Du bruker en gammel nettleser. For å kunne bruke all funksjonalitet i nettsidene må du bytte til en nyere og oppdatert nettleser. Se oversikt over støttede nettlesere.

Stortinget.no

logo
Hopp til innholdet
Til forsiden
Til forsiden

Vedlegg 1

I forbindelse med behandlingen av Ot.prp. nr 49 (2005–2006) fattet odelstinget følgende vedtak 1.februar 2007, jf. Besl. O. nr. 52 (2006–2007):

vedtak til lov om endringer i lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger (helseregisterloven)

I

I lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger (helseregisterloven) gjøres følgende endringer:

§ 8 tredje ledd fram til og med kolon skal lyde:

I følgende registre kan navn, fødselsnummer og andre direkte personidentifiserende kjennetegn behandles uten samtykke fra den registrerte i den utstrekning det er nødvendig for å nå formålet med registeret, og direkte personidentifiserende kjennetegn skal lagres kryptert i registeret:

§ 8 tredje ledd nytt nr. 8 skal lyde:

  • 8. Norsk pasientregister

II

Loven trer i kraft straks.

Som følge av dette vedtaket er ordlyden i helseregisterloven § 8 slik:

§ 8 Sentrale helseregistre

Det kan ikke etableres andre sentrale helseregistre med helseopplysninger enn det som følger av denne eller annen lov.

Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om etablering av sentrale helseregistre og behandling av helseopplysninger i sentrale helseregistre for ivaretakelse av oppgaver etter apotekloven, kommunehelsetjenesteloven, sosialtjenesteloven, tannhelsetjenesteloven, smittevernloven og spesialisthelsetjenesteloven, herunder overordnet styring og planlegging av tjenestene, kvalitetsutvikling, forskning og statistikk. Navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn kan bare behandles etter samtykke fra den registrerte. Samtykke fra den registrerte er ikke nødvendig, dersom det i forskriften bestemmes at helseopplysningene bare kan behandles i psudonymisert eller avidentifisert form. Forskriften skal eventuelt fastsette nærmere regler om hvem som skal foreta pseudonymiseringen og prinsipper for hvordan det skal gjøres.

I følgende registre kan navn, fødselsnummer og andre direkte personidentifiserende kjennetegn behandles uten samtykke fra den registrerte i den utstrekning det er nødvendig for å nå formålet med registeret, og direkte personidentifiserende kjennetegn skal lagres kryptert i registrene:

  • 1. Dødsårsaksregisteret

  • 2. Kreftregisteret

  • 3. Medisinsk fødselsregister

  • 4. Meldingssystem for smittsomme sykdommer

  • 5. Det sentrale tuberkuloseregisteret

  • 6. System for vaksinasjonskontroll (SYSVAK)

  • 7. Forsvarets helseregister

  • 8. Norsk pasientregister

  • 9. Nasjonal database for elektroniske resepter.

Kravet til at direkte personidentifiserende kjennetegn skal lagres kryptert i registrene gjelder ikke nasjonal database for elektroniske resepter.

Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om behandlingen av helseopplysningene i helseregistrene.

Forskriftene etter annet og fjerde ledd skal angi formålet med behandlingen av helseopplysningene og hvilke opplysninger som skal behandles. Forskriften skal videre angi hvem som er databehandlingsansvarlig for opplysningene.

Databehandlingsansvaret kan delegeres. Forskriftene bør også gi bestemmelser om den databehandlingsansvarliges plikt til å gjøre data tilgjengelig for at formålene kan nås.

Endringen i helseregisterloven § 8 var ikke fremmet av Regjeringen Stoltenberg i Ot.prp. nr. 49 (2005–2006), men ble fremmet av mindretallet i Helse- og omsorgskomiteen bestående av representanter for regjeringspartiene Arbeiderpartiet, Senterpartiet og Sosialistisk Venstreparti. Vedtaket i odelstinget 1. februar 2007 ble vedtatt med støtte av flertallet bestående av representanter for regjeringspartiene. Mindretallet, bestående at Høyre, Kristelig Folkeparti, Venstre og Fremskrittspartiet gikk inn for et strengere krav om kryptering, der krypteringen skulle foretas av en ekstern instans.

I Rapport for arbeidsgruppe Hjerte- og karregisteret fra mai 2008 heter det på s. 40–41:

«Samtidig med at NPR ble personentydig register i februar 2007, ble Helseregisterloven endret slik at alle de sentrale helseregistrene som er nevnt i § 8, skulle lagre direkte personidentifiserende kjennetegn kryptert i registrene. HOD er orientert om at Dødsårsaksregisteret, Kreftregisteret, Medisinsk fødselsregister, Meldingssystemet for infeksjonssykdommer (MSIS), Det sentrale tuberkulose registeret og System for vaksinasjonskontroll (SYSVAK) ikke oppfyller dette kravet per i dag (se brev 07/1409 fra Folkehelseinstituttet)»

Folkehelseinstituttets direktør Geir Stene-Larsen uttaler til Aftenposten 21. februar d.å. at bare systemet for vaksinekontroll er kryptert, mens de øvrige registrene fortsatt ikke er kryptert.

Det vises videre til Ot.prp. nr. 23 (2009–2010), som er under behandling i Helse- og omsorgskomiteen. I denne saken uttaler Regjeringen i pkt 3.5.4 at «Alle registre som er etablert med hjemmel i helseregisterloven § 8 tredje ledd skal som hovedregel være internt krypterte.» I proposisjonens pkt. 3.6.3.3 heter det at: «Intern kryptering er, slik departementet ser det, et viktig virkemiddel for å ivareta personvernet. Og videre «Departementet mener derfor at intern kryptering vil være et hensiktsmessig virkemiddel for å ivareta personvernhensyn ved etablering av et nasjonalt hjerte- og karregister, og ser ikke at det foreligger grunnlag for å gjøre unntak fra kravet om slik kryptering.»

Stortingets Kontroll- og konstitusjonskomité ser svært alvorlig på det faktum at en rekke helseregistre fortsatt ikke er kryptert, tre år etter at lovkravet om intern kryptering av personidentifiserbare kjennetegn ble vedtatt. Det må ikke herske tvil om at lovvedtak fattet av Stortinget skal følges av Regjeringen og dens underliggende etater. Komiteen påpeker også at personvernet må sikres for å ivareta tilliten til helsetjenesten og helseforskningen.

Det bes om begrunnelse for at Regjeringen ved Helse- og omsorgsdepartementet ikke har sørget for at de nevnte helseregistrene er kryptert, slik loven krever. Det bes videre om en orientering om hvilke tiltak Helse- og omsorgsdepartementet iverksatte for å sikre at lovens krav om kryptering av helseregistre ble oppfylt, etter at loven trådte i kraft. Videre ønsker komiteen en redegjørelse for hvilke tiltak som ble iverksatt da Helse- og omsorgsdepartementet ble gjort kjent med Folkehelseinstituttets lovstridige praksis.

Det bes videre om en redegjørelse for hvorvidt Stortinget er orientert om at helseregistrene ikke var kryptert slik loven krever, og eventuelt hvorfor Regjeringen ikke har funnet det nødvendig å informere Stortinget om dette.