Du bruker en gammel nettleser. For å kunne bruke all funksjonalitet i nettsidene må du bytte til en nyere og oppdatert nettleser. Se oversikt over støttede nettlesere.

Stortinget.no

logo
Hopp til innholdet
Til forsiden
Til forsiden

2. Komiteens merknader

Komiteen, medlemmene fra Arbeiderpartiet, Jorodd Asphjell, Jan Bøhler, Sonja Mandt-Bartholsen, Gunn Olsen og Dag Ole Teigen, fra Fremskrittspartiet, Jan-Henrik Fredriksen, Vigdis Giltun og lederen Harald T. Nesvik, fra Høyre, Inge Lønning og Sonja Irene Sjøli, fra Sosialistisk Venstreparti, Olav Gunnar Ballo, fra Kristelig Folkeparti, Knut Arild Hareide, fra Senterpartiet, Trygve Slagsvold Vedum, og fra Venstre, Gunvald Ludvigsen, viser til at forslagsstillerne vektlegger Personvernkommisjonens utredning som grunnlag for flere av forslagene som fremmes i Representantforslag nr. 70 (2008–2009). Komiteen har merket seg konklusjonene i NOU 2009:1 Individ og integritet; Personvern i det digitale samfunnet, og vil her trekke fram de deler av Personvernkommisjonens utredning som omhandler helsesektoren.

Komiteen viser til at kommisjonen uttrykker:

"Pasientene må gi fra seg opplysninger om sykdom, uførhet, livsstil og andre personlige forhold av betydning for behandlingen for å nyte godt av slik helsehjelp. Hvis legen ikke har tilstrekkelige opplysninger om pasientens sykdomsbilde, forhistorie og situasjon ellers, vil behandlingen kunne lide, og pasienten kan i verste fall risikere å få gal behandling. Det er derfor et grunnleggende hensyn, og i pasientens interesse, at behandlende helsepersonell faktisk har tilgang til nødvendig informasjon om den pasienten de behandler. Mens få vil bestride dette, er det på den annen side flere kritiske røster som påpeker at «helsetjenesten lekker» og at det er en stadig videre personkrets som med rette eller urette får tilgang til sensitiv informasjon om pasienter. Det er særlig dette som aktualiserer personvernspørsmål i helsetjenesten …"

Komiteen viser til at begrepet personvern i vid forstand refererer til tiltak hvis formål er å beskytte individets autonomi (selvbestemmelse) og personlige integritet. I helsetjenesten omfatter dette vern av så vel fysisk som psykisk integritet og viser seg særlig i form av kravet om informert samtykke til helsehjelp og rett til vern mot spredning av personlige opplysninger, jf. pasientrettighetsloven §§ 3-2, 3-6, 4-1 og helsepersonelloven kapittel 5.

Komiteen vil påpeke at pasientjournalen er en av de viktigste kildene for medisinsk forskning, noe som medfører at brytningen mellom behovet for å skjerme individet på den ene siden og samfunnets behov for å utvikle ny kunnskap og bedre behandlingsmetoder på den andre, aktualiseres.

Komiteens flertall, medlemmene fra Fremskrittspartiet, Høyre, Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre, viser til at helseforskningsloven ble vedtatt 20. juni 2008. Flertallet merker seg at Personvernkommisjonen skriver at:

"Personvernkommisjonen har observert at deler av lovforslaget har vært gjenstand for kritikk og diskusjon fra høringsinstansene og fagmiljøet. Dette gjelder blant annet bruken av såkalte brede samtykker, det vil si samtykker som omfatter ett eller flere overordnede forskningsformål og forskningsfelt, uten at de enkelte detaljer som ønskes forsket på er spesifisert."

Personvernkommisjonen skriver også:

"En annen del av kritikken mot loven gjelder svekkelse av personvernet ved at mulighetene for avidentifisering ikke utnyttes fullt ut. Etter Personvernkommisjonens oppfatning kan en tilsvarende kritikk også rettes mot andre sentrale helseregistre, som for eksempel Norsk pasientregister, hvor lovgiver i nyere tid har vist en tendens til å velge bort pseudonymisering som personvernfremmende tiltak."

Flertallet viser til at økende krav til kostnadseffektivitet gjerne imøtekommes ved å samle inn og bruke data, ofte i form av gjenbruk av opplysninger som allerede er samlet inn i den løpende virksomheten. Disse dataene brukes som indikatorer på produksjon og produktivitet. Et problem i personvernsammenheng etter flertallets syn er når slik gjenbruk av data resulterer i at sensitive pasientopplysninger tilflyter administrasjonen/virksomheten på alle nivå. Jo flere som får tilgang til opplysninger, desto vanskeligere er det å sikre seg mot lekkasjer til uvedkommende.

Flertallet deler Personvernkommisjonens syn om at sammenstilling av registre kan gi kunnskap om viktige sammenhenger, for eksempel mellom fødselsvekt og forekomst av sykdom, og mellom røyke- og kostholdsvaner og kreftutvikling. Data innhentet for ett formål kan være nyttige også for andre formål. Dette har ført til stor etterspørsel etter data samlet inn i helsetjenesten, ikke minst fra forskningsmiljøer. Flertallet vil imidlertid, på linje med Personvernkommisjonen, påpeke at fokuset på positive sider ved å registrere helseopplysninger kan overskygge og hindre den nødvendige oppmerksomhet rundt viktige personvernspørsmål.

Flertallet vil påpeke at det allerede finnes en rekke eksempler på at personsensitive opplysninger som er underlagt taushetsplikt, feilaktig gjøres allment tilgjengelig, også av offentlige instanser som skulle forventes å utvise særlig forsiktighet for å hindre brudd på personvernet. Et eksempel på dette er en pasient som opplevde at opplysninger om bruk av medisin ble offentliggjort på Internett ved at et brev fra fastlege til fylkesmann var søkbart i fylkesmannens postliste (Aftenposten.no 2008a). Datatilsynets direktør uttalte i den anledning at tilsynet ukentlig mottar henvendelser om sensitive opplysninger som legges ut på Internett, og at det generelt sett er en manglende årvåkenhet på behandling av personopplysninger ved elektronisk kommunikasjon. Dette medfører utilsiktede krenkelser av taushetsplikten, som altså ikke skyldes mangler ved regelverket, men manglende etterlevelse av regelverket på grunn av manglende årvåkenhet og sviktende rutiner.

Komiteens medlemmer fra Høyre, Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre vil påpeke at når elektroniske data gjøres lettere tilgjengelig for flere, øker også muligheten for feilbehandling av data, inkludert at personsensitive opplysninger gjøres allment tilgjengelig via Internett.

Komiteen vil påpeke at respekten for den enkeltes privatliv er en grunnleggende menneskerettighet som må ivaretas av helsetjenesten i overensstemmelse med artikkel 8 i Den europeiske menneskerettighetskonvensjon og artikkel 17 i Konvensjonen om sivile og politiske rettigheter. Pasientens privatliv er beskyttet blant annet gjennom bestemmelser om helsepersonells taushetsplikt, som fra gammelt av har vært bærebjelken i lege/pasient-forholdet og som er en viktig forutsetning og grunnorm for helsetjenesten. Uten tillit til behandleres taushetsplikt ville mange unnlate å oppsøke helsevesenet når de trenger hjelp. Det er alminnelig akseptert at taushetsplikten er avgjørende for det tillitsforholdet som må herske mellom pasient og helsetjeneste. Pasienten skal kunne betro seg til sin behandler i trygg forvissning om at informasjonen ikke bringes videre, og behandler skal kunne motta opplysninger med visshet om at disse ikke kan kreves utlevert.

Komiteen vil påpeke at formålsbestemmelsen til helseregisterloven direkte gir uttrykk for at personvern er viktig når den sier at formålet med loven "er å bidra til å gi helsetjenesten og helseforvaltningen informasjon og kunnskap uten å krenke personvernet, slik at helsehjelp kan gis på en forsvarlig og effektiv måte". Formålsbestemmelsen fremhever videre forskning og statistikk som viktige redskaper, ved at "informasjon og kunnskap om befolkningens helseforhold, årsaker til nedsatt helse og utvikling av sykdom" skal tas i bruk av hensyn til administrasjon, kvalitetssikring, planlegging og styring. Det presiseres at loven skal sikre at helseopplysninger blir behandlet i samsvar med "grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på helseopplysninger" (§ 1). Komiteen understreker at formålsbestemmelsen gir et tydelig signal om at personvernhensyn bør veie tungt på vektskålen når ulike hensyn avveies.

Komiteens flertall, medlemmene fra Fremskrittspartiet, Høyre, Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre, viser til Innst. O. nr. 62 (2000–2001) om helseregistre og behandling av helseopplysninger (helseregisterloven) til Ot.prp. nr. 5 (1999–2000) der en samlet sosialkomité uttrykte:

"Komiteen mener generelt at det skal stilles strengere krav til å godta opprettelse av et helseregister for forvaltningen enn for helsetjenesten. Fordi forvaltningens behov for informasjon ut fra ønsket om bedre forebyggingsstrategier egentlig ikke har noen grenser, kan i prinsippet hele befolkningens livsførsel registreres. Etter komiteens oppfatning bør en derfor være tilbakeholden med å opprette slike registre. Disse bør være avidentifiserte eller pseudonymiserte slik at ingen risikerer at opplysninger om ens livsstil og livsførsel kommer på avveie."

I samme den samme komitéinnstillingen uttrykte en samlet komité:

"Det må …… etter komiteens syn være et mål å finne registerløsninger som i rimelig grad tilgodeser hensynet til folkehelsen uten å krenke personvernet. Helseregistre med avidentifiserte eller pseudonymiserte helseopplysninger kan ivareta disse hensyn og bør etter komiteens syn benyttes der dette er hensiktsmessig. I den grad det er nødvendig ut fra hensynet til pasienten å benytte helseregistre med personidentifiserbare opplysninger, bør dette etter komiteens syn gjøres etter vedtak av Stortinget eller etter samtykke fra den registrerte. Ved å kreve stortingsbehandling før slike registre etableres, sikres en demokratisk prosess som kan bidra til at nødvendige avveininger mellom hensynet til behovet for registre og hensynet til personvern foretas før vedtak treffes."

Flertallet vil påpeke at den grunnleggende rettigheten som står på spill ved uberettiget kommunikasjon av helseopplysninger, er retten til privatliv. Det følger av Den europeiske menneskerettskonvensjon (EMK) artikkel 8 (1) at enhver har rett til respekt for sitt privatliv. Etter vedtakelsen av menneskerettsloven skal EMK gjelde som norsk lov og ved motstrid gå foran bestemmelser i annen lovgivning, se § 3, jf. § 2 nr. 1. Retten til privatliv er dermed en grunnleggende menneskerett som må respekteres i alle sammenhenger. Denne rettigheten har stor aktualitet i helsesektoren, idet helseopplysninger, for eksempel om sykdom, behandling og helseplager, utvilsomt tilhører den enkeltes private sfære, som er omfattet av det menneskerettslige vern om privatlivet. Dette slås utvetydig fast i en fersk dom fra Den europeiske menneskerettsdomstol (EMD) – I mot Finland (dom av 17. juli 2008) – der en HIV-positiv sykepleier hevdet at sykehusets datasystem ikke beskyttet henne mot uautorisert innsyn i hennes pasientdata fra andre ansatte ved sykehuset. Domstolen peker på at statens forpliktelse ikke er begrenset til en "negativ" plikt til selv å avstå fra privatlivskrenkelser, men også en "positiv" forpliktelse til å iverksette effektive tiltak for å verne om borgernes privatliv. Denne sikringsplikten omfatter også vern mot krenkelser av tredjemenn som ikke handler på vegne av det offentlige, for eksempel privat ansatt helsepersonell.

For helsetjenesten innebærer dette en plikt til å sørge for et effektivt vern om pasienters privatliv i form av et system som gir sikker beskyttelse mot uberettiget innsyn i og flyt av helseopplysninger. Det presiseres i den nevnte dommen at det ikke er tilstrekkelig at lovgivningen garanterer beskyttelse mot uautorisert innsyn i data, så lenge det ikke etableres tilfredsstillende systemer og rutiner som i praksis gir et effektivt vern om den enkeltes privatliv. Det er heller ikke tilstrekkelig å etablere klageordninger med muligheter for kompensasjon for skader forårsaket av ulovlig innsyn. I dommen sies det: "What is required in this connection is practical and effective protection to exclude any possibility of unauthorized access occurring in the first place" (avsnitt 47).

Finland ble dømt for brudd på EMK artikkel 8 (1), med den begrunnelse at de nødvendige sikkerhetstiltak for å beskytte den enkeltes privatliv ikke var etablert.

Dommen er en viktig påminnelse om at retten til privatliv og beskyttelse av private opplysninger i helsevesenet i stor grad handler om praktiske og effektive tiltak for å hindre urettmessig tilgang til informasjon om andre. Dette krever ikke bare lovregulering, men etablering av praktiske løsninger som gir den nødvendige beskyttelse i praksis. Det er derfor nødvendig å stille to spørsmål i forhold til beskyttelse av personopplysninger på helsevesenets område: Er den eksisterende rettslige regulering tilstrekkelig? Er reguleringen gjennomført på en måte som faktisk sikrer et effektivt vern om privatlivet til den enkelte?

Komiteens medlem fra Sosialistisk Venstreparti viser til at Regjeringen arbeider med å følge opp Personvernkommisjonens utredning NOU 2009:1 "Individ og integritet. Personvern i det digitale samfunnet". Dette medlem viser til at Sosialistisk Venstrepartis stortingsgruppe derfor mener det er naturlig at representantforslaget vurderes i forbindelse med dette arbeidet, og Sosialistisk Venstrepartis stortingsgruppe imøteser dette arbeidet. På denne bakgrunn støtter Sosialistisk Venstrepartis representanter forslagene og merknadene fra Arbeiderpartiet og Senterpartiet.

Dette medlem imøteser også dette arbeidet, men mener samtidig at Personvernkommisjonen har så vesentlige innvendinger til måten personvernet i dag ivaretas på innen helsevesenet, at oppfølgingen av Personvernkommisjonens utredning burde ha vært prioritert framfor de endringene som Regjeringen foreslår i Ot.prp. nr. 51 (2008–2009), slik at premissene for personvern legges til grunn for endringer i helseregisterloven.

Dette medlem viser til sine merknader. Dette medlem mener at disse merknadene best imøtekommer Personvernkommisjonens utredning og tilsynsmyndighetenes, fagorganisasjonenes og pasientorganisasjonenes innsigelser til Ot.prp. nr. 51 (2008–2009) når det gjelder ivaretakelsen av personvern innen helsevesenet.

Komiteen viser til at Personvernkommisjonen i sin utredning har pekt på at det mange steder eksisterer uheldige rutiner med hensyn til ivaretakelse av taushetsplikt, for eksempel ved at legen kommuniserer med pasienten i påhør av andre pasienter og annet helsepersonell. Dette forekommer særlig der pasienten ikke har enerom, men ligger på rom med flere, der sengene er atskilt med forheng som ikke hindrer at andre hører det som blir sagt. Det kan ikke antas at pasienten stilltiende samtykker til at sensitive opplysninger på denne måten deles med andre, og det er derfor nødvendig med nye rutiner for å sikre forsvarlig håndheving av taushetsplikten.

Komiteen mener at sensitive helseopplysninger ikke må formidles i påhør av andre, og at legevisitten skal gjennomføres på en slik måte at taushetsplikten ivaretas.

Komiteen fremmer følgende forslag:

"Stortinget ber Regjeringen om å sikre pasientens rett til at personsensitive helseopplysninger ikke formidles i påhør av andre, blant annet under legevisitter."

Komiteens flertall, medlemmene fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet, vil vise til plikten til å opprette internkontrollsystem og tilsyn med at det føres internkontroll i lov 30. mars 1984 nr. 15 om statlig tilsyn med helsetjenesten. Det vises videre til forskrift 20. desember nr. 1731 om internkontroll i sosial- og helsetjenesten.

Enhver som yter helsetjeneste, skal etablere et internkontrollsystem for virksomheten og sørge for at virksomhet og tjenester planlegges, utføres og vedlikeholdes i samsvar med krav fastsatt i eller i medhold av lover og forskrifter. Hvis virksomhet innen helsetjenesten drives på en måte som kan ha skadelige følger for pasienter eller på annen måte er uheldig eller uforsvarlig, kan Statens helsetilsyn gi pålegg om å rette på forholdene, jf. § 5 i loven.

Flertallet legger til grunn at internkontrollplikten og Helsetilsynets tilsynsansvar også omfatter aktiviteter, rutiner og tiltak virksomheten utfører for å ivareta taushetsplikten, herunder at legevisitten og helsepersonells kommunikasjon med pasienten planlegges og gjennomføres på en slik måte at pasientenes rett til konfidensialitet ivaretas.

Komiteens flertall, medlemmene fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet, viser til at det ifølge offentlighetsloven og forvaltningsloven er ulovlig å offentliggjøre sensitive personopplysninger i elektroniske postjournaler. Standarden for elektronisk postjournal bygger blant annet på disse lovene. Når opplysninger legges ut på elektronisk postjournal, skjer dette manuelt, ettersom en person må avgjøre om noen av opplysningene skal skjermes, og dermed må lese innholdet i henvendelsen.

Flertallet mener at det ikke gir mening å erstatte individualiserende kjennetegn med pseudonymer i elektronisk postjournal. Der hvor opplysninger i elektronisk postjournal skal skjermes fra offentligheten, blir opplysningen fjernet, ikke erstattet av noe. Det gir heller ikke mening å erstatte opplysningen med et pseudonym. Arkivet i virksomheten som har utarbeidet den elektroniske postjournalen, vil uansett måtte vite avsenders eller mottakers identitet for besvarelse av henvendelsen. Et pseudonym vil i denne sammenheng ikke tilføre noe for styrking av personvernet.

Flertallet vil understreke at selv om man endrer standarden for elektronisk postjournal, vil dette dessverre ikke forhindre at det kan skje menneskelige feil når opplysninger manuelt skal tilføres journalen.

På denne bakgrunn støtter flertallet ikke forslag II i representantforslaget.

Komiteens medlemmer fra Høyre, Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre, merker seg at forslagsstillerne tar til orde for at Regjeringen skal utvikle standarden for elektronisk postjournal slik at individualiserende kjennetegn ved enkle grep kan erstattes med genererte pseudonymer. Disse medlemmer støtter intensjonen i forslaget, fordi forsendelse av elektroniske data alltid innebærer en risiko for at opplysningene når andre enn de som opplysningene var ment å nå. Kryptering av data ved forsendelse vil redusere skadeomfanget ved forsendelsen, forutsatt at krypteringsnøkkelen ikke lett lar seg knekke.

På denne bakgrunn støtter disse medlemmer forslag II og fremmer følgende forslag:

"Stortinget ber Regjeringen utvikle standarden for elektronisk postjournal slik at individualiserende kjennetegn ved enkle grep kan erstattes med genererte pseudonymer."

Komiteens flertall, medlemmene fra Fremskrittspartiet, Høyre, Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre, registrerer at forslagsstillerne mener at det vil være nødvendig med en redegjørelse fra Regjeringen for hvor stort behovet for tilgang til pasientjournaler på tvers av helseforetakene faktisk er.

Flertallet mener med bakgrunn i sakens kompleksitet at det vil være mer hensiktsmessig at denne redegjørelsen skjer i form av en stortingsmelding enn som en muntlig redegjørelse overfor Stortinget.

Med utgangspunkt i premisset om en stortingsmelding støtter flertallet forslag III og fremmer følgende forslag:

"Stortinget ber Regjeringen om en redegjørelse for hvor stort behovet for tilgang til pasientjournaler på tvers av helseforetakene faktisk er."

Komiteens medlemmer fra Arbeiderpartiet og Senterpartiet mener at redegjørelsen for de helsefaglige behov i Ot.prp. nr. 51 (2008–2009), samt rapporten "Tilgang til elektroniske pasientjournalsystem (EPJ)" (2006) som det vises til i nevnte odelstingsproposisjon, synliggjør behovene for tilgang til pasientjournaler på tvers av helseforetak.

Komiteens flertall, medlemmene fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet, har merket seg at det i departementet arbeides med en forskrift om informasjonssikkerhet og tilgang til helseopplysninger i behandlingsrettede helseregistre. Forskriften vil stille strenge krav til informasjonssikkerhet der det åpnes for tilgang på tvers av virksomheter i helsetjenesten.

Komiteens medlemmer fra Arbeiderpartiet og Senterpartiet støtter derfor ikke at det utarbeides en stortingsmelding som nevnt, og støtter ikke forslag III i representantforslaget.

Komiteens medlemmer fra Høyre, Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre mener, i likhet med forslagsstillerne, at det før eventuelle omfattende endringer av helseregisterloven og helsepersonelloven foretas, er behov for en overordnet gjennomgang av dagens journalsystemer i primær- og spesialisthelsetjenesten, både med utgangspunkt i ivaretakelsen av personvernet, men også som ledd i å gjennomgå hva som rent teknisk er mulig, ønskelig eller uheldig når det gjelder elektronisk samarbeid på tvers.

Komiteens flertall, medlemmene fra Fremskrittspartiet, Høyre, Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre, viser til Personvernkommisjonens kommentarer til uautorisert tilgang til taushetsbelagte helseopplysninger, der kommisjonen uttrykker:

"De største utfordringer og problemer i relasjon til kommunikasjon av og tilgang til helseopplysninger er etter Personvernkommisjonens oppfatning knyttet til uautorisert tilgang til helseopplysninger internt i helsetjenesten, samt at et økende antall samarbeidsinstanser får lovhjemlet tilgang til helseopplysninger om enkeltpersoner. Dette utfordrer taushetsplikten og sentrale personverninteresser som konfidensialitet og kontroll over egne opplysninger."

Komiteens medlemmer fra Høyre, Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre vil, i likhet med Personvernkommisjonen, påpeke at problemet knyttet til uautorisert tilgang særlig har sammenheng med innføring av elektronisk pasientjournal, som har gjort det enklere for ansatte i helsetjenesten å få tilgang til pasientopplysninger. Datatilsynet peker på at overgangen fra papir til elektroniske pasientjournaler har medført en økning i personvernrisikoen i helsesektoren og at problematikken særlig er knyttet til at:

"…. mer informasjon er lettere tilgjengelig for flere, lettere å spre til uvedkommende (Internett) og i den grad opplysningene først er spredd, er det vanskeligere å begrense skaden for pasientene som er rammet." (Datatilsynet 2007)

Komiteens flertall, medlemmene fra Fremskrittspartiet, Høyre, Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre, deler Personvernkommisjonens bekymring om at uautorisert tilgang bidrar til å redusere personvernet for den enkelte. Flertallet vil påpeke at faren for uautorisert tilgang til helseopplysninger vil øke med antallet som har tilgang. Når ulike elektroniske journalsystemer kobles sammen i kjeder, vil dermed også tilgangen for uautorisert personell til journaldataene øke. Flertallet registrerer at mens tilgangen til elektronisk kommunikasjon har gjennomgått en eksplosjonsartet utvikling gjennom det siste tiåret, ikke minst gjennom bruken av Internett, har sikkerhetssystemene for bruken ikke fulgt samme utvikling. Dette har gitt seg uheldige og også tragiske utslag i at svært personsensitive data er lagt ut på Internett med generell tilgang for alle interesserte til å se disse. Siden slike data lar seg laste ned, for deretter å kunne legges ut på ny, vil det være nær umulig å rette opp skaden når den først har skjedd. Eksempler er kompromitterende bildemateriale, barnepornografiske bilder eller personsensitive dokumenter. Journalopplysninger har allerede blitt lagt ut på nett, og dette synliggjør hvor sårbare elektroniske journalsystemer er for brudd på personvernet dersom sikkerhetsrutinene ikke er på plass når dataene gjøres lettere tilgjengelig.

Selv om helsepersonell har taushetsplikt, vil flertallet påpeke at det kun er relevant informasjon helsepersonellet skal skaffe seg tilgang til. Likevel viser en MMI-undersøkelse, gjengitt i Dagbladet den 5. juni 2005, at anslagsvis 86 prosent av de ansatte i helsevesenet bekrefter at det er utbredt å se i pasientjournalene ut over det som er nødvendig.

Komiteen viser til at dette var bakgrunnen for at Datatilsynet foreslo lovfesting av pasientens rett til innsyn i journalloggene i pasientrettighetsloven. Selv om tilsvarende rett også kan utledes av retten til innsyn etter bestemmelser i personopplysningsloven og helseregisterloven, mente Datatilsynet at det her var viktig å synliggjøre retten til innsyn i journalloggen for pasienten ved å nedfelle den i pasientrettighetsloven, på linje med retten til innsyn i pasientjournalen. Formålet med forslaget var å gi pasienten bedre kontroll over hvem som åpner journalen av ren nysgjerrighet. Departementet har fulgt opp forslaget i forslag til forskrift om informasjonssikkerhet og elektronisk tilgang til helseopplysninger i behandlingsrettede helseregistre. Forslaget har vært på høring med høringsfrist 12. januar 2009 og er en del av forskriftsendringen som komiteen støtter i behandlingen av Ot.prp. nr. 51 (2008–2009). Komiteen anser dermed forslaget IV ivaretatt.

Det er vedtatt bestemmelser som retter seg mot selve "snokingen". En ny bestemmelse i helsepersonelloven § 21a (tilføyd ved lov 9. mai 2008 nr. 34) slår fast at det er forbudt å "lese, søke etter eller på annen måte tilegne seg, bruke eller besitte opplysninger som nevnt i § 21 uten at det er begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp eller har særskilt hjemmel i lov eller forskrift". Dette er en viktig bestemmelse i lys av erfaringene med uberettiget "snoking" i pasientjournaler som har medført en tiltakende mistillit til helsetjenestens evne til å ivareta personvernet. Forbudet kan i så måte være med på å styrke det tillitsforholdet som må herske mellom legen og pasienten og mellom befolkningen og helsetjenesten. Tilsvarende bestemmelse er tilføyd i helseregisterloven, i en ny § 13a. Også denne bestemmelsen er viktig fra et personvernperspektiv, fordi den gir et klart rettslig signal om at det er ulovlig å tilegne seg helseopplysninger om andre når dette ikke er begrunnet i legitime, helserelaterte formål.

Komiteens flertall, medlemmene fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet, viser til at forslag til forskrift om informasjonssikkerhet og tilgang til behandlingsrettede helseregistre var på høring i perioden 20. oktober 2008 til 12. januar 2009. Det foreslås i forskriften at pasienten (den registrerte) har rett til innsyn i tilgangsloggen i pasientjournalen.

Flertallet forutsetter at forslaget om pasientens innsynsrett i logg følges opp i det videre arbeidet med forskriften.

Komiteens flertall, medlemmene fra Fremskrittspartiet, Høyre, Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre, har merket seg at Personvernkommisjonen i sin utredning gir uttrykk for:

"… generelt at det er grunn til større årvåkenhet med hensyn til etablering av registre, både rene helseregistre og de forskningsregistre som i fremtiden vil bli opprettet i medhold av helseforskningsloven."

I utredningen uttrykker Personvernkommisjonen videre:

"Det bør foretas grundige utredninger før helseregistre etableres. Det er ikke tilstrekkelig at registeret kan sies å tjene et godt formål. I tillegg må konsekvensene for personvernet utredes, og det må kunne dokumenteres at disse ikke er så negative at man av den grunn bør avstå fra å opprette registeret. Dersom man kommer til at registeret bør etableres, må det tilstrebes å gjøre bruken av registeret så personvernvennlig som mulig, for eksempel gjennom pseudonymisering eller andre metoder for identitetsbeskyttelse. Her mener kommisjonen at Grunnlovsfesting av personvernet … vil kunne bidra til en bedre balanse i vektleggingen av personvernhensyn opp mot andre interesser når helseregistre skal opprettes."

Flertallet merker seg videre at Personvernkommisjonen uttrykker:

"Dessuten må man erkjenne at omfang og bruk av etablerte helseregistre vil være i dynamisk utvikling. Derfor bør ethvert register undergis periodisk ettersyn og en revurdering, som bør være bygget inn i betingelsene for registerets hjemmel i form av en såkalt "solnedgangsklausul". Ved jevne mellomrom bør registeret opp til ny vurdering, der balansen mellom personvernet og andre interesser revurderes før hjemmel for registeret eventuelt forlenges. I forbindelse med revisjonen må det godtgjøres at registeret fremdeles har en nytteverdi og har vist seg egnet til å oppfylle det angitte formålet før det gis en forlengelse av hjemmelsgrunnlaget."

Flertallet viser til at Personvernkommisjonen foreslo en gjennomgang av alle etablerte sentrale helseregistre, med et klart fokus på personvern. Kommisjonen anbefalte at det burde foretas en utredning av hvorvidt de eksisterende registre har en berettiget eksistens og om det finnes registre med overlappende funksjon og formål. Kommisjonen konkluderte også med at personvernhensyn tilsier at registeromfanget begrenses til det som er nødvendig. Kommisjonen mente også at det bør vurderes om ikke pseudonymisering er et tiltak som kan tas i bruk for langt flere helseregistre enn det som er tilfelle i dag.

Et annet flertall, medlemmene fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet, viser til Personvernkommisjonens utredning, NOU 2009:1, og sier seg enig med kommisjonen i at en står overfor personvernmessige utfordringer i helsesektoren. Disse utfordringene er bakgrunnen for at det over flere år har vært gjennomført systematisk arbeid for å styrke personvernet i sektoren, både organisatorisk, juridisk og teknologisk. Teknologien gir i dag nye muligheter for personvern gjennom blant annet kryptering av data og logging av innsyn. Det er utviklet et strengt regelverk på dette området, og det gjennomføres stadig nye innskjerpinger.

Dette flertallet viser til at det i april 2008 ble det vedtatt en endring i helsepersonelloven og helseregisterloven som innebærer et tydelig forbud mot urettmessig å tilegne seg taushetsbelagte pasientopplysninger og andre helseopplysninger.

Dette flertallet er kjent med at departementet i 2008 etablerte et nasjonalt prosjekt som skal gjennomgå de sentrale helse- og kvalitetsregistrene for å bidra til bedre utnyttelse, bedre kvalitet og sikrere håndtering av data til forskning og helseovervåkning. Prosjektet skal foreslå tiltak for å bedre utnyttelsen og tilgjengeligheten til registrene og styrke personvernet til de registrerte.

Dette flertallet mener at arbeidet med personvern i helsesektoren må være en kontinuerlig prosess. Samtidig kan ikke et slikt kontinuerlig arbeid være til hinder for at det opprettes nye viktige helseregistre som vil ha stor betydning for kvaliteten på pasientbehandlingen og for pasientvernet. Det er også grunn til å understreke at personvernutfordringene i helsesektoren ikke først og fremst er knyttet til håndteringen av helseregistrene. I mange tilfeller kan etablering av helseregistre representere en betydelig personverngevinst fordi alternativet til et register er å hente data fra journalsystemet i helsetjenesten eller direkte fra pasientene.

På denne bakgrunn støtter dette flertallet ikke forslag V i representantforslaget.

Komiteens medlemmer fra Høyre, Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre merker seg at kommisjonen foreslo at det vedtas et moratorium mot etablering av nye helseregistre før denne gjennomgangen er fullført.

Disse medlemmer merker seg at forslag V er sammenfallende med Personvernkommisjonens forslag om et moratorium, og fremmer følgende forslag:

"Stortinget ber Regjeringen opprette et moratorium mot etablering av nye helseregistre inntil dagens registre er gjennomgått."

Komiteen mener at det er gode grunner til å utrede nærmere en ordning med såkalt kjernejournal, det vil si en journal med begrenset utdrag av pasientinformasjon. Komiteen merker seg at Legeforeningen har beskrevet en slik løsning som et alternativ til departementets forslag om utlevering av helseopplysninger på tvers av virksomhetsgrenser. Komiteen viser til at Nasjonalt IKT har startet et utredningsarbeid med sikte på å avklare hvilke av spesialisthelsetjenestens behov som kan dekkes av en nasjonal kjernejournal, og kommunenes behov for nasjonal kjernejournal skal kartlegges i eget utredningsarbeid. Dette bør også sees i sammenheng med et nasjonalt helsekort.

Komiteens flertall, medlemmene fra Arbeiderpartiet, Fremskrittspartiet, Høyre, Sosialistisk Venstreparti, Kristelig Folkeparti og Senterpartiet, mener derfor at forslaget kan sies å være fulgt opp allerede siden kartleggingen er under arbeid.

Komiteens medlemmer fra Høyre, Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre vil imidlertid påpeke at representantforslaget er mer konkret ved at forslagsstillerne ønsker en løsning med såkalt elektronisk kjernejournal hvor den enkelte kan samtykke til at livsnødvendige opplysninger kan lagres pseudonymisert og kryptert.

Disse medlemmer ser en slik løsning som tjenlig og som et alternativ til at det utvikles et felles generelt journalsystem på tvers av ulike virksomheter, fordi det vil kunne ivareta behovet for rask tilgang til livsnødvendige opplysninger uten at andre opplysninger som er uten relevans, og som samtidig er personsensitive, gjøres tilgjengelig. Disse medlemmer støtter forslag VI og fremmer følgende forslag:

"Stortinget ber Regjeringen opprette en løsning med såkalt elektronisk kjernejournal hvor den enkelte kan samtykke til at livsnødvendige opplysninger kan lagres pseudonymisert og kryptert."

Komiteens flertall, medlemmene fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet, støtter utredning av en nasjonal kjernejournal og mener at et slikt helseregister vil ivareta udekkede behov for informasjonsutveksling i helsetjenesten. Flertallet viser til Ot.prp. nr. 51 (2008–2009), hvor det er foreslått en hjemmel som vil muliggjøre kjernejournal på regionalt nivå som en pilot for en fremtidig nasjonal kjernejournal.

Flertallet vil også vise til at utredning av en nasjonal kjernejournal er en oppfølging av Samspill 2.0 – Nasjonal strategi for elektronisk samhandling i helse- og sosialsektoren 2008–2013 fra Helse- og omsorgsdepartementet.

Flertallet mener at det er for tidlig å konkludere når det gjelder om en nasjonal kjernejournal skal være basert på samtykke eller ikke. Det vil være avhengig av hva slags type opplysninger som vil inngå her. Dette spørsmålet er en del av den utredningen som er igangsatt av Nasjonal IKT, og det er derfor for tidlig å konkludere på dette punktet. Dette vil man ta endelig stilling til når saken fremmes til behandling på Stortinget.

For komiteens medlemmer fra Arbeiderpartiet og Senterpartiet synes det lite hensiktsmessig at helseregistre som brukes til pasientbehandling, og hvor helseopplysninger må være gjenfinnbare på bakgrunn av en persons identitet, blir lagret kryptert eller pseudonymisert. Dette var også bakgrunnen for at det er inntatt i helseregisterloven § 8 at kravet til at direkte personidentifiserende kjennetegn skal lagres kryptert i registrene, ikke gjelder nasjonal database for elektroniske resepter. Dette registeret skal brukes i det daglige, og resepter må være gjenfinnbare på en persons identitet.

Komiteens flertall, medlemmene fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet, mener arbeidet med å utvikle en kjernejournal bør intensiveres og ses i sammenheng med utviklingen av et eventuelt elektronisk helsekort.

Komiteen viser til at forslag VII gjelder opplæringstiltak og holdningsskapende tiltak for at taushetsplikten skal etterleves, og at Regjeringen bes tilrettelegge for slike tiltak. Komiteen ser også verdien av slike tiltak og fremmer følgende forslag:

"Stortinget ber Regjeringen legge til rette for opplærings- og holdningsskapende tiltak for at taushetsplikten skal etterleves, eksempelvis som del av kvalitetssikringsarbeidet i helseforetakene."

Komiteens flertall, medlemmene fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet, viser til at forslag til forskrift om informasjonssikkerhet og tilgang til behandlingsrettede helseregistre var på høring i perioden 20. oktober 2008 til 12. januar 2009, se også pkt. 2.5 ovenfor.

Flertallet viser til at det i dette høringsforslaget ble foreslått en bestemmelse som setter krav til opplæring, kunnskap og holdninger, herunder gis at det skal gis nødvendig opplæring i reglene om taushetsplikt samt pasientens rett til informasjon og rett til å motsette seg behandling av helseopplysninger.

Flertallet forutsetter at forslaget om krav til opplæring og kunnskap følges opp i det videre arbeidet med forskriften.