Du bruker en gammel nettleser. For å kunne bruke all funksjonalitet i nettsidene må du bytte til en nyere og oppdatert nettleser. Se oversikt over støttede nettlesere.

Stortinget.no

logo
Hopp til innholdet
Til forsiden
Til forsiden

Vedlegg 2

Det vises til brev fra Stortingets helse- og omsorgskomite vedrørende ovennevnte.

Helse- og omsorgskomiteen ber om en generell vurdering av forslagene som foreligger, men ønsker også mer presist å få utdypet ulike problemstillinger konkretisert i 7 spørsmål gjengitt nedenfor.

Helse- og omsorgskomiteen stiller følgende spørsmål til forslaget under romertall I i Dok 8:70 (2008–2009):

Hvordan vurderer statsråden behovet for å skjerpe rutinene for å unngå denne situasjonen i tråd med forslagsstillernes intensjon, og hvilke alternativer vurderer statsråden som aktuelle hvis forslaget ikke støttes?

Det vises til plikten til å opprette internkontrollsystem og tilsyn med at det føres internkontroll i lov 30. mars 1984 nr. 15 om statlig tilsyn med helsetjenesten og forskrift 20. desember nr. 1731 om internkontroll i sosial- og helsetjenesten.

Enhver som yter helsetjeneste skal etablere et internkontrollsystem for virksomheten og sørge for at virksomhet og tjenester planlegges, utføres og vedlikeholdes i samsvar med krav fastsatt i eller i medhold av lover og forskrifter. Hvis virksomhet innen helsetjenesten drives på en måte som kan ha skadelige følger for pasienter eller på annen måte er uheldig eller uforsvarlig, kan Statens helsetilsyn gi pålegg om å rette på forholdene, jf. § 5 i loven.

Internkontrollplikten og Helsetilsynets tilsynsansvar omfatter også aktiviteter, rutiner og tiltak virksomheten utfører for å ivareta taushetsplikten, herunder at legevisitten og helsepersonells kommunikasjon med pasienten planlegges og gjennomføres på en slik måte at pasientenes rett til konfidensialitet ivaretas.

Hvis virksomhet innen helsetjenesten drives på en måte som kan ha skadelige følger for pasienter eller andre eller på annen måte er uheldig eller uforsvarlig, kan Statens helsetilsyn gi pålegg om å rette på forholdene.

Helse- og omsorgskomiteen stiller følgende spørsmål til forslaget under romertall II i Dok 8:70 (2008–2009):

Hvordan vurderer statsråden forslaget om pseudonymisering av individualiserende kjennetegn, og hvilke alternativer ser stasråden for seg hvis han ikke støtter forslaget?

I følge offentlighetsloven og forvaltningsloven er det ulovlig å offentliggjøre sensitive personopplysninger i elektroniske postjournaler. Standarden for elektronisk postjournal bygger blant annet på disse lovene. Når opplysninger legges ut på elektronisk postjournal, skjer dette manuelt, ettersom en person må avgjøre om noen av opplysningene skal skjermes, og dermed må lese innholdet i henvendelsen.

Slik jeg vurderer saken gir det ikke mening å erstatte individualiserende kjennetegn med pseudonymer i en elektronisk postjournal. Der hvor opplysninger i en elektronisk postjournal skal skjermes fra offentligheten, blir opplysningen fjernet, ikke erstattet av noe. Det gir heller ikke mening å erstatte opplysningen med et pseudonym. Arkivet i virksomheten som har utarbeidet den elektroniske postjournalen vil uansett måtte vite avsenders eller mottakers identitet for besvarelse av henvendelsen. Et pseudonym vil i denne sammenheng ikke tilføre noe for styrking av personvernet.

Jeg vil legge til at selv om man endrer standarden for elektronisk postjournal, vil dette dessverre ikke forhindre at det kan skje menneskelige feil når opplysninger manuelt skal tilføres journalen.

Jeg gjør oppmerksom på at offentlighetsloven og forvaltningsloven ikke ligger under mitt ansvarsområde. Forvaltningen av offentlighetsloven og forvaltningsloven er Justisministerens ansvar, mens Fornyings- og administrasjonsministeren og Kommunal- og regionalministeren har ansvar for postjournal.

Helse- og omsorgskomiteen stiller følgende spørsmål til forslaget under romertall III i Dok 8:70 (2008–2009):

Kan statsråden i form av en redegjørelse eller på annen måte dokumentere hvilket behov som foreligger for større tilgang på tvers?

Jeg mener at redegjørelsen for de helsefaglige behov i Ot.prp. nr. 51 (2008–2009), samt rapporten "Tilgang til elektroniske pasientjournalsystem (EPJ)" (2006) som det vises til i nevnte odelstingsproposisjon, i tilstrekkelig grad synliggjør behovene for tilgang til pasientjournaler på tvers av helseforetak.

Jeg vil legge til at tilgang på tvers bare skal kunne skje etter avtale der det er behov for det. Det vil særlig gjelde tilfeller der det er utstrakt samarbeid om behandling av pasienter på tvers av virksomhetsgrenser. Meldingsutveksling og eventuell annen form for utlevering av helseopplysninger skal fortsatt benyttes der dette anses mest formålstjenlig og sikkert.

Jeg kan også nevne at det arbeides i departementet med en forskrift om informasjonssikkerhet og tilgang til helseopplysninger i behandlingsrettede helseregistre. Forskriften vil stille strenge krav til informasjonssikkerhet der det åpnes for tilgang på tvers av virksomheter i helsetjenesten.

Helse- og omsorgskomiteen stiller følgende spørsmål til forslaget under romertall IV i Dok 8:70 (2008–2009):

Hvordan vil statsråden sikre innsyn for pasienten til tilgangsloggen? Hvordan vil statsråden sikre oppfølgingen av intensjonen i forslaget ved at det faktisk er den som er bruker av arbeidsstasjonen, som er tilknyttet initialene ved bruk?

Jeg viser til at forslag til forskrift om informasjonssikkerhet og tilgang til behandlingsrettede helseregistre var på høring i perioden 20. oktober 2008 til 12. januar 2009. Det foreslås i forskriften at pasienten (den registrerte) har rett til innsyn i tilgangsloggen i pasientjournalen. Forslaget om pasientens innsynsrett i logg vil bli fulgt opp i det videre arbeidet med regelverket.

Effektiv informasjonssikkerhet, herunder det forhold at man må kunne stole på den informasjonen en logg gir, forutsetter at ingen skal kunne skaffe seg tilgang til helseopplysninger via andres initialer.

Slik jeg ser det, er det både et ledelsesansvar og det enkelte helsepersonells ansvar å sørge for at ingen skaffer seg tilgang til helseopplysninger via andres initialer. Ledelsens ansvar vil blant annet innebære å sørge for nødvendig opplæring, kunnskap og holdninger slik at ansatte har god kjennskap til reglene om informasjonssikkerhet, herunder taushetsplikt, rutiner etc. virksomheten har utarbeidet og følger opp at dette etterleves.

Helsepersonells ansvar innebærer først og fremst å handle i henhold til regelverket. Helsepersonell må derfor ha god kunnskap om dette, herunder innholdet i taushetsplikten og omfanget av plikten. Helsepersonell må også få kunnskap om at det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger uten at det er begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp eller har særskilt hjemmel i lov eller forskrift, jf. helseregisterloven § 13 a og helsepersonelloven § 21 a. Helsepersonell må vite at brudd på disse reglene kan føre til reaksjoner fra arbeidsgiver. Det kan også medføre strafferettlige reaksjoner (bøter eller fengsel i inntil tre måneder.)

Helse- og omsorgskomiteen stiller følgende spørsmål til forslaget under romertall V i Dok 8:70 (2008–2009):

Hvilke initiativ vil statsråden ta for å følge opp Personvernkommisjonens forslag om å gjennomgå dagens helseregistre, også med tanke på pseudonymisering av flere av disse?

Jeg er enig med kommisjonen i at en står overfor personvernmessige utfordringer i helsesektoren. Disse utfordringene er bakgrunnen for at det over flere år har vært gjennomført systematisk arbeid for å styrke personvernet i sektoren, både organisatorisk, juridisk og teknologisk. Teknologien gir i dag nye muligheter for personvern gjennom blant annet kryptering av data og logging av innsyn. Det er utviklet et strengt regelverk på dette området, og det gjennomføres stadig nye innskjerpinger.

Jeg viser til at det i april 2008 ble vedtatt en endring i helsepersonelloven og helseregisterloven som innebærer et tydelig forbud mot urettmessig å tilegne seg taushetsbelagte pasientopplysninger og andre helseopplysninger.

Jeg vil videre informere om at departementet i 2008 etablerte et nasjonalt prosjekt som skal gjennomgå de sentrale helse- og kvalitetsregistrene for å bidra til bedre utnyttelse, bedre kvalitet og sikrere håndtering av data til forskning og helseovervåkning. Prosjektet skal foreslå tiltak for å bedre utnyttelsen og tilgjengeligheten til registrene og styrke personvernet til de registrerte.

Jeg mener at arbeidet med personvern i helsesektoren må være en kontinuerlig prosess. Samtidig kan ikke et slikt kontinuerlig arbeid være til hinder for at det opprettes nye viktige helseregistre som vil ha stor betydning for kvaliteten på pasientbehandlingen og for pasientvernet.

Helse- og omsorgskomiteen stiller følgende spørsmål til forslaget under romertall VI i Dok 8:70 (2008–2009):

Hvordan arbeider Regjeringen med spørsmålet om elektronisk kjernejournal? Er statsråden enig i forslagsstillernes forslag om at opplysningene bør lagres pseudonymisert? Hvis statsråden ikke deler denne oppfatningen, hvordan mener i så fall statsråden at personvernet best kan ivaretas med data som ikke er pseudonymisert?

Jeg mener det må være klart at helseregistre som brukes til pasientbehandling, og hvor helseopplysninger må være gjenfinnbare på bakgrunn av en persons identitet, ikke kan lagres kryptert eller pseudonymisert. En forutsetning for at man kan gi faglig og forsvarlig helsehjelp til en pasient forutsetter at man vet hvem denne pasienten er. Dette var også bakgrunnen for at det er inntatt i helseregisterloven § 8 at kravet til at direkte personidentifiserende kjennetegn skal lagres kryptert i registrene ikke gjelder nasjonal database for elektroniske resepter. Dette registeret skal brukes i det daglige, og resepter må være gjenfinnbare på en persons identitet.

Helse- og omsorgskomiteen stiller følgende spørsmål til forslaget under romertall VII i Dok 8:70 (2008–2009):

Hva slags opplærings- og holdningsskapende tiltak mener statsråden at er viktig for at taushetsplikten skal etterleves og personvernet styrkes? Hvordan ser statsråden i den forbindelse på grenseoppgangene mellom taushetsplikt og meldeplikt? Mener statsråden at helsepersonell har kunnskaper nok om disse grenseoppgangene, og hvordan vil statsråden i så fall bidra til å avklare grenseoppgangene?

Jeg viser til at forslag til forskrift om informasjonssikkerhet og tilgang til behandlingsrettede helseregistre var på høring i perioden 20. oktober 2008 til 12. januar 2009, se også romertall IV ovenfor.

Det er mitt inntrykk at behovet for opplæring og kunnskap om regelverket rundt elektronisk behandling av helseopplysninger er stort. For å presisere og synliggjøre plikten til og behovet for kunnskap, opplæring og holdningsskapende arbeid i informasjonssikkerhet, ble det i høringsforslaget foreslått en bestemmelse som setter krav til opplæring, kunnskap og holdninger, herunder gis at det skal gis nødvendig opplæring i reglene om taushetsplikt samt pasientens rett til informasjon og rett til å motsette seg behandling av helseopplysninger.