2. Komiteens merknader
Komiteen, medlemmene fra Arbeiderpartiet, Jorodd Asphjell, Jan Bøhler, Sonja Mandt-Bartholsen, Gunn Olsen og Dag Ole Teigen, fra Fremskrittspartiet, Jan-Henrik Fredriksen, Vigdis Giltun og lederen Harald T. Nesvik, fra Høyre, Inge Lønning og Sonja Irene Sjøli, fra Sosialistisk Venstreparti, Inga Marte Thorkildsen, fra Kristelig Folkeparti, Laila Dåvøy, fra Senterpartiet, Rune J. Skjælaaen, og fra Venstre, Gunvald Ludvigsen, viser til at Norsk pasientregister (NPR) ble etablert i 1997 som et avidentifisert register med konsesjon fra Datatilsynet. Formålet med registeret har vært administrasjon, styring og finansiering av spesialisthelsetjenesten.
Komiteen støtter departementets forslag om å utvide formålet for NPR til også å omfatte forskning. Bruk av NPR som datagrunnlag vil etter komiteens vurdering bidra til et bedre kunnskapsgrunnlag om utvikling i helsetilstanden og årsaker til sykdom. Videre legger komiteen til grunn at bruk av NPR til forskningsformål kan bidra til økt kunnskap om behandlingsformer, diagnostikk og forebygging. En utvidelse av formålet med NPR til også å omfatte forskning vil, slik komiteen ser det, bidra til bedre helsetjenester til befolkningen.
Det fremgår av proposisjonen at et medisinsk kvalitetsregister skal bidra til å dokumentere effekten av behandlingsformer og behandlingsprosedyrer. Komiteen deler departementets vurdering om at det er hensiktsmessig å utvide formålet for NPR til å omfatte kvalitetsregistre, som kan bidra til kvalitativt bedre og mer virkningsfull behandling for pasientene. Videre støtter komiteen forslaget om å benytte NPR som grunnlag for etablering av sykdomsregistre, som vil gi økt kunnskap om en rekke folkesykdommer.
Komiteen påpeker at dagens avidentifiserte system ikke gjør det mulig å følge pasienter gjennom behandlingsforløpet. Komiteen deler departementets vurdering om at det er hensiktsmessig å få bedre kunnskap om behandlingsforløpene som grunnlag for styring, administrasjon, finansiering, forskning og kvalitetsutvikling i spesialisthelsetjenesten. Slik komiteen ser det, er det også viktig at organisatoriske og økonomiske virkemidler i spesialisthelsetjenesten videreutvikles med tanke på å stimulere mer helhetlige behandlingsforløp. En endring i NPRs registerform vil etter komiteens vurdering også kunne bidra til dette.
Komiteens flertall, medlemmene fra Fremskrittspartiet, Høyre, Kristelig Folkeparti og Venstre, viser til at helseopplysninger i sin natur er sensitive, og at det derfor er strenge regler om taushetsplikt for helsepersonell og andre som får tilgang til slike opplysninger. Det vises til en undersøkelse om personvern utført av Transportøkonomisk institutt på oppdrag fra det daværende Moderniseringsdepartementet og Datatilsynet, som ble publisert 15. februar 2006. Det fremgår av undersøkelsen at 84 prosent av respondentene mener det er viktig å beskytte helseopplysninger, og at 88,4 prosent har samme oppfatning om beskyttelse av personnummer. Flertallet viser videre til at både pasientombudskollegiet og Datatilsynet i sine høringsuttalelser påpeker at en utvidet adgang til sensitive helseopplysninger kan innebære at pasientenes tillit til helsetjenesten svekkes, og at enkelte derfor kan holde tilbake informasjon som er nødvendig for behandlingen av vedkommende. I nevnte undersøkelse fremgår det at 42,4 prosent er helt eller delvis uenige i at det er trygt å gi fra seg personvernopplysninger. Hele 57 prosent mener at helsepersonell ikke fritt bør kunne utveksle informasjon om pasientenes helse. Slik flertallet ser det, viser undersøkelsen at en betydelig del av befolkningen har klare motforestillinger mot spredning av helseopplysninger.
Flertallet legger til grunn at departementets forslag om et personidentifiserbart register uten samtykke innebærer at store mengder sensitiv informasjon samles på ett sted, uten at pasienter har anledning til å reservere seg mot denne registreringen. Slik flertallet ser det, innebærer departementets forslag til registerform en betydelig svekkelse av personvernet for enkeltpasienter og samtidig en kollektiv risiko for misbruk av svært sensitiv informasjon. Flertallet mener at det faktum at flere personer vil få tilgang til sensitive helseopplysninger, i seg selv innebærer en dårligere ivaretakelse av pasientens behov for diskresjon, uavhengig av regler om taushetsplikt. Dette er særlig problematisk sett i lys av at pasientene ikke gis anledning til å reservere seg mot registrering. Uavhengig av hvilke sikkerhetsløsninger som velges, vil det etter flertallets vurdering alltid foreligge en viss risiko for misbruk av personidentifiserbare opplysninger. Selv om de samfunnsmessige fordelene ved et personentydig register er åpenbare, mener flertallet med andre ord at de personvernmessige ulempene er betydelige. Flertallet viser til at sosialkomiteen i behandlingen av helseregisterloven la stor vekt på personvernhensyn. I Innst. O. nr. 62 (2000-2001) heter det:
"Det må derfor etter komiteens syn være et mål å finne registerløsninger som i rimelig grad tilgodeser hensynet til folkehelsen uten å krenke personvernet. Helseregistre med avidentifiserte eller pseudonymiserte helseopplysninger kan ivareta disse hensyn og bør etter komiteens syn benyttes der det er hensiktsmessig."
På bakgrunn av de betydelige personvernmessige ulempene et personidentifiserbart register innebærer, mener flertallet at det er avgjørende at pasientenes identitet krypteres, slik at pasientenes identitet ikke fremgår av registeret. En kryptering av pasientenes identitet vil innebære at registeret blir personentydig slik at det er mulig å følge pasientforløp, uten at den som benytter dataene får kjennskap til pasientens identitet. Videre mener flertallet at krypteringen ikke bør skje i selve registeret, men ved en ekstern krypteringsinstans. Dette vil innebære at ingen instanser både har tilgang til kryptert identitet og pasientens identitet, og dette vil således gi et bedre personvern for pasientene enn et system med intern kryptering. Flertallet viser til at både Datatilsynet, Kompetansesenteret for IT i helsesektoren (KITH), Den norske lægeforening, Nasjonalt senter for telemedisin, Landsforeningen for Hjerte- og Lungesyke og Funksjonshemmedes Fellesorganisasjon tar til orde for en ekstern kryptering av personvernhensyn. Flertallet påpeker videre at en ekstern kryptering vil være i samsvar med Innst. O. nr. 62 (2000-2001) til helseregisterloven, der sosialkomiteen forutsatte at mottaker ikke må kunne dekryptere opplysninger. Slik flertallet ser det, bør også samkjøring av registre skje ved kryptert identitet.
Gjennom krav til ekstern kryptering mener flertallet at hensynet til forskning, kvalitetssikring, styring, administrasjon og finansiering blir tilstrekkelig ivaretatt uten å krenke personvernet. En slik registerform vil gjøre det mulig for forskere å følge pasientforløp og enkeltpasienter, uten å få kjenneskap til pasientenes identitet. Dersom det er påkrevd å finne tilbake til pasientens identitet, legger flertallet til grunn at dette kan gjøres via krypteringsinstansen til behandlingsenheten og til pasienten. Flertallet anser det som naturlig at det er behandlingsinstansen som formidler kontakt med pasienten, dersom det er behov for dette. En slik ordning vil trolig medføre noe merarbeid for forskere og andre, men flertallet mener dette klart oppveies av et sterkere personvern for pasientene.
Flertallet mener at krav om at pasientenes identitet skal krypteres av en utenforstående, uavhengig instans må fremgå av selve lovteksten i helseregisterloven. Videre må lovbestemmelsen, slik flertallet ser det, presisere at opplysninger i NPR ikke skal gjøres tilgjengelige i personidentifiserbar form for andre enn pasienten eller behandlingsinstansen. Loven må også stille krav om at samkjøring av registre skal skje i kryptert form. Flertallet mener videre at det må oppstilles vilkår for at krypteringsinstansen skal kunne gå tilbake til pasienten via behandlingsinstansen. På bakgrunn av dette fremmer flertallet følgende forslag:
"I lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger (helseregisterloven) gjøres følgende endringer:
§ 8 tredje ledd nytt nr. 8 skal lyde:
8. Norsk pasientregister
§ 8 nytt fjerde ledd skal lyde:
Opplysningene i Norsk pasientregister skal krypteres av en utenforstående, uavhengig instans. Opplysningene skal ikke gjøres tilgjengelige i personidentifiserbar form for andre enn den registrerte eller den institusjon som har meldt opplysningene. Sammenstilling av opplysninger i Norsk pasientregister med andre registre skal skje i kryptert form. Bruk av Norsk pasientregister for å identifisere den registrerte skal kunne skje der dette er nødvendig for å ivareta registerets formål, og eventuell kontakt med den registrerte skal skje via den uavhengige krypteringsinstansen og den institusjon som har meldt opplysningene.
Nåværende fjerde til sjette ledd bli femte til sjuende ledd."
I tillegg til de foreslåtte juridiske skrankene for et kryptert, personidentifiserbart NPR ser flertallet det som viktig at det arbeides kontinuerlig med utvikling av sikkerhetsløsninger både i forhold til informasjonsteknologi, organisatoriske tiltak og holdningsskapende arbeid på operativt nivå.
Komiteens medlemmer fra Arbeiderpartiet, Sosialistisk Venstreparti og Senterpartiet er opptatt av at helsetjenesten skal forebygge, diagnostisere og behandle sykdom. Videre skal helsetjenesten og helseforvaltningen legge forholdene til rette for helsebringende atferd i befolkningen. For å løse disse oppgavene er det viktig å få bedre kunnskap om utviklingen i befolkningens helsetilstand og forhold som påvirker denne, årsaker til sykdom, og hvordan vi skal leve for å oppnå best mulig helse. Fremdeles er årsakene til en rekke sykdommer ukjent, og i mange tilfeller der vi kjenner årsaken, finnes det ikke god diagnostikk, behandling eller forebygging.
Disse medlemmer har merket seg at formål og registerform for Norsk pasientregister må ses i nær sammenheng, fordi det er ulikt i hvilken grad registerformene kan ivareta de aktuelle formålene. Helseregisterloven oppstiller fire ulike registerformer; personidentifiserbart med samtykke, personidentifiserbart uten samtykke, avidentifiserte og pseudonyme registre. Et samtykkebasert register vil kun ha opplysninger om pasienter som samtykker. Et samtykkebasert Norsk pasientregister vil derfor ikke gi en fullstendig oversikt over aktiviteten i spesialisthelsetjenesten, og ikke gi fullstendige data for å ivareta forskningsformål, og heller ikke kunne fungere som grunnlag for innsatsstyrt finansiering. Disse medlemmer mener at å etablere Norsk pasientregister som et samtykkebasert register derfor ikke er aktuelt.
Disse medlemmer er opptatt av at dersom Norsk pasientregister skal kunne ivareta behovene for administrasjon, styring og finansiering av spesialisthelsetjenesten bedre og samtidig bidra til bedre kvalitet på behandlingen, må registeret være komplett, og det må være mulig å følge den enkelte pasient gjennom behandlingsforløpet. Det betyr, slik disse medlemmer ser det, at registeret enten må etableres som et pseudonymt eller et personidentifiserbart register. De to registerformene kan imidlertid i ulik grad ivareta de aktuelle formålene.
Disse medlemmer mener at god kvalitet på behandlingen er svært viktig for at befolkningen skal ha tillit til helsetjenesten. Videre må befolkningen være trygg på at helseopplysninger, både i helsetjenesten og i helseregistre, håndteres på en måte som sikrer at opplysningene ikke kommer på avveie. Disse medlemmer mener det er denne avveiningen mellom befolkningens tillit til at de får helsetjenester av god kvalitet, og at helseopplysninger behandles på en betryggende måte, som er avgjørende for valg av formål og registerform for Norsk pasientregister.
Disse medlemmer er enige i at både et pseudonymt og et personidentifiserbart Norsk pasientregister kan ivareta styringsformål, men mener at et personidentifiserbart register vil gi bedre datakvalitet og derfor være bedre egnet som grunnlag for å forbedre kvaliteten i behandlingstilbudet. Et personidentifiserbart register vil også på en bedre måte kunne ivareta forskningsformål enn et pseudonymt register. Dette gjelder spesielt klinisk forskning og epidemiologisk forskning. Et pseudonymt register innebærer strengere restriksjoner på kopling og kvalitetssikring enn et personidentifiserbart register. Det er ulovlig å levere ut opplysninger fra et pseudonymt register til tredjepart (som regel forskere) i personidentifiserbar form. Disse medlemmer mener at et pseudonymt Norsk pasientregister derfor ikke vil kunne benyttes til en del typer forskning.
Videre mener disse medlemmer at et pseudonymt register heller ikke vil kunne benyttes som datagrunnlag for sykdoms- og kvalitetsregistre. Disse medlemmer mener derfor at det er av avgjørende betydning for klinisk forskning og for Norsk pasientregister som datagrunnlag for sykdoms- og kvalitetsregistre at registeret etableres som et personidentifiserbart og ikke et pseudonymt register. Disse medlemmer vil fremheve at et pseudonymt register ikke kan benyttes til å skape kontakt mellom de registrerte og tredjepersoner (for eksempel forskere) da det er ulovlig å utlevere personidentifiserbare opplysninger fra et pseudonymt register. Disse medlemmer mener videre at sykehusene ikke kan benyttes til å kontakte de registrerte i slike tilfeller, slik noen mener, da dette ikke vil være praktisk mulig å gjennomføre.
Disse medlemmer mener at pasientenes interesser blir best ivaretatt gjennom å etablere Norsk pasientregister som et personidentifiserbart register. Et personidentifiserbart register vil gi bedre muligheter for kvalitetssikring av data og vil derfor være bedre egnet som grunnlag for å utvikle kvaliteten i behandlingstilbudet og bidra til bedre kunnskap om årsaker til sykdommer og hvordan disse kan forebygges og behandles, enn et pseudonymt register. Disse medlemmer vil vise til at dette også er bakgrunnen for at de fleste pasientorganisasjonene støtter forslaget om å etablere Norsk pasientregister som et personidentifiserbart register.
Disse medlemmer viser til at våre nordiske naboland har mange års erfaring med at forskning med utgangspunkt i personidentifiserbare nasjonale pasientregistre gir viktige resultater. Siden vi i Norge ikke har et personidentifiserbart pasientregister, mangler vi forskningsmuligheter som våre nordiske naboland har. Et viktig unntak er forskning på kreftsykdommer. Det skyldes at vi gjennom Kreftregisteret har tilgang på personidentifiserbare opplysninger om krefttilfeller, behandling og utfall av kreft. Disse medlemmer mener at også andre diagnoser og sykdomsgrupper bør ha de samme mulighetene til forskning og til å fremskaffe ny kunnskap som vi har når det gjelder kreftsykdommer.
Opplysningene som registreres i Norsk pasientregister, er sensitive opplysninger om helseforhold og er som regel gitt til helsepersonell i forbindelse med behandling, diagnostikk eller annen helsehjelp. Slike opplysninger er underlagt taushetsplikt. Disse medlemmer vil understreke betydningen av at opplysninger som gis til helsetjenesten, ikke kommer på avveie, og at befolkningen har tillit til at opplysningene blir behandlet på en betryggende måte. Disse medlemmer mener det er viktig at behandlingen av opplysningene i Norsk pasientregister skal underlegges strenge regler, og det skal etableres gode tekniske og fysiske løsninger som sikrer at ikke opplysninger kommer på avveie. Gjennom å etablere strenge rutiner og systemer i selve registeret, for eksempel ved kryptering av personidentifikasjon i registeret, krav om særskilt tilgang, logging mv., vil man kunne sikre personvernet på en god måte i et personidentifiserbart Norsk pasientregister.
Disse medlemmer mener at det er avgjørende at helsevesenet har tillit i befolkningen, og vil derfor understreke at man ikke kjenner til at opplysninger har kommet på avveie, verken fra noen av de norske personidentifiserbare helseregistrene eller fra noen av de nordiske. Det forutsettes innført både tekniske og organisatoriske hindre av høyeste kvalitet for å unngå misbruk, heriblant:
Fødselsnummer skal ikke kobles til pasientdata, verken i kommunikasjon eller i registeret
Fødselsnummer skal ikke lagres, verken i krypteringsløsning eller i selve registeret
All kommunikasjon skal krypteres
Alle brukere og maskiner skal autentiseres
Brannmur skal etableres foran hver maskin i systemet
All utlevering krever egen hjemmel
Kun et fåtall spesielt autoriserte medarbeidere kan utløse dekryptering
Dekryptering og utlevering forutsetter involvering av kvalitetssikrer i alle trinn
Alle prosesser skal logges
Disse medlemmer forstår at det kan oppstå utrygghet når opplysninger som er gitt i fortrolighet til helsepersonell, blir videreformidlet til et sentralt register. Begrepet "personidentifiserbart register" kan være misvisende. Det er derfor viktig med informasjon om den lange rekken sikkerhetstiltak som iverksettes for å beskytte slik informasjon. God informasjon er trolig vesentlig mer avgjørende for pasientenes trygghetsfølelse enn det mer tekniske spørsmålet om ekstern eller intern kryptering.
Disse medlemmer påpeker videre at dersom ekstern kryptering forutsetter at oppdraget jevnlig må konkurranseutsettes, kan det stilles spørsmål ved om dette vil fremme befolkningens tillit og legitimitet til personidentifiserbare registre.
Disse medlemmer mener det er problematisk at begrepene kryptering og krypterte registre brukes om hverandre med begrepet pseudonyme registre.
I alle de personidentifiserbare helseregistrene som er hjemlet i helseregisterloven § 8 tredje ledd, er, etter det disse medlemmer kjenner til, personidentifikasjonen lagret kryptert i registeret (med forbehold om Forsvarets helseregister). Krypteringen er foretatt internt. Det vil si at personidentifikasjonen kan dekrypteres ved hjelp av en nøkkel som finnes internt i registeret. Dekrypterte opplysninger kan bare behandles av spesielt autoriserte personer og bare når dette er strengt nødvendig.
Disse medlemmer vil videre understreke at et personidentifiserbart register med ekstern kryptering ikke er det samme som et pseudonymt register. Disse medlemmer vil ikke etablere en ny registerform slik komiteens medlemmer fra Fremskrittspartiet, Høyre, Kristelig Folkeparti og Venstre ser ut til å gjøre.
Disse medlemmer mener at kryptert personidentifikasjon imidlertid i seg selv ikke er tilstrekkelig for å ivareta personvernet på en god måte. Det er derfor utviklet et omfattende lovverk, regler, forskrifter og rutiner for å sikre personvernet i databaser som inneholder både fødselsnummer og helseopplysninger. Kryptering bidrar til å styrke personvernet i databaser med mange opplysninger om hver enkelt pasient, men tilstrekkelig sikring av personvernet forutsetter at kryptering ikke brukes alene, men i kombinasjon med andre personvernfremmende tiltak.
For å styrke befolkningens tillit til at personvernet blir ivaretatt på en så god måte som mulig, mener disse medlemmer at forskriften til Norsk pasientregister bør inneholde bestemmelser om forsterket tilsyn fra Datatilsynets side med Norsk pasientregister.
Disse medlemmer mener at lovteksten bør gjenspeile det faktum at våre personidentifiserbare registre er internt krypterte, og foreslår derfor en alternativ lovformulering til proposisjonens forslag. Disse medlemmer fremmer følgende forslag:
"I lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger (helseregisterloven) gjøres følgende endringer:
§ 8 tredje ledd fram til og med kolon skal lyde:
I følgende registre kan navn, fødselsnummer og andre direkte personidentifiserende kjennetegn behandles uten samtykke fra den registrerte i den utstrekning det er nødvendig for å nå formålet med registeret, og direkte personidentifiserende kjennetegn skal lagres kryptert i registeret:
§ 8 tredje ledd nytt nr. 8 skal lyde:
8. Norsk pasientregister"
Komiteens medlem fra Venstre viser til Dokument nr. 8:14 (2006-2007) hvor representantene Lars Sponheim, Odd Einar Dørum og Gunvald Ludvigsen har fremmet følgende forslag:
"Stortinget ber Regjeringen gjennomgå alle nyopprettede helseregistre og fremme forslag om at registeropplysninger skal lagres med kryptert identitet, at kryptering skal foretas av en utenforstående, uavhengig instans, og at samkjøring av registre skal skje ved hjelp av krypterte identiteter."