Kontroll- og konstitusjonskomiteen vedtok i møte
23. mars 2010 å igangsette forberedelser i en egen sak til Stortinget,
jf. Stortingets forretningsorden § 12 nr. 9 sjette ledd, om oppfølging av
Stortingets vedtak om kryptering av helseregistre.
Bakgrunnen var opplysninger om at Stortingets vedtak
av 1. februar 2007, som medførte et lovkrav om kryptering av i alt
åtte helseregistre, ikke var fulgt opp.
Statsråd Anne-Grete Strøm-Erichsen ble 23. mars
2010 tilskrevet om at komiteen hadde igangsatt forberedelser i en
egen sak til Stortinget.
1. februar 2007 fattet Odelstinget beslutning
om endringer i helseregisterloven, som medførte et lovkrav om at
de sentrale helseregistrene skulle krypteres, jf. Besl. O. nr. 52
(2006–2007).
Bakgrunnen var behandlingen av Ot.prp. nr. 49 (2005–2006)
Om lov om endringer i helseregisterloven (Norsk pasientregister).
I proposisjonen ble det fremmet forslag om å gjøre Norsk pasientregister
til et personidentifiserbart register og utvide registeret slik
at det kan benyttes til medisinsk og helsefaglig forskning, og som
datagrunnlag for sykdoms- og kvalitetsregistre. Forslaget innebar
at registeret skulle inneholde personnummer fra alle pasienter i
norske sykehus, og at det ikke skulle baseres på samtykke fra den
enkelte pasient. I proposisjonen ble det vist til at personidentifikasjon
ville bli kryptert og at sikkerhetsrutiner omkring registeret ville
bli ivaretatt. Proposisjonen inneholdt ikke forslag om at kravet
om kryptering skulle tas inn i helseregisterloven.
Kravet om kryptering ble sentralt i helse- og
omsorgskomiteens behandling av saken, jf. Innst. O. nr. 40 (2006–2007).
Komiteens medlemmer fra Fremskrittspartiet, Høyre, Kristelig Folkeparti
og Venstre (som utgjorde flertallet i komiteen, men ikke i Odelstinget)
fremmet forslag om et nytt krav i helseregisterloven om ekstern
kryptering av personidentifiserbare opplysninger. Ekstern kryptering
innebærer at en ekstern instans skal foreta krypteringen; dvs. at
krypteringen håndteres av en annen instans enn selve registeret.
Komiteens medlemmer fra Arbeiderpartiet, Sosialistisk Venstreparti
og Senterpartiet fremmet forslag om lovkrav i helseregisterloven
om intern kryptering. Innstillingen inneholdt ingen nærmere vurdering
av hva et krav om intern kryptering innebærer eller hvordan det
kan utformes. Det var dette forslaget om intern kryptering som ble
vedtatt, jf. Besl. O. nr. 52 (2006–2007). Nytt § 8 tredje ledd ble
etter dette som følger:
«I følgende registre kan navn, fødselsnummer og andre
direkte personidentifiserende kjennetegn behandles uten samtykke
fra den registrerte i den utstrekning det er nødvendig for å nå
formålet med registeret, og direkte personidentifiserende kjennetegn
skal lagres kryptert i registeret.»
Vedtaket innebar at i de i alt åtte helseregistrene som
var listet opp i helseregisterloven, ble omfattet av kravet om intern
kryptering. Loven trådte i kraft straks. De åtte registrene er:
Dødsårsaksregisteret
Kreftregisteret
Medisinsk fødselsregister
Meldingssystem for smittsomme sykdommer
Det sentrale tuberkuloseregisteret
System for vaksinasjonskontroll (SYSVAK)
Forsvarets helseregister
Norsk pasientregister.
På bakgrunn av opplysninger om at kravet om intern
kryptering av helseregistrene ikke var fulgt opp, besluttet komiteen
å henvende seg med spørsmål om dette til helse- og omsorgsministeren.
I komiteens brev av 3. mars 2010 til helse- og omsorgsministeren
ble det vist til Odelstingets vedtak om endringer i helseregisterloven
av 1. februar 2007. Komiteen ba om statsrådens kommentar til følgende:
«Stortingets kontroll- og konstitusjonskomité ser
svært alvorlig på det faktum at en rekke helseregistre fortsatt
ikke er kryptert, tre år etter at lovkravet om intern kryptering
av personidentifiserbare kjennetegn ble vedtatt. Det må ikke herske
tvil om at lovvedtak fattet av Stortinget skal følges av Regjeringen
og dens underliggende etater. Komiteen påpeker også at personvernet
må sikres for å ivareta tilliten til helsetjenesten og helseforskningen.
Det
bes om begrunnelse for at Regjeringen ved Helse- og omsorgsdepartementet
ikke har sørget for at de nevnte helseregistrene er kryptert, slik loven
krever. Det bes videre om en orientering om hvilke tiltak Helse-
og omsorgsdepartementet iverksatte for å sikre at lovens krav om kryptering
av helseregistre ble oppfylt, etter at loven trådte i kraft. Videre
ønsker komiteen en redegjørelse for hvilke tiltak som ble iverksatt
da Helse- og omsorgsdepartementet ble gjort kjent med Folkehelseinstituttets
lovstridige praksis.
Det bes videre om en redegjørelse
for hvorvidt Stortinget er orientert om at helseregistrene ikke var
kryptert slik loven krever, og eventuelt hvorfor Regjeringen ikke
har funnet det nødvendig å informere Stortinget om dette.»
I helse- og omsorgsministerens svarbrev ble
det redegjort for at det har vært arbeidet med å finne løsninger
for intern kryptering av direkte personidentifiserende kjennetegn
i sentrale helseregistre helt siden lovvedtaket ble fattet. Det
kom frem at departementet i samarbeid med de berørte registrene
hadde igangsatt en prosess for å avklare hva som ligger i kravet
om intern kryptering, og videre at denne prosessen hadde vist seg
å være vanskeligere og mer omfattende enn det som ble lagt til grunn
da lovendringen ble vedtatt. Av brevet fremgår det videre følgende:
«I løpet av 2007 ble arbeidet med å utforme forskriftstekst
for Norsk pasientregister gitt høy prioritet i departementet, og
herunder hvordan kravet til intern kryptering skulle utformes i
forskrift og merknad. Norsk pasientregisterforskriften ble vedtatt
7. desember 2007, men trådte først i kraft 15. april 2009, da krypteringsløsningen
var ferdig utviklet.»
Og videre at:
«I 2008 ble det fra Helse- og omsorgsdepartementets
side tatt uformell kontakt med Datatilsynet for å undersøke om tilsynet
kunne bidra i forståelsen av kravet om intern kryptering av direkte
personidentifiserende kjennetegn i helseregistrene. Departementet
ønsket å drøfte mulige løsninger i de ulike registrene ut fra deres formål,
samt behovet for å lage felles retningslinjer for registrene. Datatilsynet
ble orientert om at departementet ville komme tilbake til saken
når prosessen med helseregistrene var gjennomført.»
Helse- og omsorgsministeren skriver også:
«Kravet om intern kryptering var ikke en del av det
forslag som regjeringen fremmet i Ot.prp. nr. 49 (2006–2007). Regjeringens
forslag ville ha åpnet for etablering av NPR som et personidentifiserbart
register, men ville ikke medført større konsekvenser for de eksisterende
helseregistrene med hjemmel i helseregisterloven § 8 tredje ledd.
Stortingets vedtak om å lovfeste et krav om intern kryptering avvek
i så måte fra regjeringens forslag. Det ble likevel vedtatt at lovendringen
skulle tre i kraft straks. I ettertid ser jeg at man skulle ha vurdert
utsatt ikraftsetting av hele, eller deler av lovvedtaket, men da
måtte saken ha vært forelagt Stortinget på nytt.»
Svarbrevet ble behandlet i komiteens møte 23. mars
2010. Komiteen besluttet da å fortsette sine undersøkelser og igangsette
forberedelser til egen sak til Stortinget.
Som et ledd i behandlingen av saken besluttet komiteen
å holde en åpen kontrollhøring. Høringen ble avholdt 19. mai 2010.
Følgende ble invitert og møtte til høring:
Helse- og omsorgsminister
Anne-Grete Strøm-Erichsen
Tidligere helse- og omsorgsminister Bjarne Håkon
Hanssen
Forsvarsminister Grete Faremo
Tidligere forsvarsminister Anne-Grete Strøm-Erichsen
Forsker ved Norsk senter for menneskerettigheter,
Njål Høstmælingen
Konstituert direktør i Datatilsynet, Ove
Skåra.
De problemstillingene komiteen ønsket å få belyst
under høringen, var:
1. Hvilke tiltak ble
iverksatt fra Helse- og omsorgsdepartementets side for å sikre etterlevelse av
stortingsvedtaket om intern kryptering av helseregistrene?
2. Hvordan sørget helse- og omsorgsministeren for
å informere Stortinget om problemene med å gjennomføre intern kryptering
av helseregistrene og manglende iverksettelse av lovvedtaket?
3. Hvilke tiltak ble iverksatt fra forsvarsministerens
side for å oppfylle Stortingets krav om intern kryptering av Forsvarets
helseregister?
4. Hvordan sørget forsvarsministeren for
å informere Stortinget om problemene med å gjennomføre intern kryptering
av Forsvarets helseregister og manglende iverksettelse av lovvedtaket?
5. Hvordan vurderte regjeringen ivaretakelsen
av personvernet i helseregistrene i forholdet til menneskerettslovens
krav til vern av privatliv? Det vises særlig til dom avsagt av Europarådets menneskerettighetsdomstol
4. desember 2008 i saken Marper mot Storbritannia, samt den islandske
Høyesteretts dom av 27. november 2003 der et lovvedtak om helseregister
ble satt til side fordi det ble ansett å være i strid med den konstitusjonelle
retten til vern av privatliv.
6. Hvordan vurderer Datatilsynet mulighetene for
å ivareta kravet om intern kryptering, og de tiltak Helse- og omsorgsdepartementet
har iverksatt for å ivareta dette kravet?
Høringen ble delt i tre deler. Tema for den
første delen var Helse- og omsorgsdepartementets oppfølging av Stortingets
vedtak om kryptering av helseregistre. Den andre delen omhandlet
Forsvarsdepartementets oppfølging av Stortingets vedtak om kryptering
av Forsvarets helseregister. Tema for den siste delen var ivaretakelse
av personvernet i helseregistre.
Det ble tatt stenografisk referat fra høringen. Referatet
fra høringen følger som vedlegg til denne innstillingen.
Komiteen, medlemmene fra Arbeiderpartiet,
Bendiks H. Arnesen, Martin Kolberg og Marit Nybakk, fra Fremskrittspartiet,
lederen Anders Anundsen, Ulf Erik Knudsen og Øyvind Vaksdal, fra
Høyre, Per-Kristian Foss, fra Sosialistisk Venstreparti, Hallgeir H.
Langeland, fra Senterpartiet, Ola Borten Moe, fra Kristelig Folkeparti, Hans
Olav Syversen, og fra Venstre, Trine Skei Grande, viser
til Innst. O. nr. 40 (2006–2007) jf. Ot.prp. nr. 49 (2005–2006)
om etablering av Norsk pasientregister som et personentydig register.
Komiteens flertall, medlemmene
fra Fremskrittspartiet, Høyre, Kristelig Folkeparti og Venstre,
viser til at det i innstillingen sies følgende i merknader fra komiteens
medlemmer fra Arbeiderpartiet, Senterpartiet og Sosialistisk Venstreparti:
«I alle de personidentifiserbare helseregistrene som
er hjemlet i helseregisterloven § 8 tredje ledd, er, etter det disse
medlemmer kjenner til, personidentifikasjonen lagret kryptert i
registeret (med forbehold om Forsvarets helseregister). Krypteringen
er foretatt internt. Det vil si at personidentifikasjonen kan dekrypteres
ved hjelp av en nøkkel som finnes internt i registeret. Dekrypterte
opplysninger kan bare behandles av spesielt autoriserte personer
og bare når dette er strengt nødvendig.»
Og videre:
«Disse medlemmer mener at lovteksten bør gjenspeile
det faktum at våre personidentifiserbare registre er internt krypterte,
og foreslår derfor en alternativ lovformulering til proposisjonens
forslag. Disse medlemmer fremmer følgende forslag:
'I
lov18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger
(helseregisterloven) gjøres følgende endringer:
§ 8
tredje ledd fram til og med kolon skal lyde:
I følgende
registre kan navn, fødselsnummer og andre direkte personidentifiserende
kjennetegn behandles uten samtykke fra den registrerte i den utstrekning
det er nødvendig for å nå formålet med registeret, og direkte personidentifiserende kjennetegn
skal lagres kryptert i registeret:
§ 8 tredje ledd
nytt nr. 8 skal lyde:
8. Norsk pasientregister'»
Det følger av Besl. O. nr. 52 (2006–2007) av 1. februar
2007 at «direkte personidentifiserende kjennetegn skal lagres kryptert»
i Dødsårsaksregisteret, Kreftregisteret, Medisinsk fødselsregister,
Meldingssystem for smittsomme sykdommer, Det sentrale tuberkuloseregisteret, System
for vaksinasjonskontroll (SYSVAK), Forsvarets helseregister og Norsk
pasientregister. Flertallet viser til at bestemmelsen
om intern kryptering trådte i kraft 16. februar 2007. Representanter
fra Fremskrittspartiet, Høyre, Venstre og Kristelig Folkeparti gikk
i Innst. O. nr. 40 (2006–2007) inn for at krypteringen skulle foretas
av en ekstern instans.
Flertallet viser til at tidligere
statsråd Bjarne Håkon Hanssen under kontroll- og konstitusjonskomiteens
høring 19. mai 2010 uttalte at Helse- og omsorgsdepartementet høsten
2008 henvendte seg til de sentrale helseregistrene for å undersøke
om lovens krav om kryptering av personidentifiserende kjennetegn
var oppfylt. På høringen fremkom det videre informasjon om at det
høsten 2008 var uformell kontakt mellom embetsverket i Helse- og
omsorgsdepartementet og Datatilsynet om hvordan lovvedtaket om intern
kryptering av personidentifiserende kjennetegn var å forstå. Det
er ikke fremkommet opplysninger om at Helse- og omsorgsdepartementet
tok initiativ til å sikre oppfølging av Stortingets vedtak forut
for dette. Helse- og omsorgsminister Strøm-Erichsen uttalte under høringen
at:
«I november 2009 inviterte departementet Folkehelseinstituttet
og Helsedirektoratet ved avd. Norsk pasientregister til et møte
for å forsøke å komme frem til felles retningslinjer for hvordan
lovens krav om intern kryptering skulle forstås. Norsk pasientregister
og Folkehelseinstituttet presenterte i januar 2010 sine krypteringsløsninger.»
Flertallet mener at Helse- og
omsorgsdepartementet ikke iverksatte nødvendige tiltak for å følge
opp lovvedtaket om intern kryptering av sentrale helseregistre så
raskt som man kan forvente, tatt i betraktning at kravet trådte
i kraft 16. februar 2007. Flertallet konstaterer
at Helse- og omsorgsdepartementet først halvannet år etter at Stortingets
vedtak om intern kryptering av helseregistrene trådte i kraft, tok
initiativ til å undersøke om kravet var oppfylt i de sentrale helseregistrene.
Etter to og et halvt år, det vil si høsten 2009, tok Helse- og omsorgsdepartementet
det første initiativet til å avklare implikasjonene av Stortingets
vedtak om intern kryptering. Flertallet viser videre
til at statsråd Anne-Grete Strøm-Erichsen i brev til kontroll- og
konstitusjonskomiteen den 11. mars 2010 uttalte at saken «nå gis
høyeste prioritet» og at Helse- og omsorgsdepartementet presenterte
en definisjon av kravet om intern kryptering først 10. mai 2010.
Det vises til kontroll- og konstitusjonskomiteens høring
19. mai 2010, der statsråd Anne-Grete Strøm-Erichsen uttalte at:
«Det vil alltid være problematisk når Stortinget fatter
vedtak uten at dette er tilstrekkelig utredet i forkant. Kravet
om intern kryptering av alle helseregistrene var ikke en del av
det forslaget som regjeringen fremmet i Ot.prp. nr. 49. Stortingets
vedtak om å lovfeste et krav om intern kryptering for alle helseregistrene
avvek i så måte fra daværende regjeringsforslag og altså fra det
høringsnotatet som regjeringen Bondevik sendte ut i 2005.»
Videre uttalte statsråden at:
«Så må jeg si at når vi ser på sikkerhetstiltakene, er
kryptering bare én del – og i denne sammenheng faktisk en ganske
liten del – av de totale sikkerhetskravene på helseregistrene. Det
aller viktigste med helseregistrene er at sensitive opplysninger
er beskyttet for innsyn.»
Flertallet presiserer at lovvedtak
fattet etter Stortingets eget initiativ har samme status og krever
samme etterrettelige oppfølging som vedtak initiert av regjeringen
selv. Flertallet viser til at Stortinget vurderte
intern kryptering av personidentifiserende kjennetegn i helseregistrene som
et vesentlig personverntiltak, som ble nedfelt i lovs form.
Flertallet viser til følgende
uttalelse fra tidligere helse- og omsorgsminister Bjarne Håkon Hanssen
under høringen 19. mai 2010:
«Jeg har lyst til å understreke at det politisk viktige
for meg, altså det som ble prioritert, var å sørge for at vi jobbet
med krypteringen, som jeg allerede har sagt, det aller viktigste
var å få Norsk pasientregister på beina som et personidentifiserbart
register. Det greide vi altså i april 2009.»
Flertallet mener at departementets
arbeid med å finne løsninger for etablering av et personentydig
Norsk pasientregister ikke er en tilfredsstillende begrunnelse for
at Stortingets vedtak om intern kryptering av allerede etablerte helseregistre,
ikke ble fulgt opp. Det vises til helse- og omsorgsminister Anne-Grete
Strøm-Erichsens uttalelser under høringen 19. mai 2010 om at den
krypteringsløsningen som ble utarbeidet for Norsk pasientregister,
ikke var aktuell for de øvrige sentrale helseregistrene. Dette tilsier
etter flertallets vurdering at arbeidet med intern
kryptering av sentrale helseregistre burde vært fulgt opp umiddelbart,
i stedet for at dette ble utsatt til det forelå en registerløsning
for Norsk pasientregister som uansett ikke kunne benyttes for de
andre sentrale helseregistrene. Flertallet understreker
at formålet med Stortingets vedtak om intern kryptering var å beskytte personidentifiserbare
opplysninger i allerede etablerte helseregistre. Flertallet mener
det er åpenbart at Helse- og omsorgsdepartementets prioritering
av arbeidet med å etablere nye løsninger for Norsk pasientregister
ble gjort på bekostning av arbeidet med å ivareta personvernet i
eksisterende registre.
Flertallet viser til uttalelser
fra tidligere forsvarsminister Anne-Grete Strøm-Erichsen i høringen
19. mai 2010 om at Forsvarsdepartementet først høsten 2008 ble gjort
kjent med at vedtaket om intern kryptering omfattet Forsvarets helseregister. Flertallet presiserer
at regjeringen har ansvar for å etablere rutiner som sikrer at
Stortingets vedtak blir kjent og fulgt opp av relevante departement
og etater.
Flertallet viser til at Helse-
og omsorgsdepartementet 10. mai 2010 har gjort kjent en forståelse
av lovkravet om intern kryptering av personidentifiserbare opplysninger
som fraviker fra Datatilsynets vurdering av hva kravet innebærer. Flertallet viser
til at statsråd Anne-Grete Strøm-Erichsen i komiteens høring uttalte at
for:
«…flere av de eksisterende registre med umoderne
IT-arkitektur er det per i dag ikke håndterbart å skille ut de direkte
personidentifiserende kjennetegn og kryptere bare disse. Det innebærer at
hele registeret må krypteres.»
Flertallet vil understreke at
både ordlyden og formålet med lovvedtaket av 1. februar 2007 tyder
på at det er de personidentifiserbare opplysningene som skal krypteres. Flertallet viser
til at Stortinget aldri drøftet om kryptering av hele registeret
ville tilfredsstille kravet til et godt personvern, og at departementets
definisjon av kravet om intern kryptering er omstridt.
Flertallet ber om at regjeringen
på egnet måte forelegger spørsmålet om hvordan lovkravet om intern
kryptering i de sentrale helseregistrene skal forstås, for Stortinget.
Flertallet forutsetter at Helse-
og omsorgsdepartementet fører en konstruktiv dialog med Datatilsynet
med sikte på å oppnå en omforent forståelse av kravet om intern
kryptering. Flertallet understreker at Helse- og
omsorgsdepartementet må sikre at sentrale helseregistre oppfyller
Stortingets vedtak om intern kryptering. Flertallet vil
i den forbindelse vise til at Forsvarsdepartementet har iverksatt
tiltak som trolig vil sikre at også Datatilsynets forståelse av kravet
til intern kryptering kan ivaretas i løpet av kort tid. Flertallet er
tilfreds med dette, og ber helse- og omsorgsministeren vurdere om
tilsvarende løsninger kan implementeres også for de øvrige helseregistrene.
Flertallet viser til at tidligere
helse- og omsorgsminister Bjarne Håkon Hanssen ikke gjennomførte
nødvendige tiltak for å sikre oppfølging av Stortingets vedtak. Flertallet mener
det fremstår som klart at det arbeidsmessige fokus i departementet
under Hanssens ledelse var rettet mot å få etablert Norsk pasientregister
som et personidentifiserbart register, ikke å sikre at opplysningene
i andre helseregistre var kryptert i henhold til lov.
Flertallet vil presisere at det
ikke er opp til statsråden å vurdere hensiktsmessigheten av eller
rekkefølgen i oppfølging av Stortingets lovvedtak. Lovvedtak som
trer i kraft straks, skal ha umiddelbar virkning. Dersom lovvedtaket fremstår
som urealistisk eller ikke gjennomførbart, har regjeringen alltid
rett til å fremme ny sak for Stortinget om utsatt iverksettelse.
Flertallet mener det er kritikkverdig
at tidligere statsråd Bjarne Håkon Hanssen ikke fulgte opp Stortingets
lovvedtak.
Flertallet viser til at helse-
og omsorgsminister Anne-Grethe Strøm-Erichsen opplyser at hun nå mener
helseregistrene tilfredsstiller lovens krav. Datatilsynet har en
annen forståelse av loven som samsvarer med departementets tidligere
tolkning. Flertallet vil understreke betydningen av
at departementets lovtolkning kommer nesten tre år etter at loven
trådte i kraft, mens det bare tok en drøy måned å omdefinere den
opprinnelige lovtolkning. Departementets lovtolkning er derfor omstridt.
Flertallet fremmer følgende forslag:
«Stortinget ber regjeringen fremlegge spørsmålet
om valg av krypteringsløsning for de sentrale helseregistrene for
Stortinget i egnet form.»
Flertallet viser til
at helse- og omsorgskomiteen under behandlingen av Prop. 23 L (2009–2010)
ble gjort kjent med at personidentifiserende kjennetegn ikke var
kryptert i alle de sentrale helseregistrene. Det ble først bekreftet av
helse- og omsorgsministeren i svar av 3. mars 2010 på spørsmål fra
representanter for Høyre, Kristelig Folkeparti og Venstre i brev
av 15. februar 2010. Den samme informasjon fremgår av statsrådens
svarbrev til kontroll- og konstitusjonskomiteen av 11. mars 2010.
Flertallet konstaterer at Innst.
O. nr. 40 (2006–2007) og Besl. O. nr. 52 (2006–2007) var basert på
en feilaktig forutsetning om at personidentifiserende kjennetegn
var kryptert i de sentrale helseregistrene. Det vises til uttalelse
fra helse- og omsorgsminister Anne-Grete Strøm-Erichsen under høringen
i kontroll- og konstitusjonskomiteen 19. mai 2010, der hun uttaler
følgende:
«Da vi gikk inn i dette, fant vi at det foreligger en
rekke sikkerhetstiltak i registrene, i tråd med kravene i helseregisterloven,
men kryptert i dagens forståelse av kravet, var de ikke.»
Flertallet finner det sterkt
kritikkverdig at ansvarlige statsråder ikke på noe tidspunkt tok
initiativ til å informere Stortinget om at personidentifiserende
kjennetegn ikke var kryptert, slik Stortinget hadde forutsatt. Det
vises til at informasjonsplikten innebærer at statsråden skal sørge
for at Stortinget har korrekt og relevant informasjon som grunnlag
for sine beslutninger. Flertallet forutsetter at
statsrådene aktivt sørger for å informere Stortinget om forhold
av betydning for dets vedtak.
Flertallet finner det likeledes
sterkt kritikkverdig at ansvarlige statsråder heller ikke tok initiativ
til å informere Stortinget om at krav om intern kryptering av personidentifiserende
kjennetegn i de sentrale helseregistrene ikke var oppfylt. Stortinget
ble først kjent med dette mer enn tre år etter at vedtaket trådte
i kraft, og da fra andre enn den ansvarlige statsråd.
Regjeringen fremmet den 16. oktober 2009 Prop.
23 L (2009–2010) om opprettelse av et nytt hjerte- og karregister.
I proposisjonen omtales kryptering som et sentralt personverntiltak,
og ulike krypteringsløsninger drøftes. Flertallet vil
påpeke at det i denne sammenheng hadde vært naturlig å omtale det
faktum at allerede vedtatte krav til kryptering av de sentrale helseregistrene
ikke var oppfylt. Disse opplysningene var relevante for behandlingen
av proposisjonen, der vurderinger av registerform og personverntiltak
var sentralt. Det faktum at helse- og omsorgsministeren heller ikke
i denne saken informerte Stortinget om at lovvedtaket om intern
kryptering ikke var fulgt opp, kan skape inntrykk av at informasjonen
ble holdt tilbake.
I den grad det er reelle utfordringer med å
iverksette lovvedtak, forutsetter flertallet at regjeringen
tar dette opp med Stortinget på egnet måte. Det vises i den sammenheng
til følgende uttalelse fra tidligere statsråd Bjarne Håkon Hanssen
under høringen 19. mai 2010:
«Når man ser hele dette forløpet i dag, er jeg ganske
klar på at man burde vurdert å gå til Stortinget med en egen proposisjon
om utsatt iverksetting i forhold til lovens krav om kryptering av alle
de sentrale helseregistrene.»
Helse- og omsorgsminister Strøm-Erichsen sluttet
seg til denne uttalelsen i samme høring. Flertallet stiller
seg uforstående til at denne vurderingen ikke ble foretatt av noen
av de ansvarlige statsråder i løpet av de tre årene som har gått
siden Stortingets vedtak trådte i kraft.
Flertallet mener at statsrådene
Sylvia Brustad, Bjarne Håkon Hanssen og Anne-Grete Strøm-Erichsens
manglende informasjon til Stortinget i denne saken reflekterer en
mangelfull respekt for og forståelse av informasjonsplikten.
Flertallet viser til at helse-
og omsorgsminister Sylvia Brustad hadde ansvar for å iverksette
bestemmelsen om intern kryptering av de sentrale helseregistrene
fra det tidspunktet loven trådte i kraft 16. februar 2007 og frem
til hun gikk av som helse- og omsorgsminister 20. juni 2008. Flertallet påpeker
at statsråden ikke iverksatte nødvendige tiltak for å sikre etterlevelse
av Stortingets lovvedtak, og Stortinget ble heller ikke informert
om at lovens krav ikke ble fulgt opp.
Flertallet er kommet til at kritikken
er av en så alvorlig karakter at det ikke er tilstrekkelig med kommentarer
i merknads form. Flertallet ber derfor om Stortingets
tilslutning til følgende forslag:
«Stortinget uttaler at det er kritikkverdig og uheldig
at Stortingets lovvedtak av 1. februar 2007 om kryptering av helseregistre
(Besl. O. nr. 52 (2006–2007)) ikke er iverksatt av tidligere helse-
og omsorgsministre Sylvia Brustad og Bjarne Håkon Hanssen og nåværende
helse- og omsorgsminister Anne-Grete Strøm-Erichsen.»
Flertallet viser til
at Den europeiske menneskerettighetskonvensjonen er inkorporert
i norsk lov i lov om menneskerettigheter av 21. mai 1999, og at
bestemmelsene er gitt forrang i norsk rett. Dette krever at regjeringen
gjør en grundig vurdering av forholdet til menneskerettighetene i
forbindelse med lovarbeid og reguleringer.
Datatilsynets representanter og forsker Njål Høstmælingen
uttalte under kontroll- og konstitusjonskomiteens høring 19. mai
2010 at forholdet til Menneskerettighetskonvensjonens bestemmelse
om rett til privatliv ikke er tilstrekkelig utredet i sammenheng
med etablering av helseregistre og valg av registerform, eksempelvis
i Prop. 23 L (2009–2010). Videre har Datatilsynet i sin høringsuttalelse
av 22. mars 2010 til Helse- og omsorgdepartementets rapport «Gode
helseregistre, bedre helse» stilt spørsmål om reguleringen av private
helseopplysninger er i strid med Grunnlovens forbud mot å gi lover
tilbakevirkende kraft.
Flertallet ber regjeringen sikre
grundige vurderinger av forholdet til menneskerettighetsloven og
Grunnloven i sammenhenger der dette kan være relevant, også i reguleringen
av helseregistrene.
Komiteens medlemmer fra Arbeiderpartiet,
Sosialistisk Venstreparti og Senterpartiet viser til at
formålet med endringene i Norsk pasientregisters formål og registerform som
ble vedtatt våren 2007, innebærer at registeret vil bidra til mer
kunnskap om helsetjenester og behandling, som igjen vil kunne gi
bedre kvalitet i helsetjenesten. Det nye registeret har blant annet
som formål å bidra til medisinsk og helsefaglig forskning som kan
gi viten om helsetjenester, behandlingseffekter og diagnose, sykdommers
årsaker, utbredelse og forløp og forebyggende tiltak. Gjennom Innst.
O. nr. 40 (2006–2007) og den påfølgende behandling i Stortingets
avdelinger, ga regjeringspartiene sin tilslutning til endringene
i helseregisterloven. Det ble i innstillingen forutsatt at Norsk
pasientregister skulle ha tekniske og organisatoriske hindre av
høyeste kvalitet. Regjeringspartiene viste i sine merknader til
en rekke tekniske og organisatoriske hindre for å unngå misbruk,
heriblant:
Fødselsnummer skal
ikke kobles til pasientdata, verken i kommunikasjon eller i registeret
Fødselsnummer skal ikke lagres, verken
i krypteringsløsning eller i selve registeret
All kommunikasjon skal krypteres
Alle brukere og maskiner skal autentiseres
Brannmur skal etableres foran hver maskin
i systemet
All utlevering krever egen hjemmel
Kun et fåtall spesielt autoriserte medarbeidere kan
utløse dekryptering
Dekryptering og utlevering forutsetter
involvering av kvalitetssikrer i alle trinn
Alle prosesser skal logges
Disse medlemmer viser til at
det ikke var et krav at de andre registrene skal ha samme krypteringsløsning
som Norsk pasientregister.
Disse medlemmer viser til at
regjeringen fulgte opp disse forutsetningene fra Stortinget gjennom
St.prp. nr. 59 (2007–2008) Tilleggsbevilgninger og omprioriteringer
i statsbudsjettet 2008. I proposisjonen heter det blant annet:
«Personidentifiserbar NPR
[…]
I
forbindelse med behandling av Ot.prp. nr. 49 (2005–2006) om lov
om endringer i helseregisterloven, jf. Innst. O. nr. 40 (2006–2007),
forutsatte Stortinget at det ble 'innført tekniske og organisatoriske
hindre av høyeste kvalitet for å unngå misbruk'. Dette innebærer
konkrete krav til konfidensialitet og informasjonssikkerhet. Norsk
pasientregisterforskriften vil ikke tre i kraft før de nye kravene
til sikkerhet er ivaretatt. Det er behov for 2 mill. kroner til
investeringer og enkelte driftsoppgaver for å få ivaretatt de nye kravene
til sikkerhet.»
Disse medlemmer viser til at
regjeringen i proposisjonen foreslo å bevilge beløpet det var behov
for, og at dette fikk Stortingets tilslutning.
Disse medlemmer viser videre
til regjeringspartienes merknader i Innst. O. nr. 40 (2006–2007),
jf. Ot.prp. nr. 49 (2005–2006) der det advares mot å se isolert
på spørsmålet om kryptering i arbeidet med å sikre personvernet
i registeret:
«[Medlemmene fra Arbeiderpartiet, Sosialistisk Venstreparti
og Senterpartiet] mener at kryptert personidentifikasjon imidlertid
i seg selv ikke er tilstrekkelig for å ivareta personvernet på en
god måte. Det er derfor utviklet et omfattende lovverk, regler,
forskrifter og rutiner for å sikre personvernet i databaser som
inneholder både fødselsnummer og helseopplysninger. Kryptering bidrar
til å styrke personvernet i databaser med mange opplysninger om
hver enkelt pasient, men tilstrekkelig sikring av personvernet forutsetter
at kryptering ikke brukes alene, men i kombinasjon med andre personvernfremmende
tiltak.»
Disse medlemmer har merket seg
at regjeringspartiene gjennom helse- og omsorgskomiteens lovbehandling
ikke forutså at forslaget om kryptering av helseregistre ville føre
til endringer i registrene, da premisset for forslaget var at de
personidentifiserbare registrene allerede var internt kryptert.
Dette framgår både av komitéinnstillingen og av debatten i Odelstinget
vedrørende Innst. O. nr. 40 (2006–2007).
Disse medlemmer viser til komiteens
høring i saken, og vil framheve at alle de sentrale helseregistrene,
med unntak av Dødsårsaksregisteret, nå er internt kryptert. De oppfyller
altså helseregisterlovens krav, jamfør Helse- og omsorgsdepartementets
brev til helseregistrene av 10. mai i år. Dødsårsaksregistret ligger
i Statistisk sentralbyrå, og vil bli kryptert om kort tid.
Disse medlemmer vil vise til
at både tidligere statsråd Bjarne Håkon Hanssen og helse- og omsorgsminister
Anne-Grete Strøm-Erichsen under høringen redegjorde for at det helt
fra kravet til kryptering av de sentrale helseregistrene kom inn,
har vært jobbet med å oppfylle lovens krav. Da arbeidet startet,
var det ingen som kunne forutse rekkevidden av hvor komplisert denne prosessen
ville bli. Disse medlemmer viser også til at det
ikke var lett å se hele forløpet. Når departementet og registrene
trodde at saken var løst, viste det seg at målet var lenger unna
enn først antatt. Disse medlemmer har i tillegg notert
at Vaksinasjonsregisteret SYSVAK ble kryptert i 2008, og at NPR
startet innsamling av personidentifiserbare data i april 2009. Disse medlemmer viser
i denne sammenheng til høringen i saken hvor tidligere helseminister Bjarne
Håkon Hanssen blant annet uttalte:
«Når man ser hele dette forløpet i dag, er jeg ganske
klar på at man burde vurdert å gå til Stortinget med en egen proposisjon
om utsatt iverksetting i forhold til lovens krav om kryptering av alle
de sentrale helseregistrene».
Disse medlemmer viser også til
helse- og omsorgsminister Anne-Grethe Strøm-Erichsen som i samme
høring blant annet uttalte:
«Det er klart at når man ser det i ettertid, skulle man
vurdert å fremme en ny lovproposisjon hvor man ba om utsatt ikrafttredelse
av loven».
Disse medlemmer slutter seg til
disse betraktningene.
Disse medlemmer har videre merket
seg at det hele tiden har vært arbeidet parallelt med krypteringsløsninger
for de øvrige registrene, og at man har innført ulike krypteringstiltak
underveis i perioden.
Disse medlemmer viser til at
det i høringen framkom at det er gjennomført omfattende sikkerhetstiltak
av teknisk og organisatorisk art i alle våre registre. Disse
medlemmer vil derfor bemerke at kryptering aldri alene er tilstrekkelig
for å sikre informasjonssikkerheten og at kryptering ikke kan erstatte
de sikkerhetstiltakene som allerede ligger i registrene i dag. Kryptering
kan heller ikke erstatte god sikkerhetskultur blant de ansatte i
registrene.
Disse medlemmer er av den oppfatning
at det har tatt lenger tid enn forventet å oppfylle Stortingets
vedtak, men viser til det som kom frem i høringen om at kryptering
var en særlig ressurskrevende og komplisert prosess for registre
som ikke er fullelektroniske, som har en umoderne IT-arkitektur
og som i tillegg brukes i pasientrettet virksomhet. I den forbindelse
har disse medlemmer merket seg at statsråd Anne-Grete Strøm-Erichsen
under høringen fremhevet at hun framfor å finne den optimale løsningen
for alle registrene valgte å finne løsninger som oppfyller lovens
krav og som samtidig kunne komme på plass snarest mulig. Videre
har disse medlemmer merket seg hva statsråd Anne-Grete
Strøm-Erichsen sa om tidsperspektiv og økonomiske konsekvenser for
å oppnå optimale løsninger:
«Det er startet opp et stort prosjekt om nasjonale helseregistre
i Helse- og omsorgsdepartementet for å få alle helseregistrene over
på en mer moderne form, mer i tråd med Norsk pasientregister. Det
arbeidet er startet opp. Det forslaget har vært på høring. Da ligger
vel høringsresultatene i departementet.
Det er gjort
anslag på at det kan koste mellom 50 og 100 millioner kroner å modernisere
alle helseregistrene og få dem over på en ny form. Det er også et
tidkrevende arbeid, som man regner med at man vil bruke ti år på.
Men da vil jeg understreke at da er det ikke bare snakk om kryptering.
Da er det snakk om å få dem over på en helt annen arkitektur enn
i dag.»
Disse medlemmer er av den oppfatning
at personvern er svært viktig og skal ivaretas på en best mulig
måte. Det er imidlertid ingenting som tyder på at Helse- og omsorgsdepartementet
og de statsrådene som har sittet i denne perioden, ikke har gjort
det de kunne for nettopp å ivareta dette viktige hensynet som Stortinget
også ville forsikre seg om gjennom sitt vedtak. Likeledes vil disse
medlemmer vise til at Norge, på tross av sine mange helseregistre,
har et sterkt fokus på personvern. Disse medlemmer vil videre
vise til at statsråd Anne-Grete Strøm-Erichsen under høringen presiserte
at hun syntes «det er svært viktig å ha mye fokus på personvern».
Disse medlemmer understreker
at flere europeiske land, deriblant våre nordiske naboland, i mange
år har hatt ulike sentrale personidentifiserende, ikke-samtykkebaserte
helseregistre, med tilhørende kvalitetsregistre.
Disse medlemmer viser til at
spørsmålet om hvorvidt opprettelsen av et personidentifiserbart register
uten krav om samtykke er i samsvar med Den europeiske menneskerettighetskonvensjonen,
blir omhandlet i merknadene i Innst. 193 L (2009–2010), jf. Prop
L 23 (2009–2010). I brev av 11. februar 2010 til helse- og omsorgskomiteen
utdyper Helse- og omsorgsdepartementet forholdet mellom det foreslåtte
hjerte- og karregisteret og internasjonalt regelverk på feltet. Disse
medlemmer merker seg at Den europeiske menneskerettskonvensjon
(EMK) i artikkel 8 nr. 2 stiller krav om at inngrep overfor den
enkelte må være 1) i samsvar med loven, og 2) nødvendig i et demokratisk
samfunn for å ivareta for eksempel helsehensyn. Den nasjonale lovgivningen
på dette feltet er nedfelt i helseregisterloven og helsepersonelloven.
Disse medlemmer mener at dagens
eksisterende helseregistre er i samsvar med menneskerettighetskonvensjonens
lovbestemmelser.
Komiteens tilråding I og II fremmes av medlemmene
fra Fremskrittspartiet, Høyre, Kristelig Folkeparti og Venstre.
Komiteen har for øvrig
ingen merknader og rår Stortinget til å gjøre slikt
vedtak:
I
Stortinget uttaler at det er kritikkverdig og uheldig
at Stortingets lovvedtak av 1. februar 2007 om kryptering av helseregistre
(Besl. O. nr. 52 (2006–2007)) ikke er iverksatt av de tidligere helse-
og omsorgsministrene Sylvia Brustad og Bjarne Håkon Hanssen og nåværende
helse- og omsorgsminister Anne-Grete Strøm-Erichsen.
II
Stortinget ber regjeringen fremlegge spørsmålet om
valg av krypteringsløsning for de sentrale helseregistrene for Stortinget
i egnet form.
III
Innstilling 338 S fra kontroll- og konstitusjonskomiteen
om oppfølging av Stortingets vedtak om kryptering av helseregistre
– vedlegges protokollen.
I forbindelse med behandlingen av Ot.prp. nr
49 (2005–2006) fattet odelstinget følgende vedtak 1.februar 2007,
jf. Besl. O. nr. 52 (2006–2007):
vedtak til lov om endringer i lov 18. mai 2001
nr. 24 om helseregistre og behandling av helseopplysninger (helseregisterloven)
I
I lov 18. mai 2001 nr. 24 om helseregistre og
behandling av helseopplysninger (helseregisterloven) gjøres følgende
endringer:
§ 8 tredje ledd fram til og med kolon skal lyde:
I følgende registre kan navn, fødselsnummer
og andre direkte personidentifiserende kjennetegn behandles uten
samtykke fra den registrerte i den utstrekning det er nødvendig
for å nå formålet med registeret, og direkte personidentifiserende kjennetegn
skal lagres kryptert i registeret:
§ 8 tredje ledd nytt nr. 8 skal lyde:
II
Loven trer i kraft straks.
Som følge av dette vedtaket er ordlyden i helseregisterloven
§ 8 slik:
§ 8 Sentrale helseregistre
Det kan ikke etableres
andre sentrale helseregistre med helseopplysninger enn det som følger
av denne eller annen lov.
Kongen i Statsråd kan i
forskrift gi nærmere bestemmelser om etablering av sentrale helseregistre
og behandling av helseopplysninger i sentrale helseregistre for
ivaretakelse av oppgaver etter apotekloven, kommunehelsetjenesteloven,
sosialtjenesteloven, tannhelsetjenesteloven, smittevernloven og
spesialisthelsetjenesteloven, herunder overordnet styring og planlegging
av tjenestene, kvalitetsutvikling, forskning og statistikk. Navn,
fødselsnummer eller andre direkte personidentifiserende kjennetegn
kan bare behandles etter samtykke fra den registrerte. Samtykke
fra den registrerte er ikke nødvendig, dersom det i forskriften
bestemmes at helseopplysningene bare kan behandles i psudonymisert eller
avidentifisert form. Forskriften skal eventuelt fastsette nærmere
regler om hvem som skal foreta pseudonymiseringen og prinsipper
for hvordan det skal gjøres.
I følgende registre kan
navn, fødselsnummer og andre direkte personidentifiserende kjennetegn behandles
uten samtykke fra den registrerte i den utstrekning det er nødvendig
for å nå formålet med registeret, og direkte personidentifiserende
kjennetegn skal lagres kryptert i registrene:
1. Dødsårsaksregisteret
2. Kreftregisteret
3. Medisinsk fødselsregister
4. Meldingssystem for smittsomme sykdommer
5. Det sentrale tuberkuloseregisteret
6. System for vaksinasjonskontroll (SYSVAK)
7. Forsvarets helseregister
8. Norsk pasientregister
9. Nasjonal database for elektroniske resepter.
Kravet til at direkte personidentifiserende
kjennetegn skal lagres kryptert i registrene gjelder ikke nasjonal
database for elektroniske resepter.
Kongen i Statsråd kan i
forskrift gi nærmere bestemmelser om behandlingen av helseopplysningene
i helseregistrene.
Forskriftene etter annet
og fjerde ledd skal angi formålet med behandlingen av helseopplysningene
og hvilke opplysninger som skal behandles. Forskriften skal videre
angi hvem som er databehandlingsansvarlig for opplysningene.
Databehandlingsansvaret
kan delegeres. Forskriftene bør også gi bestemmelser om den databehandlingsansvarliges
plikt til å gjøre data tilgjengelig for at formålene kan nås.
Endringen i helseregisterloven § 8 var ikke fremmet
av Regjeringen Stoltenberg i Ot.prp. nr. 49 (2005–2006), men ble
fremmet av mindretallet i Helse- og omsorgskomiteen bestående av representanter
for regjeringspartiene Arbeiderpartiet, Senterpartiet og Sosialistisk
Venstreparti. Vedtaket i odelstinget 1. februar 2007 ble vedtatt
med støtte av flertallet bestående av representanter for regjeringspartiene.
Mindretallet, bestående at Høyre, Kristelig Folkeparti, Venstre
og Fremskrittspartiet gikk inn for et strengere krav om kryptering,
der krypteringen skulle foretas av en ekstern instans.
I Rapport for arbeidsgruppe Hjerte- og karregisteret
fra mai 2008 heter det på s. 40–41:
«Samtidig med at NPR ble personentydig register i
februar 2007, ble Helseregisterloven endret slik at alle de sentrale
helseregistrene som er nevnt i § 8, skulle lagre direkte personidentifiserende
kjennetegn kryptert i registrene. HOD er orientert om at Dødsårsaksregisteret,
Kreftregisteret, Medisinsk fødselsregister, Meldingssystemet for
infeksjonssykdommer (MSIS), Det sentrale tuberkulose registeret
og System for vaksinasjonskontroll (SYSVAK) ikke oppfyller dette
kravet per i dag (se brev 07/1409 fra Folkehelseinstituttet)»
Folkehelseinstituttets direktør Geir Stene-Larsen uttaler
til Aftenposten 21. februar d.å. at bare systemet for vaksinekontroll
er kryptert, mens de øvrige registrene fortsatt ikke er kryptert.
Det vises videre til Ot.prp. nr. 23 (2009–2010), som
er under behandling i Helse- og omsorgskomiteen. I denne saken uttaler
Regjeringen i pkt 3.5.4 at «Alle registre som
er etablert med hjemmel i helseregisterloven § 8 tredje ledd skal som
hovedregel være internt krypterte.» I proposisjonens pkt.
3.6.3.3 heter det at: «Intern kryptering er,
slik departementet ser det, et viktig virkemiddel for å ivareta
personvernet. Og videre «Departementet
mener derfor at intern kryptering vil være et hensiktsmessig virkemiddel
for å ivareta personvernhensyn ved etablering av et nasjonalt hjerte-
og karregister, og ser ikke at det foreligger grunnlag for å gjøre
unntak fra kravet om slik kryptering.»
Stortingets Kontroll- og konstitusjonskomité
ser svært alvorlig på det faktum at en rekke helseregistre fortsatt
ikke er kryptert, tre år etter at lovkravet om intern kryptering
av personidentifiserbare kjennetegn ble vedtatt. Det må ikke herske
tvil om at lovvedtak fattet av Stortinget skal følges av Regjeringen
og dens underliggende etater. Komiteen påpeker også at personvernet
må sikres for å ivareta tilliten til helsetjenesten og helseforskningen.
Det bes om begrunnelse for at Regjeringen ved Helse-
og omsorgsdepartementet ikke har sørget for at de nevnte helseregistrene
er kryptert, slik loven krever. Det bes videre om en orientering om
hvilke tiltak Helse- og omsorgsdepartementet iverksatte for å sikre
at lovens krav om kryptering av helseregistre ble oppfylt, etter
at loven trådte i kraft. Videre ønsker komiteen en redegjørelse
for hvilke tiltak som ble iverksatt da Helse- og omsorgsdepartementet
ble gjort kjent med Folkehelseinstituttets lovstridige praksis.
Det bes videre om en redegjørelse for hvorvidt Stortinget
er orientert om at helseregistrene ikke var kryptert slik loven
krever, og eventuelt hvorfor Regjeringen ikke har funnet det nødvendig
å informere Stortinget om dette.
Det vises til brev av 03.03.2010 fra Stortingets kontroll-
og konstitusjonskomite vedrørende kryptering av de sentrale helseregistrene.
Jeg vil innledningsvis understreke at det ikke hersker tvil om at
lovvedtak fattet av Stortinget skal følges opp av regjering og underliggende
etater. I det følgende besvares spørsmålene fra kontroll- og konstitusjonskomiteen.
I
Kontroll- og konstitusjonskomiteen
ber i sitt brev om begrunnelsen for at Regjeringen ved Helse- og
omsorgsdepartementet ikke har sørget for at helseregistrene er kryptert
slik loven krever, og for hvilke tiltak som er iverksatt.
Det har helt siden kravet om intern kryptering
av direkte personidentifiserende kjennetegn i sentrale helseregistre
ble vedtatt, vært arbeidet med løsninger for å oppfylle lovens krav,
og dette arbeidet gis nå aller høyeste prioritet. Helse- og omsorgsdepartementet
har sammen med de sentrale helseregistrene igangsatt en omfattende prosess
for å avklare hva som ligger i kravet om intern kryptering. Denne
prosessen, som har pågått i hele perioden 2007–2010, har vist seg
å være vanskeligere og mer tidkrevende enn det som ble lagt til
grunn da lovendringen ble vedtatt.
I forbindelse med ikrafttredelse av endringene
i helseregisterloven rettet Folkehelseinstituttet i mai 2007 en
henvendelse til departementet der instituttet skriver følgende:
«Det kan reises en viss tvil om instituttet i alle henseender
tilfredsstiller de krav som nå ligger i helseregisterlovens § 8
tredje ledd. Dette notatet presenterer derfor et forslag til løsning
for Helse- og omsorgsdepartementet, som instituttet mener vil oppfylle
lovens krav.»
Samtidig ble det redegjort for instituttets
sikkerhetstiltak, herunder bl.a. styrket tilgangskontroll (dvs.
at ingen personer eller systemer skal ha tilgang til flere opplysninger
enn det de har behov for), etablering av sikker sone for sensitive data
(sone hvor bare ansatte med tjenestelig behov har tilgang), kryptering
av elektroniske meldinger, og at disse oppbevares kryptert etter innlasting
av meldingen i registrene.
Videre redegjorde instituttet for sine planer
for ytterligere sikkerhetsløsninger, som for eksempel å splitte
personopplysninger og helseopplysninger i ulike databaser. Instituttet
betegner denne løsningen som «… en god teknisk
løsning som oppfyller lovens intensjon, er håndterbar og som ikke
minst ivaretar kravet om tilgjengeligheten til dataene.» Videre
beskrives en sikkerhetsløsning som innebærer at skannede dokumenter
splittes ved at dokumentene «klippes» i to, slik at personidentifikasjon
lagres i et bilde, mens helseopplysningene lagres i et annet.
Departementet stilte seg positiv til de løsninger som
Folkehelseinstituttet presenterte, men påpekte følgende:
«Når det gjelder kryptering som en konkret måte å
sikre opplysninger på, vil departementet bemerke at det er et problem
at kryptering ikke er definert i helseregisterloven. Selv om kryptering i
seg selv ikke er definert i loven, gis det i Innst. O. nr. 40 (2006–2007)
om endringene i helseregisterloven vedrørende Norsk pasientregister
på side 7 annen spalte noen retningslinjer for hva som må foreligge
for at opplysningene skal anses kryptert.»
I løpet av 2007 ble arbeidet med å utforme forskriftstekst
for Norsk pasientregister gitt høy prioritet i departementet, og
herunder hvordan kravet til intern kryptering skulle utformes i
forskrift og merknader. Norsk pasientregisterforskriften ble vedtatt
7. desember 2007, men trådte først i kraft 15. april 2009, da krypteringsløsningen
var ferdig utviklet. Det var i Innst. O. nr. 40 (2006–2007) forutsatt
at Norsk pasientregister (NPR) skulle ha tekniske og organisatoriske
hindre av høyeste kvalitet. I samme periode og utover våren 2008
foregikk det samtidig i Nasjonalt folkehelseinstitutt et utviklingsarbeid
for å gjøre SYSVAK-registeret helelektronisk med muligheter for
intern kryptering.
I 2008 ble det fra Helse- og omsorgsdepartementets
side tatt uformell kontakt med Datatilsynet for å undersøke om tilsynet
kunne bidra i forståelsen av kravet om intern kryptering av direkte
personidentifiserende kjennetegn i helseregistrene. Departementet
ønsket å drøfte mulige løsninger i de ulike registrene ut fra deres formål,
samt behovet for å lage felles retningslinjer for registrene. Datatilsynet
ble orientert om at departementet ville komme tilbake til saken
når prosessen med helseregistrene var gjennomført.
Helse- og omsorgsdepartementet tok deretter kontakt
med alle de sentrale helseregistrene og ba om en redegjørelse for
hvordan registrene ivaretok helseregisterlovens krav om intern kryptering.
Registrene ble videre bedt om å bidra med innspill til å avklare
hva som ligger i begrepet intern kryptering, og synspunkter på hva som
med et minimum må være gjort med de personidentifiserbare opplysningene
for at lovens krav kan anses oppfylt. Departementet ba videre om
at registrene synliggjorde utfordringene knyttet til intern kryptering:
«Departementet ser at de ulike registrene har forskjellige
utfordringer knyttet til intern kryptering, særlig med tanke på
hvilken funksjon de direkte personidentifiserende kjennetegnene
har i den daglige driften. Det er derfor viktig at registrene selv
synliggjør disse utfordringene og foretar en vurdering av om den
praksis man har i dag kan endres.»
Folkehelseinstituttet redegjorde i sin tilbakemelding
i desember 2008 for den valgte krypteringsløsningen for det nye
elektroniske SYSVAK-registeret, samt at instituttet arbeidet videre
med innføring av sladdete personnumre i skjermbildet i Medisinsk
fødselsregister, splitting av helseopplysninger i ulike databaser
og kryptering av databaser og disker for de øvrige papirbaserte
registrene. Folkehelseinstituttet konkluderte med følgende:
«FHI mener at vi oppfyller lovens krav ved å ta i
bruk de ulike mekanismene vi har beskrevet for intern kryptering
der disse kan brukes og bidrar til bedre personvern. Vi kombinerer
dette med nøye regulert bruk av ukrypterte opplysninger der dette
er nødvendig for å oppfylle registrenes formål.»
I løpet av våren 2009, over to år etter at lovendringen
trådte i kraft, var som nevnt krypteringsløsningen for Norsk pasientregister
ferdig utviklet, og forskriften for NPR kunne tre i kraft. Tilbakemeldingene
fra de andre registrene viste at den krypteringsløsningen som ble
valgt for NPR, ikke var praktisk gjennomførbar for de øvrige registrene
hvor innsendingen av opplysninger er papirbasert. Det er heller
ikke et krav i Innst. O. nr. 40 (2006–2007) at de andre registrene
skal ha samme krypteringsløsning som NPR. Flere av de aktuelle helseregistrene
har formål som forutsetter tilgang til personidentifikasjon for
autoriserte personer. Dette gjelder ikke minst Meldingssystemet
for smittsomme sykdommer (MSIS), som brukes aktivt i beredskapsarbeid
for smitteoppsporing og smitteetterforskning, og Det sentrale tuberkuloseregisteret, som
brukes for oppfølging av tuberkulosebehandling. Det betyr at de
tekniske løsningene må sikre funksjonell tilgang til ukrypterte
opplysninger for spesielt autoriserte personer som har en oppgave
som gjør det strengt nødvendig. Dette kompliserer valget av tekniske
løsninger, og gjør blant annet at den tekniske løsningen utviklet
for Norsk pasientregister ikke kan benyttes.
Departementet innkalte til et møte i januar
2010 der NPR og FHI hadde en omfattende presentasjon av sine krypteringsløsninger.
Departementet har nå, på bakgrunn av dialogen med helseregistrene,
utarbeidet et utkast til tolkning av hvordan kravet om intern kryptering
er å forstå, og har tatt kontakt med Datatilsynet for å drøfte dette
i et møte 12. mars.
Status per i dag er at Norsk pasientregister
og Kreftregisteret er internt krypterte, og at SYSVAK-registeret
også må anses å være internt kryptert, slik jeg har forstått det.
De øvrige helseregistrene som Folkehelseinstituttet er databehandlingsansvarlig
for, er ikke helt i mål, men benytter ulike sikkerhets- og krypteringsløsninger.
Dette innebærer som nevnt ovenfor kryptert elektronisk meldingskommunikasjon,
krypterte sikkerhetskopier av databasene og i tillegg sladding av personidentifikasjon
i skjermbilder for elektroniske meldinger i Medisinsk fødselsregister.
Et unntak er Dødsårsaksregisteret, der FHI som databehandlingsansvarlig
og Statistisk sentralbyrå som databehandler nå arbeider med konkrete forslag
til løsninger, jf. brev av 8. mars 2010 til Datatilsynet. Det er
parallelt gitt prioritet til arbeidet med å få på plass gode elektroniske
løsninger for registrene, da dette i stor grad vil kunne bidra til
bedre sikkerhet i registrene.
II
Kontroll- og konstitusjonskomiteen
viser i sitt brev til at det i Rapport for arbeidsgruppe Hjerte-karregisteret
fra mai 2008 framgår at Folkehelseinstituttets registre ikke oppfylte kravet
om intern kryptering. Komiteen ber om en redegjørelse for hvilke
tiltak som ble iverksatt da Helse- og omsorgsdepartementet ble gjort
kjent med dette.
Jeg vil vise til redegjørelsen foran, der det
framgår at departementet tok kontakt med Datatilsynet og deretter
iverksatte et arbeid med sikte på å klargjøre hva som ligger i lovens
krav. Som nevnt er arbeidet med å få på plass mer fullstendige krypteringsløsninger
også i MSIS, Tuberkuloseregisteret, Medisinsk fødselsregister og
Dødsårsaksregisteret nå gitt høyeste prioritet. Kreftregisteret
har siden lovendringen trådte i kraft arbeidet med å tilrettelegge
IT-systemene, og de har nå utviklet en krypteringsløsning som fortsatt
er under testing. Folkehelseinstituttet har startet arbeidet med
å vurdere om denne løsningen også kan være aktuell for Dødsårsaksregisteret,
Medisinsk fødselsregister (MFR), Meldingssystem for smittsomme sykdommer (MSIS)
og Tuberkuloseregisteret. Instituttet vil i denne forbindelse innhente
en ekstern vurdering med frist 16. april. I tillegg vil det umiddelbart bli
iverksatt ytterligere tiltak i MFR. MFRs produksjonsdatabase håndterer
elektroniske meldinger og papirmeldinger som er lagret som billedfiler.
Kryptering av produksjonsdata og billedfiler for avsluttede årganger
(1967–2007) vil innføres nå. Å kryptere MFRs hoveddatabase er en
kritisk prosedyre som krever omfattende utvikling og testing, ettersom
feil her kan føre til at alle data tilbake til 1967 kan gå tapt.
Det er derfor viktig å se hen til de erfaringer Kreftregisteret
nå gjør.
III
Kontroll- og konstitusjonskomiteen
ønsker en redegjørelse for hvorvidt Stortinget er orientert om at
helseregistrene ikke var kryptert slik loven krever, og eventuelt
hvorfor Regjeringen ikke har funnet det nødvendig å informere Stortinget om
dette.
Kravet om intern kryptering var ikke en del
av det forslag som regjeringen fremmet i Ot.prp. nr. 49 (2005–2006).
Regjeringens forslag ville ha åpnet for etablering av NPR som et
personidentifiserbart register, men ville ikke medført større konsekvenser
for de eksisterende helseregistrene med hjemmel i helseregisterloven
§ 8 tredje ledd.
Stortingets vedtak om å lovfeste et krav om
intern kryptering avvek i så måte fra regjeringens forslag. Det
ble likevel vedtatt at lovendringen skulle tre i kraft straks.
I ettertid ser jeg at man skulle ha vurdert
utsatt ikraftsetting av hele, eller deler av lovvedtaket, men da
måtte saken ha vært forelagt Stortinget på nytt.
Dersom det viser seg at det ikke lar seg gjøre
å gjennomføre lovens krav om intern kryptering innen rimelig tid
og samtidig oppfylle registrenes formål, vil departementet ta opp spørsmålet
om en mulig dispensasjonsadgang frem til registrene er fullt ut
elektroniske. Det er et mål at alle de sentrale helseregistrene
skal være elektroniske og dermed muliggjøre full intern kryptering.
Dette vil kreve tid og ressurser. Det tok som nevnt over to år fra
Stortinget vedtok å opprette Norsk pasientregister som et personidentifiserbart
register til krypteringsløsningen var implementert og forskriften
kunne tre i kraft. Likeledes har Kreftregisteret arbeidet med sin
krypteringsløsning siden lovendringen trådte i kraft.
Avslutningsvis vil jeg understreke at departementet
og de sentrale helseregistrene har lagt inn betydelige ressurser
i arbeidet med å få alle registrene internt krypterte i tråd med
Stortingets vedtak, og at dette arbeidet fortsetter med høy prioritet.
Oslo, i kontroll- og konstitusjonskomiteen, den 8. juni 2010
Anders Anundsen |
Per-Kristian Foss |
leder |
ordfører |