikk vite at det var gjort et tillegg til den loven som dreide seg om Norsk pasientregister – at dette tillegget hadde kommet. Det var vel ikke veldig sannsynlig, i og med at denne loven hadde vært på høring, at Forsvarsdepartementet med egen innsats skulle gå inn i loven og se om det var noe der som hadde implikasjoner for Forsvarets helseregister.

Per-Kristian Foss (H): Det hender jo at statsråder som politikere snapper opp ett og annet i Stortinget selv om det ikke har vært på høring?

Anne-Grete Strøm-Erichsen: Absolutt. Og jeg snapper opp ganske mye.

Per-Kristian Foss (H): Jeg skjønner det.

Anne-Grete Strøm-Erichsen: Men akkurat dette …

Per-Kristian Foss (H): …glapp.

Anne-Grete Strøm-Erichsen: … ble vi orientert om i oktober 2008.

Per-Kristian Foss (H): Da er mitt spørsmål: I den perioden etter at du ble informert, i oktober 2008, vurderte du på noe tidspunkt å informere Stortinget om at krypteringsvedtaket og iverksettingsvedtaket ikke var oppfylt?

Anne-Grete Strøm-Erichsen: Vi informerte Helse- og omsorgsdepartementet, som var ansvarlig for loven, om at vi ikke oppfylte denne delen av loven. Så gjorde vi, som jeg også redegjorde for, mange tiltak for å oppfylle lovens krav, og jobbe videre med det, bl.a. sammen med de andre helseregistrene. Samtidig var vi veldig opptatt av sikkerheten. Og når man ser hele sikkerhetsopplegget til Forsvarets helseregister, blir kryptering en veldig liten del, for det er jo faktisk mer eller mindre låst inne i en bunker – et helt eget register, godt sikret og ivaretatt i henhold til de kravene som ligger i helseregisterloven.

Per-Kristian Foss (H): Men tatt i betraktning at Stortinget ikke har ansett det som en ubetydelig del å kryptere, og har fattet et eget lovvedtak om kryptering av alle helseregistre på tvers av departementer, mener du da at det er tilstrekkelig informasjon til Stortinget at du har informert Helsedepartementet?

Anne-Grete Strøm-Erichsen: Det er Helse- og omsorgsdepartementet som er ansvarlig for den loven. Vi orienterte Helse- og omsorgsdepartementet om Forsvarets helseregister, og hadde også dialog med de andre helseregistrene for å kunne oppfylle lovens krav.

Per-Kristian Foss (H): Mitt spørsmål gjaldt informasjonen til Stortinget. Hadde du på noen måte uformelt informert fraksjonen eller komitéen i Stortinget underveis i din tid som forsvarsminister? Det var jo en egen forsvarskomité den gangen.

Anne-Grete Strøm-Erichsen: Ja, det var en egen forsvarskomité, og akkurat denne tekniske delen av registeret var ikke diskutert.

Per-Kristian Foss (H): Så et spørsmål til nåværende forsvarsminister Grete Faremo: Jeg fulgte med interesse din redegjørelse, og du mente at både adskillelse og kryptering nå var gjort på en måte som gjør at dere mener dere har oppfylt lovvedtaket. Dere er i dialog med Datatilsynet. Hvis Datatilsynet skulle komme til at de ikke har den samme oppfatning som departementet i forhold til lovvedtaket, hva vil du da gjøre?

Statsråd Grete Faremo: Jeg redegjorde for at vi, med bakgrunn i den lovforståelsen som er meddelt fra Helse- og omsorgsdepartementet, kan synes å ha oppfylt lovens krav allerede i februar i år, men at med de – kall det økte, framtidsrettede – muligheter som ligger i en databaseløsning, har vi valgt også å legge til rette for å implementere det. Vi er faktisk i disse dager nærmest ferdig med både den tekniske installasjonen og overføring av data. Dette gjør vi på bakgrunn av den økte funksjonaliteten dette gir oss, og vi har hatt en dialog med Datatilsynet der vi har gått igjennom, foreløpig muntlig, hva den nye løsningen innebærer. Men vi avventer altså tilbakemelding fra Datatilsynet om vår løsning, også på bakgrunn av en skriftlig redegjørelse vi skal gi innen 25. mai. Så vi har en prosess med Datatilsynet om også denne nye løsningen.

Per-Kristian Foss (H): Jeg gjentar spørsmålet: Hva gjør du dersom denne dialogen fører til at Datatilsynet ikke er like tilfreds som departementet er med løsningen, i forhold til Stortingets lovvedtak?

Statsråd Grete Faremo: Vi har lagt til grunn, noe også Helse- og omsorgsdepartementet har pekt på i sin lovforståelse, at det ligger mange gode, framtidsrettede muligheter i en løsning som separerer personidentifiserende kriterier fra helseopplysningene, og vi mener dermed at vi egentlig har på plass en løsning som gjør den dialogen mellom Datatilsynet og Helse- og omsorgsdepartementet mindre – kall det – interessant for oss i Forsvarsdepartementet.

Møtelederen: Takk for det – der er tiden ute.

Før jeg gir ordet til Arbeiderpartiets utspørrer, Bendiks H. Arnesen, minner jeg om mikrofonene. De må slås av og på underveis som vi prater. Hvis ikke får vi problemer med lydoverføringen.

Bendiks H. Arnesen har 5 minutter – vær så god.

Bendiks H. Arnesen (A): Takk skal du ha. Bare for å ha det helt klart: Oppfatter dagens forsvarsminister at Forsvaret nå er i mål med sitt arbeid på dette området, i forhold til Stortingets vedtak, og hvem skal etter statsrådens vurdering definere om man er i mål? Er det Datatilsynet, eller hvem er det?

Statsråd Grete Faremo: Vi mener vi kan ha gode forhåpninger om det, og som jeg også sa i innlegget mitt, er det Helse- og omsorgsdepartementet som har gitt nærmere retningslinjer for hvordan krypteringskrav i loven skal forstås. Det er Helse- og omsorgsdepartementet som – folkelig sett – eier denne loven, og som selvsagt også, som tidligere forsvarsminister har redegjort for, derfor har en dialog med Datatilsynet.

Bendiks H. Arnesen (A): Jeg har et spørsmål til, og det er kanskje like mye meg det er noe feil med, men selve begrepet «intern kryptering» virker litt uklart for meg, til tross for at jeg har prøvd å sette meg inn i det. Om dette – sammen med mange andre begrep som jeg opplever å lese i disse dokumentene – stiller jeg meg spørsmålet: Er begrepet «intern kryptering» dekkende for det vi her snakker om?

Statsråd Grete Faremo: Om det er et spørsmål til meg, så må jeg vel si, som den juristen jeg er, at jeg så langt har til gode å finne uttrykket igjen i loven. Det er derfor en terminologi som ikke er juridisk definert, men som, så vidt jeg husker, er brukt mye både i innstilling og i debatten. Det grunnleggende er å adskille personidentifiserende kriterier – kryptere disse adskilt fra helseopplysningene.

Møtelederen: Takk for det. Da er det Fremskrittspartiets tur til å stille spørsmål, og det er jeg som har gleden av å stille Fremskrittspartiets spørsmål.

Jeg vil først stille noen spørsmål til tidligere forsvarsminister Strøm-Erichsen. Bare for å ha dette helt klart: Du har ikke på noe tidspunkt i forbindelse med Stortingets behandling av denne lovsaken vært rådspurt, eller involvert, i forhold til de konsekvenser det kunne ha for Forsvarets helseregistre – er det riktig oppfattet?

Anne-Grete Strøm-Erichsen: Jeg har ikke vært forespurt om det. Også i innstillingen til loven står det referert at man gjør et unntak for Forsvarets helseregistre, når man antar at alle registre var krypterte. Men som jeg sier, ble altså Forsvarsdepartementet orientert om vedtaket i oktober 2008.

Møtelederen: Grunnen til at jeg stresser dette litt, er at du har vært veldig tydelig på at Forsvarsdepartementet ble informert på et gitt tidspunkt. Det var derfor jeg spurte om du tidligere i din kommunikasjon med stortingsgruppene – noe jeg formoder en har i denne typen saker – har fått informasjon tidligere. Og jeg forstår at svaret på det spørsmålet er nei – er det riktig oppfattet?

Anne-Grete Strøm-Erichsen: Hvis det refereres til det spørsmålet representanten Per-Kristian Foss stilte, så har ikke jeg vært involvert da denne loven ble vedtatt i Stortinget. Men det interessante her er når departementet ble gjort oppmerksom på loven og formuleringene i loven. Det skjedde i oktober 2008.

Møtelederen: Det ble sagt at det er jo Helse- og omsorgsdepartementet som har det konstitusjonelle ansvaret for selve loven. Mener du at Forsvarsdepartementet ikke selv har et ansvar for å være kjent med de lovbestemmelser som gjelder Forsvaret?

Anne-Grete Strøm-Erichsen: Jo, det har selvsagt alle et ansvar for. Men jeg har igjen lyst til å minne om at her var det en lov med en formulering som kom til i Stortinget, og som på bakgrunn av det at den kom til i Stortinget, hadde implikasjoner også for Forsvarets helseregister.

Det var litt vanskelig å se på forhånd at en lovproposisjon som i utgangspunktet dreide seg om Norsk pasientregister, og som var en endring av helseregisterloven, skulle ha implikasjoner for Forsvarets helseregister – noe den faktisk fikk, og som vi ble gjort oppmerksom på av Helse- og omsorgsdepartementet i oktober 2008.

Møtelederen: Men det at en lovbestemmelse kommer til i Stortinget, har vi jo vært inne på før, har ingen betydning for de departementene som skal følge opp loven, og en må jo ha en forventning til at departementet klarer å følge med i denne typen lovbestemmelser også. En er jo kjent med at Forsvarsdepartementet har et eget helseregister. Er du ikke enig i det?

Anne-Grete Strøm-Erichsen: Jeg må si at jeg på en måte skjønner formalitetene i spørsmålet, men samtidig er det litt spesielt at Forsvarsdepartementet på egen hånd skulle tenke seg at det var tatt inn noen ekstra ord som førte til at det hadde konsekvenser for Forsvarets helseregister. Det var det som kom opp i forbindelse med …

Møtelederen: Da du ble kjent med dette i 2008, på hvilket tidspunkt vurderte du å informere Stortinget om at dere ikke tilfredsstilte lovens krav?

Anne-Grete Strøm-Erichsen: Etter å ha hatt en runde med Forsvaret og Forsvarets sanitet meldte vi tilbake til Helse- og omsorgsdepartementet at vi ...

Møtelederen: Ja, men jeg spurte ikke om det, jeg spurte: Når vurderte du å melde dette tilbake til Stortinget, som er lovgiver?

Anne-Grete Strøm-Erichsen: Vår dialog gikk med Helse- og omsorgsdepartementet, som var ansvarlig for loven, og som hadde – ja.

Møtelederen: Så du vurderte aldri å informere lovgiver om at Forsvarsdepartementet var i en situasjon hvor de ikke tilfredsstilte lovens krav?

Anne-Grete Strøm-Erichsen: Det vi vurderte, var å gjøre det vi kunne for å oppfylle lovens krav og også alle de andre kravene som ligger i helseregisterloven, som dreier seg om sikkerhet, noe som jeg mener vi gjorde på en veldig god måte.

Møtelederen: Mener du at informasjonsplikten din overfor Stortinget er ivaretatt i din tid som statsråd i Forsvarsdepartementet på dette området?

Anne-Grete Strøm-Erichsen: Vi ga informasjon tilbake til Helse- og omsorgsdepartementet, som var konstitusjonelt ansvarlig for loven.

Møtelederen: Men informasjonsplikten gjelder ikke Helse- og omsorgsdepartementet. Den gjelder Stortinget.

Anne-Grete Strøm-Erichsen: Men det var det vi gjorde. Ellers kan jeg bare referere til den høringen som har vært tidligere i dag. Det er ikke veldig vanskelig å se at i ettertid skulle man ha fremmet en egen lovproposisjon hvor man hadde vurdert utsettelse av ikrafttredelse av loven. Det var ikke gjort. Men vår dialog i Forsvarsdepartementet har gått til Helse- og omsorgsdepartementet når det gjelder akkurat dette punktet her, også når det gjelder å se på hvordan man kan komme frem til helseregistre som er fremtidsrettet, og som oppfyller lovens krav.

Møtelederen: Takk for det.

Da er tiden ute, og det er lagt inn 5 minutter til oppklarende spørsmål – først fra saksordfører Per-Kristian Foss, vær så god.

Per-Kristian Foss (H): Statsråden har stadig brukt uttrykket at det er Helsedepartementet som har det konstitusjonelle ansvaret for å oppfylle denne lovparagrafen. Det er ikke noen ord som er lagt til, det er en paragraf som er lagt til, som gjelder kryptering. Mener statsråden at hun har et annet konstitusjonelt ansvar for å oppfylle lovvedtak i Stortinget som forsvarsminister enn som helseminister?

Anne-Grete Strøm-Erichsen: Nei, det har jeg selvsagt ikke. Men det er nå engang slik at jeg har sittet der i to ulike statsrådsposter, og som helseminister er jeg jo ansvarlig for loven og på en måte eier av loven, som min kollega sier, på en annen måte enn som forsvarsminister. Selvfølgelig dreier det seg om å oppfylle lovens krav uansett, så det er jo ikke det det går på. Det går mer på: Hvordan går de formelle linjene?

Da Forsvarsdepartementet ble gjort oppmerksom på dette, orienterte vi Helse- og omsorgsdepartementet umiddelbart etter å ha hatt en runde med Forsvarets sanitet om det var mulig å oppfylle det ekstrakravet i loven som var kommet frem.

Møtelederen: Da har jeg tegnet meg selv til et spørsmål, og det er til statsråd Grete Faremo.

Som den juristen du er, har du noen gang vurdert å informere Stortinget om at dere var i en situasjon under din statsrådstid hvor lovvedtaket ikke var fulgt opp?

Statsråd Grete Faremo: Jeg er for det første glad for at vi nå har fått en løsning på plass som jeg har en god dialog med Datatilsynet om, og hvor vi også nå kan konstatere, med den lovforståelsen som er meddelt, at vi kanskje hadde løsningen på plass allerede i februar. Så slik sett har ikke dette vært en problemstilling jeg konkret har forholdt meg til. Jeg var i ferd med å skaffe meg oversikt over saken og få lagt en tidsplan for å gjennomføre ny løsning – sikre at ny løsning var på plass.

Møtelederen: Per-Kristian Foss – vær så god.

Per-Kristian Foss (H): Tilbake til «de formelle linjene», som var uttrykket som statsråd Strøm-Erichsen brukte. Mener statsråden at det er noen andre formelle linjer statsråden har som forsvarsminister til Stortinget når det gjelder å oppfylle lovvedtak, enn hun hadde som helseminister? Da skjønner jeg ikke hvorfor ikke statsråden svarer på spørsmålet om hun som forsvarsminister følte et behov for å informere Stortinget om at et lovvedtak som gjaldt Forsvarets helseregister, ikke var oppfylt. Statsråden har da tidligere svart at hun informerte Helsedepartementet om det, men mitt spørsmål dreier seg altså rett og slett om informasjonsplikten overfor Stortinget, og da kan hun ikke svare at man informerte et annet departement – spørsmålstegn.

Anne-Grete Strøm-Erichsen: Forsvarsdepartementet informerte Helse- og omsorgsdepartementet om hvordan vi kunne oppfylle lovens krav. Jeg refererte også til det arbeidet som var gjort etter den tid. Det er gjort helt uten opphør et arbeid for å kunne oppfylle lovens krav. Samtidig ble det gjort et forsøk på å samordne krypteringsløsningen med alle helseregistrene, noe som viste seg ikke å være mulig, fordi de hadde ulikt formål, og fordi de var ulike i IT-arkitektur – det var ikke alle som det var mulig å få de samme sikkerhetsløsningene for. Blant annet …

Per-Kristian Foss (H): Spørsmålet gjaldt informasjonsplikten overfor Stortinget. Jeg minner om det. Den kan jo ikke snakkes bort med teknisk arkitektur. Spørsmålet er: Hadde du noen selvstendig plikt som statsråd til å informere Stortinget om at du ikke oppfylte Stortingets lovvedtak?

Anne-Grete Strøm-Erichsen: Som jeg har sagt tidligere, er det ikke veldig vanskelig å se i ettertid at man burde vurdert en utsatt ikrafttredelse av denne loven. Men fra mitt ståsted i Forsvarsdepartementet var vi bare opptatt av at vi skulle få oppfylt de kravene som var stilt der og i helseregisterloven, som også dreier seg om sikring av opplysninger, og som dreide seg om alle de andre sikkerhetstiltakene som er like vesentlige i denne sammenheng som den ene krypteringsløsningen.

Møtelederen: Ulf Erik Knudsen – vær så god.

Ulf Erik Knudsen (FrP): Et spørsmål i oppfølgingen til de første spørsmålene fra saksordføreren til statsråd Faremo: Når det gjelder den dialogen man nå har med Datatilsynet om den nye løsningen og de krav som tilligger den, hadde jeg et inntrykk av det svaret statsråden ga, at man allerede hadde konkludert med at man med den nye løsningen var godt innenfor lovens krav. Det sier jo noe om at man da ikke nødvendigvis har planer om å følge opp den dialogen med Datatilsynet. Så her føler jeg et visst behov for en utdypning fra statsråden om synet på den dialogen man har med Datatilsynet.

Statsråd Grete Faremo: Vi har en god dialog med Datatilsynet og har, som jeg sa, allerede muntlig redegjort for løsningen. Vi skal beskrive den ytterligere skriftlig før 25. mai, og vi justerer selvsagt om det skulle være behov for det. Men som jeg sier: Vi har godt håp om, med den dialogen vi har hatt, at vi har på plass en løsning, framtidsrettet og god for Forsvarets helseregister, bygd på en databaseløsning.

Møtelederen: Takk for det.

Da har vi kommet dit hvor dere har anledning til en kort oppsummering. Til sammen er det satt av 5 minutter, så det skulle antyde at dere får 2½ minutt hver, hvis dere ønsker det. Fordelingen tar dere selv.

Det ser ut til at det er statsråd Strøm-Erichsen som skal begynne. Vær så god.

Anne-Grete Strøm-Erichsen: Jeg vil egentlig bare gjenta det som jeg har sagt tidligere, at man må også se kravet til kryptering i sammenheng med kravene i lovens § 16 om sikring av konfidensialitet, integritet, kvalitet og tilgjengelighet. Kryptering er i den sammenheng ett av flere sikkerhetstiltak. Det har vært fokusert kontinuerlig på sikkerhet i forbindelse med Forsvarets helseregister. Det viktige i denne sammenhengen er jo at registeropplysningene har blitt oppbevart på en måte som ivaretar de sensitive dataene.

Møtelederen: Statsråd Grete Faremo, vær så god. Det er 4 minutter igjen.

Statsråd Grete Faremo: Kort: For det første er jeg glad for at vi over lang tid har hatt en sikker og god behandling av informasjonen som ligger i Forsvarets helseregister. Jeg har det konstitusjonelle ansvaret for at Forsvarets helseregister følger loven og har derfor, som jeg allerede har fortalt, konsentrert meg om å få på plass raskest mulig en framtidsrettet og god databasebasert løsning for Forsvarets helseregister og tatt et skritt videre utover den krypterte harddiskløsningen som vi hadde på plass allerede i februar i år. Men jeg har ikke ønsket at det skulle herske noen tvil om at vi får på plass en god løsning som selvsagt også tar høyde for og tilfredsstiller lovens krav.

Møtelederen: Takk for det. Da vil jeg takke dere for svar på våre spørsmål og deres bidrag under denne kontrollhøringen.

Kontrollhøringen tar nå en pause frem til kl. 11.50.

Høringen ble avbrutt kl. 11.20.

-----

Høringen ble gjenopptatt kl. 11.50.