2. Bakgrunn for saken
1. februar 2007 fattet Odelstinget beslutning om endringer i helseregisterloven, som medførte et lovkrav om at de sentrale helseregistrene skulle krypteres, jf. Besl. O. nr. 52 (2006–2007).
Bakgrunnen var behandlingen av Ot.prp. nr. 49 (2005–2006) Om lov om endringer i helseregisterloven (Norsk pasientregister). I proposisjonen ble det fremmet forslag om å gjøre Norsk pasientregister til et personidentifiserbart register og utvide registeret slik at det kan benyttes til medisinsk og helsefaglig forskning, og som datagrunnlag for sykdoms- og kvalitetsregistre. Forslaget innebar at registeret skulle inneholde personnummer fra alle pasienter i norske sykehus, og at det ikke skulle baseres på samtykke fra den enkelte pasient. I proposisjonen ble det vist til at personidentifikasjon ville bli kryptert og at sikkerhetsrutiner omkring registeret ville bli ivaretatt. Proposisjonen inneholdt ikke forslag om at kravet om kryptering skulle tas inn i helseregisterloven.
Kravet om kryptering ble sentralt i helse- og omsorgskomiteens behandling av saken, jf. Innst. O. nr. 40 (2006–2007). Komiteens medlemmer fra Fremskrittspartiet, Høyre, Kristelig Folkeparti og Venstre (som utgjorde flertallet i komiteen, men ikke i Odelstinget) fremmet forslag om et nytt krav i helseregisterloven om ekstern kryptering av personidentifiserbare opplysninger. Ekstern kryptering innebærer at en ekstern instans skal foreta krypteringen; dvs. at krypteringen håndteres av en annen instans enn selve registeret. Komiteens medlemmer fra Arbeiderpartiet, Sosialistisk Venstreparti og Senterpartiet fremmet forslag om lovkrav i helseregisterloven om intern kryptering. Innstillingen inneholdt ingen nærmere vurdering av hva et krav om intern kryptering innebærer eller hvordan det kan utformes. Det var dette forslaget om intern kryptering som ble vedtatt, jf. Besl. O. nr. 52 (2006–2007). Nytt § 8 tredje ledd ble etter dette som følger:
«I følgende registre kan navn, fødselsnummer og andre direkte personidentifiserende kjennetegn behandles uten samtykke fra den registrerte i den utstrekning det er nødvendig for å nå formålet med registeret, og direkte personidentifiserende kjennetegn skal lagres kryptert i registeret.»
Vedtaket innebar at i de i alt åtte helseregistrene som var listet opp i helseregisterloven, ble omfattet av kravet om intern kryptering. Loven trådte i kraft straks. De åtte registrene er:
Dødsårsaksregisteret
Kreftregisteret
Medisinsk fødselsregister
Meldingssystem for smittsomme sykdommer
Det sentrale tuberkuloseregisteret
System for vaksinasjonskontroll (SYSVAK)
Forsvarets helseregister
Norsk pasientregister.
På bakgrunn av opplysninger om at kravet om intern kryptering av helseregistrene ikke var fulgt opp, besluttet komiteen å henvende seg med spørsmål om dette til helse- og omsorgsministeren. I komiteens brev av 3. mars 2010 til helse- og omsorgsministeren ble det vist til Odelstingets vedtak om endringer i helseregisterloven av 1. februar 2007. Komiteen ba om statsrådens kommentar til følgende:
«Stortingets kontroll- og konstitusjonskomité ser svært alvorlig på det faktum at en rekke helseregistre fortsatt ikke er kryptert, tre år etter at lovkravet om intern kryptering av personidentifiserbare kjennetegn ble vedtatt. Det må ikke herske tvil om at lovvedtak fattet av Stortinget skal følges av Regjeringen og dens underliggende etater. Komiteen påpeker også at personvernet må sikres for å ivareta tilliten til helsetjenesten og helseforskningen.
Det bes om begrunnelse for at Regjeringen ved Helse- og omsorgsdepartementet ikke har sørget for at de nevnte helseregistrene er kryptert, slik loven krever. Det bes videre om en orientering om hvilke tiltak Helse- og omsorgsdepartementet iverksatte for å sikre at lovens krav om kryptering av helseregistre ble oppfylt, etter at loven trådte i kraft. Videre ønsker komiteen en redegjørelse for hvilke tiltak som ble iverksatt da Helse- og omsorgsdepartementet ble gjort kjent med Folkehelseinstituttets lovstridige praksis.
Det bes videre om en redegjørelse for hvorvidt Stortinget er orientert om at helseregistrene ikke var kryptert slik loven krever, og eventuelt hvorfor Regjeringen ikke har funnet det nødvendig å informere Stortinget om dette.»
I helse- og omsorgsministerens svarbrev ble det redegjort for at det har vært arbeidet med å finne løsninger for intern kryptering av direkte personidentifiserende kjennetegn i sentrale helseregistre helt siden lovvedtaket ble fattet. Det kom frem at departementet i samarbeid med de berørte registrene hadde igangsatt en prosess for å avklare hva som ligger i kravet om intern kryptering, og videre at denne prosessen hadde vist seg å være vanskeligere og mer omfattende enn det som ble lagt til grunn da lovendringen ble vedtatt. Av brevet fremgår det videre følgende:
«I løpet av 2007 ble arbeidet med å utforme forskriftstekst for Norsk pasientregister gitt høy prioritet i departementet, og herunder hvordan kravet til intern kryptering skulle utformes i forskrift og merknad. Norsk pasientregisterforskriften ble vedtatt 7. desember 2007, men trådte først i kraft 15. april 2009, da krypteringsløsningen var ferdig utviklet.»
Og videre at:
«I 2008 ble det fra Helse- og omsorgsdepartementets side tatt uformell kontakt med Datatilsynet for å undersøke om tilsynet kunne bidra i forståelsen av kravet om intern kryptering av direkte personidentifiserende kjennetegn i helseregistrene. Departementet ønsket å drøfte mulige løsninger i de ulike registrene ut fra deres formål, samt behovet for å lage felles retningslinjer for registrene. Datatilsynet ble orientert om at departementet ville komme tilbake til saken når prosessen med helseregistrene var gjennomført.»
Helse- og omsorgsministeren skriver også:
«Kravet om intern kryptering var ikke en del av det forslag som regjeringen fremmet i Ot.prp. nr. 49 (2006–2007). Regjeringens forslag ville ha åpnet for etablering av NPR som et personidentifiserbart register, men ville ikke medført større konsekvenser for de eksisterende helseregistrene med hjemmel i helseregisterloven § 8 tredje ledd. Stortingets vedtak om å lovfeste et krav om intern kryptering avvek i så måte fra regjeringens forslag. Det ble likevel vedtatt at lovendringen skulle tre i kraft straks. I ettertid ser jeg at man skulle ha vurdert utsatt ikraftsetting av hele, eller deler av lovvedtaket, men da måtte saken ha vært forelagt Stortinget på nytt.»
Svarbrevet ble behandlet i komiteens møte 23. mars 2010. Komiteen besluttet da å fortsette sine undersøkelser og igangsette forberedelser til egen sak til Stortinget.
Som et ledd i behandlingen av saken besluttet komiteen å holde en åpen kontrollhøring. Høringen ble avholdt 19. mai 2010.
Følgende ble invitert og møtte til høring:
Helse- og omsorgsminister Anne-Grete Strøm-Erichsen
Tidligere helse- og omsorgsminister Bjarne Håkon Hanssen
Forsvarsminister Grete Faremo
Tidligere forsvarsminister Anne-Grete Strøm-Erichsen
Forsker ved Norsk senter for menneskerettigheter, Njål Høstmælingen
Konstituert direktør i Datatilsynet, Ove Skåra.
De problemstillingene komiteen ønsket å få belyst under høringen, var:
1. Hvilke tiltak ble iverksatt fra Helse- og omsorgsdepartementets side for å sikre etterlevelse av stortingsvedtaket om intern kryptering av helseregistrene?
2. Hvordan sørget helse- og omsorgsministeren for å informere Stortinget om problemene med å gjennomføre intern kryptering av helseregistrene og manglende iverksettelse av lovvedtaket?
3. Hvilke tiltak ble iverksatt fra forsvarsministerens side for å oppfylle Stortingets krav om intern kryptering av Forsvarets helseregister?
4. Hvordan sørget forsvarsministeren for å informere Stortinget om problemene med å gjennomføre intern kryptering av Forsvarets helseregister og manglende iverksettelse av lovvedtaket?
5. Hvordan vurderte regjeringen ivaretakelsen av personvernet i helseregistrene i forholdet til menneskerettslovens krav til vern av privatliv? Det vises særlig til dom avsagt av Europarådets menneskerettighetsdomstol 4. desember 2008 i saken Marper mot Storbritannia, samt den islandske Høyesteretts dom av 27. november 2003 der et lovvedtak om helseregister ble satt til side fordi det ble ansett å være i strid med den konstitusjonelle retten til vern av privatliv.
6. Hvordan vurderer Datatilsynet mulighetene for å ivareta kravet om intern kryptering, og de tiltak Helse- og omsorgsdepartementet har iverksatt for å ivareta dette kravet?
Høringen ble delt i tre deler. Tema for den første delen var Helse- og omsorgsdepartementets oppfølging av Stortingets vedtak om kryptering av helseregistre. Den andre delen omhandlet Forsvarsdepartementets oppfølging av Stortingets vedtak om kryptering av Forsvarets helseregister. Tema for den siste delen var ivaretakelse av personvernet i helseregistre.
Det ble tatt stenografisk referat fra høringen. Referatet fra høringen følger som vedlegg til denne innstillingen.