Deres referanse Vår referanse (bes oppgitt ved svar) Dato VM 10/ /bso 28. mai 2010

Transkript

1 Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) Dato VM 10/ /bso 28. mai 2010 Datatilsynets svarbrev til Helse- og omsorgsdepartementets fortolkning av helseregisterlovens krav om kryptering av direkte personidentifiserende kjennetegn i sentrale helseregistre - "intern kryptering" 1. Innledning Datatilsynet viser til Helse- og omsorgsdepartementets fortolkning av helseregisterloven 8 tredje ledds krav om kryptering av direkte identifiserende kjennetegn i brev av 10. mai Datatilsynet orienterte per telefon den 12. mai 2010 og under høringen i Stortinget 19. mai 2010 at tilsynet ikke kan slutte seg til lovfortolkningen. Datatilsynet ønsker med dette brevet også å gi en skriftlig tilbakemelding på dette standpunktet. Kravet om at navn, fødselsnummer og andre personidentifiserende kjennetegn skal lagres kryptert i registrene som er hjemlet i helseregisterloven 8 tredje ledd ble inntatt i helseregisterloven i februar Datatilsynet presiserer at det har vært svært begrenset dialog med departementet i sakens anledning. Det har kun vært en telefonsamtale i 2008, og et møte i mars 2010 med påfølgende dialog i forbindelse med utarbeidelse av overordnede rammer for kravet. I møtet i mars 2010 gjennomgikk Datatilsynet og departementet overordnede rammer for intern kryptering i helseregistrene, og noen punkter ble løftet frem. Det viktige prinsippet om skillet mellom helseopplysninger og identitet var et av disse punktene. Det var enighet om å fremheve dette i rammene. I departementets utkast til brev av 26. mars 2010 går også dette kravet klart frem. Departementet skriver at kryptering dreier seg om følgende to hovedprinsipper: Person- og helseopplysninger holdes atskilt. Direkte personidentifiserende kjennetegn skal krypteres Departementets brev av 10. mai 2010 inneholder to vesentlige endringer fra utkastet: 1. Kravet om intern kryptering anses oppfylt dersom registeret som helhet er kryptert 2. Kravet om skille mellom direkte identifiserende opplysninger og helseopplysninger er fjernet. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt OSLO

2 2. Kort om departementets lovfortolkning Departementet skriver innledningsvis at innholdet i kravet ikke er nærmere definert verken i forarbeider eller i selve loven. Deretter trekkes det frem at kravet til intern kryptering må ses i sammenheng med helseregisterloven 16. Departementet tar utgangspunkt i lovteksten i helseregisterloven 8 tredje ledd, og en alminnelig forståelse av begrepet kryptering. Det fastslås at det innebærer å gjøre en tekst uleselig for andre. Ved siden av lovteksten i helseregisterloven 8 tredje ledd trekker departementet frem Innst. O. nr 40 ( ). Det uttales at det her fremgår at krypteringen skal skje internt, og at dette innebærer at det er virksomheten som drifter registeret som krypterer og dekrypterer. Videre uttales det at direkte identifiserende kjennetegn bare kan behandles ukryptert i registrene når det er strengt nødvendig for spesielt autoriserte medarbeidere for å kunne oppfylle registerets formål, jf forarbeidene til Norsk pasientregister (Innst. O. nr 40 ( ). Departementet uttaler deretter følgende: For flere av de eksisterende registrene med umoderne IT-arkitektur er det per i dag ikke mulig å skille ut de direkte identifiserende kjennetegnende og kryptere bare disse. Det innebærer at hele registeret må krypteres. Departementet fortolker seg med dette bort fra kravet om at direkte identifiserende kjennetegn skal skilles fra helseopplysninger. Departementet avslutter brevet med å fremheve at ved opprettelse av nye registre skal som hovedregel fødselsnummer krypteres og identitet og helseopplysninger holdes atskilt. Det uttales imidlertid at det er et langsiktig mål at identitet og helseopplysninger skal holdes atskilt og at identiteten skal krypteres separat, også i de registrene som per i dag har en umoderne IT-arkitektur. 3. Kort om Datatilsynets forståelse av kravet til intern kryptering Kryptering av identitet er et eksplisitt krav som kommer i tillegg til de alminnelige sikkerhetstiltakene som skal etableres etter helseregisterlovens 16. Intern kryptering av identitet skiller seg fra alminnelige sikkerhetstiltak som kryptering av meldinger og kryptering av sikkerhetskopier. For eksempel er all kommunikasjon av helseopplysninger i Norsk Helsenett kryptert. Dette er meldingskryptering som kan sammenlignes med lukkede sikre konvolutter, men hvor både helseopplysninger og identitet fremgår når den som kan åpner, eller dekrypterer, meldingen. Slik Datatilsynet forstår kryptering av identitet i helseregistre, skal registeret føres på en alternativ identitet - en kryptert identitet - istedenfor fødselsnummeret som det alminnelige. Sentralt for kryptering av identitet er at helseopplysningene i registeret håndteres uten at identiteten fremkommer, både for saksbehandleren og inn i selve datalageret. Et grunnleggende krav må derfor være at identitet skilles fra helseopplysningene, både i registeret og ved kommunikasjon med registeret. Registeret skal selvfølgelig benyttes i 2

3 samsvar med formålet, og det er anledning til å dekryptere identitet for spesielt autoriserte personer. Det foreligger derfor to typer kryptering i denne sammenhengen; 1. Alminnelig kryptering som legges utenpå opplysningene, som for eksempel kryptering i transport eller krypterte databaser. 2. Kryptering av identitet hvor selve identiteten i registeret er omformet til noe som ikke røper hvem opplysningen omhandler. Intern kryptering av identitet er ikke en skallsikring, men en endring av identiteten i registeret ved hjelp av krypteringsteknologi. Derfor er ikke meldingskryptering og kryptering av databaser tilstrekkelige tiltak når vi snakker om intern kryptering av identitet. 4. Nærmere om kravet til intern kryptering 4.1 Generelt Det rettslige utgangspunkt er helseregisterloven 8 tredje ledd. Der heter det at: I følgende registre kan navn, fødselsnummer og andre direkte personidentifiserende kjennetegn behandles uten samtykke fra den registrerte i den utstrekning det er nødvendig for å nå formålet med registeret, og direkte personidentifiserende kjennetegn skal lagres kryptert i registrene: Det er altså et krav om at direkte personidentifiserende kjennetegn må lagres kryptert i registrene. En alminnelig forståelse av ordlyden kryptering tilsier et krav om at direkte personidentifiserende kjennetegn skal lagres uleselig i registeret. Datatilsynet mener dette innebærer et krav om at direkte identifiserende kjennetegn og helseopplysninger dermed må lagres atskilt. Kravet om intern kryptering må ses i sammenheng med begrepet pseudonyme helseopplysninger etter helseregisterloven 2 nr 4. Pseudonyme helseopplysninger er i helseregisterloven 2 nr 4 definert som helseopplysninger der identitet er kryptert eller skjult på annet vis, men likevel individualisert slik at det lar seg gjøre å følge hver person gjennom helsesystemet uten at identiteten røpes. Kravet til kryptert lagring av identitet følger altså både av lovteksten i helseregisterloven 2 nr. 4 og helseregisterloven 8 tredje ledd. Hovedinnholdet i begrepet pseudonyme helseopplysninger er forklart på følgende måte i NOU 1993: 22: Pseudonymiseringsprinsippet går ut på å bytte ut fødselsnummer med et pseudonym som oppfyller kravene til personentydighet, og som dermed kan brukes til å kople informasjon om samme person, men som ikke kan brukes til å spore opp identiteten til personene som informasjonen gjelder. Kravet til intern kryptering må fastslås ved å trekke inn forhistorien og forarbeider til helseregisterloven. Dette omfatter både forarbeider til vedtakelse av selve loven og forarbeider til Norsk pasientregister (heretter NPR-registeret) og Nasjonalt register over 3

4 hjerte og karregister (heretter nasjonalt hjerte- og karregister). Videre gir forarbeidene til helseforskningsloven tolkningsbidrag til hva som ligger i begrepet kryptering. Sosial- og helsedirektoratets utredning av 2004 og lovkommentaren til helseregisterloven i Karnov norsk kommentert lovsamling er også relevante for å fastslå kravet til intern kryptering. Det påpekes at krav om intern kryptering er krav om registerform, og åpenbart ikke et alminnelig sikkerhetskrav Kort om fellestrekket mellom pseudonyme helseregistre og internt krypterte helseregistre Et fellestrekk mellom pseudonyme helseregistre og de personidentifiserbare registrene som har hjemmel i 8 tredje ledd er at identitet må lagres i kryptert form. Dette følger av lovendringen i helseregisterloven i En vesentlig forskjell ligger i hvor krypteringen foretas. I pseudonyme helseregistre foretas krypteringen eksternt, i motsetning til at krypteringen skjer internt i registeret ved intern kryptering. 4.2 Gjennomgang av forhistorien og forarbeider til helseregisterloven Generelt Departementet skriver at innholdet i intern krypteringskravet ikke er nærmere definert i lovens forarbeider. Datatilsynet slutter seg ikke til dette, og vil derfor i det følgende foreta en gjennomgang av forarbeidene til helseregisterloven NOU 1993: 22 Pseudonyme helseregistre Begrepet pseudonyme helseopplysninger introduseres og er grundig behandlet i NOU 1993: 22. Pseudonyme helseregistre. Konklusjonene i utredningen ble at det ikke bør opprettes et sentralt personidentifiserbart register. Flertallet i utvalget gikk inn for å gjøre et forsøk med et nytt regionalt registersystem. Forslaget ble som kjent ikke fulgt opp. Tanken om å bruke krypteringsteknologi til å utvikle registerformer som bedre ivaretar personvern enn personidentifiserende registre levde imidlertid videre NOU 1997: 26 Tilgang til helseregistre I NOU 1997: 26 tilrådde en arbeidsgruppe å organisere helseregistersystemet på en slik måte at data lettere skulle bli tilgjengelig for forskersamfunnet og for helseadministrasjonen. Flertallet i utvalget skisserer i vedlegg 1 et praktisk eksempel på opplegg for å organisere den foreslåtte modellen. Begrepene pseudonyme data og personentydige krypterte data blir definert på følgende måte: Begrepene pseudonyme data og personentydige krypterte data betyr i praksis at personidentifikasjon, som oftest det 11-sifrete fødselsnummeret, er endret i henhold til en 4

5 bestemt nøkkel. Nøkkelen oppbevares atskilt fra registeret for å sikre at uvedkommende ikke skal kunne identifisere enkeltpersoner. Et register som er basert på personentydige krypterte data er å regne som et identifiserbart personregister. Det er imidlertid sikrere enn om identifikasjon kan gjøres direkte. Dette har blant annet ført til at Datatilsynet har funnet å kunne godkjenne etableringen av en del registre hvor man var avhengig av å ha personentydig informasjon, men hvor lagring av 11-sifret fødselsnummer neppe ville blitt tillatt. I modellen er prinsippene om personentydige krypterte/avidentifiserte data bærende elementer, og det uttales følgende: Dette innebærer at Statistisk sentralbyrå 1) mottar persondata fra helseregistrene, 2) avidentifiserer eller krypterer fødselsnummer til et pseudonym, 3) foretar eventuelle koblinger og 4) overfører dataene til NSD. Bruk av kryptert fødselsnummer har vært gjennomført med stort utbytte for KIRUT-databasen. Prinsippet gir en stor grad av fleksibilitet med hensyn til kobling og tilrettelegging av analyseklare filer for brukerne, samtidig som hensynet til personvernet blir vel ivaretatt. Også tilgang til avidentifisert materiale gir for den som skal tilrettelegge dataene en større fleksibilitet enn hva tilfelle er med anonymiserte data. Begrepene pseudonyme data og personentydige krypterte data er nærmere behandlet i utredningens vedlegg 2: I den senere tid har det blitt stadig mer vanlig å operere med begrepene pseudonyme data og personentydige krypterte data. Begge begrepene betyr i praksis at personidentifikasjonen, som oftest det 11-sifrete fødselsnummeret, er endret i henhold til en bestemt nøkkel. Nøkkelen oppbevares atskilt fra registeret for å sikre at uvedkommende ikke skal kunne identifisere enkeltpersoner. Dersom man ønsker en ytterligere sikring kan nøkkelen oppbevares hos en annen institusjon enn den som fører registeret. I så tilfelle oppnår man den tilleggseffekten at registerfører ikke kan koble til data fra andre registre uten assistanse fra den institusjonen som oppbevarer nøkkelen. Et register som er basert på personentydige krypterte data er å regne som et identifiserbart personregister. Det er imidlertid sikrere enn om identifikasjonen kan gjøres direkte Ot.prp.nr.5 ( ) På grunnlag av utredningene i NOU 1993: 22 og NOU 1997: 26 la Sosial og helsedepartementet frem Ot.prp. nr 5. ( ) for etablering av helseregisterloven. Begrepene direkte identifiserbare helseopplysninger, pseudonyme data og personentydige krypterte data er omtalt av departementet i Odelstingsproposisjonen punkt 15: Begrepene pseudonyme data og personentydige krypterte data betyr i praksis at personidentifikasjon, som oftest det 11-siffrete fødselsnummeret, er endret etter en bestemt nøkkel. Nøkkelen oppbevares ofte atskilt fra opplysningene for å sikre at uvedkommende ikke skal kunne identifisere enkeltpersoner. Det å gjøre helseopplysningene pseudonyme eller å kryptere personidentifikasjonen, kan være nødvendig for å sikre opplysningenes konfidensialitet. Det vil være personopplysninger selv om en må benytte en nøkkel - for eksempel i form av en tallkode - for å knytte forbindelsen mellom opplysningene og den bestemte personen. Pseudonyme og krypterte opplysninger vil være helseopplysninger dersom noen kan gjøre opplysningene lesbare og dermed identifisere personene som 5

6 opplysningene vedrører. Det vil være personopplysninger selv om tilknytningen mellom personen og opplysningene bare er kjent av noen få personer. En viktig egenskap ved direkte identifiserbare helseopplysninger, pseudonyme og krypterte helseopplysninger, er at de kan kobles entydig på person. Direkte personidentifiserbare opplysninger, pseudonyme opplysninger og krypterte opplysninger betegnes derfor ofte som personentydige data Sosial- og helsedirektoratets rapport i mars 2004 om et nytt NPR-register Begrepet intern kryptering er beskrevet i Sosial- og helsedirektoratets rapport i mars 2004 om et nytt NPR. I begrepsavklaringen fremgår det: Kryptert personidentifiserbart register: I registeret er det mulig å skille helseopplysninger og personopplysninger og kryptere personopplysningene, slik at disse bare kan leses med en bestemt nøkkel. Det innebærer at registeransatte som behandler helseopplysninger løpende ikke vil ha tilgang til den enkeltes identitet. Videre beskrives det at krypteringen kan settes ut til en ekstern part - ekstern kryptering - og det gjøres videre sammenligninger til pseudonyme registre hvor hovedforskjellen er at de rettslige rammene for tilbakeføring til identitet er ulike Ot.prp.nr.49 ( ) På bakgrunn av Sosial- og helsedirektoratet utredning legger departementet i Ot.prp.nr.49 ( ) frem lovforslag om etablering av Norsk pasientregister. I Odelstingsproposisjonens punkt 3.3 omtaler departementet de ulike registerformene. Departementet omtaler personidentifiserbare helseregistre på følgende måte: Personidentifiserbare helseregistre inneholder direkte personidentifiserbare opplysninger. Det kan være navn, fødselsnummer eller andre kjennetegn som for eksempel, biometriske eller genetiske kjennetegn. Som oftest vil personidentifikasjonen ikke være tilgjengelig for de som har tilgang til registeret, men for eksempel være skjult ved kryptering. Datatilsynet har merket seg at departementet ovenfor uttaler at personidentifikasjon ofte ikke vil være tilgjengelige for de som har tilgang til registeret, men at den vil være skjult for eksempel ved kryptering. Slik Datatilsynet forstår uttalelsen kan det synes som om departementet her legger til grunn at personidentifiserbare registre på dette tidspunktet allerede ofte var internt krypterte. Dette til tross for at det foreløpig ikke var vedtatt noe slikt krav. I punkt 7.4 er kryptering av personidentifiserbare registre omtalt. Departementet uttaler seg først generelt om personidentifiserbare registre: Personidentifiserbare registre kan, i motsetning til pseudonyme og avidentifiserte registre, inneholde direkte personidentifiserbare kjennetegn som for eksempel fødselsnummer. At et register inneholder fødselsnummer innebærer imidlertid ikke at dette skal ligge tilgjengelig i registeret, det kan for eksempel etableres krypteringsløsninger som skjuler fødselsnummeret i registeret. Departementet uttaler altså at selv om personidentifiserbare registre kan inneholde direkte personidentifiserbare kjennetegn som fødselsnummer betyr ikke dette at fødselsnummeret 6

7 skal ligge tilgjengelig i registeret. Kryptering trekkes så frem som et eksempel på en løsning for å skjule fødselsnummeret i registeret. Departementet trekker deretter frem at ulike løsninger for kryptering vil bero på de teknologiske mulighetene som finnes. På samme måte som pseudonyme registre foreligger det altså ulike måter å kryptere identitet på: Ulike løsninger for kryptering vil bero på de teknologiske mulighetene som finnes. Departementet går inn for at det blir et krav fastsatt i forskrift at NPR skal være kryptert slik at fødselsnummeret ikke ligger tilgjengelig i registeret for andre enn særskilt autoriserte personer. Den teknologiske utviklingen skjer fort. Det anses derfor ikke hensiktsmessig å regelfeste nærmere hvordan kryptering skal skje, da dette kan binde registeret til de teknologiske løsningene vi kjenner i dag. Departementet trekker så frem et eksempel på en krypteringsløsning. Eksempelet får klart frem at kjernen i intern kryptering er å skille fødselsnummer fra pasientdata: Et eksempel på hvordan en krypteringsløsning kan bygges opp er for eksempel ved at fødselsnummer blir skilt fra pasientdata allerede når opplysningene meldes fra sykehusene. På samme måte som for dagens avidentifiserte NPR kan det sammen med pasientdataene rapporteres et løpenummer som er unikt innen hver enkelt institusjon (PID), i stedet for fødselsnummeret. Fødselsnumre kan så rapporteres i separat forsendelse sammen med alle løpenumrene og identifikasjon av institusjon. Det kan så etableres løsninger som innebærer at forsendelsen med fødselsnummer lastes inn i et separat krypteringssystem på egen server sikret med egen brannmur. Tilgang til disse forsendelsene kan begrenses til særskilt autoriserte ansatte i registeret. I et separat krypteringssystem krypteres fødselsnumrene. En viktig forutsetning for en slik løsning er at krypteringssystemet skal ende opp i ett, og bare ett kryptert fødselsnummer. Alder og kjønn blir avledet av fødselsnummer og sendt videre til NPR for validering av innholdet i pasientdataene, sammen med løpenummer (PID) og identifikasjon av institusjon. I NPR knyttes løpenumrene fra krypteringssystemet og sykehuset, og kryptert fødselsnummer legges til det enkelte opphold for unik identifikasjon av pasienten. Det lagres ikke informasjon i selve krypteringssystemet. Nøklene lagres i et eksternt system. I dette systemet vil ikke fødselsnummer på noe tidspunkt lagres sammen med helseopplysninger og fødselsnummer vil heller ikke lagres etter at kryptering er gjennomført. For å sikre systemet som en helhet kan det for eksempel iverksettes tiltak som kryptering av kommunikasjon mellom de forskjellige systemene, autentisering av alle brukere/maskiner og brannmur foran hver maskin (eller samling av maskiner) i systemet. Når opplysninger skal gjøres tilgjengelig for forskning, kvalitetssikring, innsynsbegjæringer fra de registrerte eller liknende vil det være aktuelt å dekryptere. Dette kan også gjøres gjennom separate forsendelser. Ved all forsendelse av data fra registeret vil opplysningene være kryptert. I punkt 7.6 omtaler departementet Sosial- og helsedirektoratets rapport fra Departementet uttaler følgende om ekstern og intern kryptering: 7

8 Sosial- og helsedirektoratet foreslo i sin rapport fra 2004 at de direkte personidentifiserbare kjennetegnene i NPR skulle krypteres, og at dette skulle gjøres av en annen instans enn registeret selv for å redusere mulighetene for misbruk (ekstern kryptering). Departementet la i høringsnotatet til grunn at det ikke medfører noen særlig personverngevinst om registeret krypteres av en ekstern instans framfor internt i registeret. Det vises også til departementets vurdering i punkt 7.8. Departementet mener at et personidentifiserbart NPR skal krypteres slik at de direkte personidentifiserbare opplysningene ikke ligger tilgjengelig, og viser til hvordan intern kryptering kan gjennomføres i punkt 7.4. Departementet mener et personidentifiserbart NPR skal krypteres slik at de direkte personidentifiserbare opplysningene ikke ligger tilgjengelig. Punkt 7.4 gir et eksempel på hvordan en krypteringsløsning kan legges opp etter dagens teknologi. Gjennom en kombinasjon av for eksempel kryptering, logging av elektroniske spor, krav til autorisert tilgang m.v. kan misbruk hindres på en like god måte som om krypteringen foretas av en annen instans. Når krypteringen skjer i selve registeret vil det imidlertid legges bedre til rette for god kvalitetssikring av registerdata enn om krypteringen skjer hos en annen instans Innst. O. nr. 40 ( ) Spørsmålet om ekstern eller intern kryptering var det store stridsspørsmålet under lovbehandlingen av NPR i Stortinget i Innst. O. nr. 40 ( ). Stortingsflertallet gikk som kjent inn for at NPR skal krypteres intern, og det ble klart uttalt at dette blant annet innebærer et krav om at fødselsnummer ikke skal kobles til pasientdata. Det vises til følgende uttalelse på side 7: Disse medlemmer mener at det er avgjørende at helsevesenet har tillit i befolkningen, og vil derfor understreke at man ikke kjenner til at opplysninger har kommet på avveie, verken fra noen av de norske personidentifiserbare helseregistrene eller fra noen av de nordiske. Det forutsettes innført både tekniske og organisatoriske hindre av høyeste kvalitet for å unngå misbruk, heriblant: Fødselsnummer skal ikke kobles til pasientdata, verken i kommunikasjon eller i registeret Fødselsnummer skal ikke lagres, verken i krypteringsløsning eller i selve registeret All kommunikasjon skal krypteres Alle brukere og maskiner skal autentiseres Brannmur skal etableres foran hver maskin i systemet All utlevering krever egen hjemmel Kun et fåtall spesielt autoriserte medarbeidere kan utløse dekryptering Dekryptering og utlevering forutsetter involvering av kvalitetssikrer i alle trinn Alle prosesser skal logges Disse medlemmer forstår at det kan oppstå utrygghet når opplysninger som er gitt i fortrolighet til helsepersonell, blir videreformidlet til et sentralt register. Begrepet "personidentifiserbart register" kan være misvisende. Det er derfor viktig med informasjon om den lange rekken sikkerhetstiltak som iverksettes for å beskytte slik informasjon. God informasjon er trolig vesentlig mer avgjørende for pasientenes trygghetsfølelse enn det mer tekniske spørsmålet om ekstern eller intern kryptering 8

9 Disse medlemmer mener det er problematisk at begrepene kryptering og krypterte registre brukes om hverandre med begrepet pseudonyme registre. I alle de personidentifiserbare helseregistrene som er hjemlet i helseregisterloven 8 tredje ledd, er, etter det disse medlemmer kjenner til, personidentifikasjonen lagret kryptert i registeret (med forbehold om Forsvarets helseregister). Krypteringen er foretatt internt. Det vil si at personidentifikasjonen kan dekrypteres ved hjelp av en nøkkel som finnes internt i registeret. Dekrypterte opplysninger kan bare behandles av spesielt autoriserte personer og bare når dette er strengt nødvendig Prop.23 L ( ) I Prop.23 L ( ) la departementet frem forslag om å etablere et nasjonalt register over hjerte- og karlidelser. Departementet foreslo at registeret skulle være hjemlet i helseregisterloven 8 tredje ledd. Departementet trekker frem at kryptering er et eksempel på et personvernfremmende tiltak, og at kryptering innebærer de registrertes identitet er skjult, og ikke direkte knyttet opp til opplysninger om helseforhold. Det vises til følgende uttalelse i punkt 3.5.4: Personvernfremmende tiltak, som for eksempel kryptering av direkte personidentifiserende opplysninger, er viktige virkemidler. Slik kryptering innebærer at personidentifiserende opplysninger krypteres, slik at de registrertes identitet er skjult, og ikke direkte knyttet til opplysninger om helseforhold. I punkt uttaler departementet at intern kryptering innebærer at fødselsnummer eller andre direkte identifiserende opplysninger er kryptert og ikke ligger åpent og tilgjengelig sammen med de øvrige opplysninger i registeret. Det vises til følgende uttalelse: Det store flertallet av høringsinstanser går inn for intern kryptering av registeret eller kommenterer ikke spørsmålet om kryptering direkte. Intern kryptering innebærer at fødselsnummer eller andre direkte personidentifiserende opplysninger er kryptert og ikke ligger åpent og tilgjengelig sammen med de øvrige opplysninger i registeret. Slik kryptering innebærer at registeret vil være personentydig slik at det er mulig å følge det enkelte pasientforløp uten at den som behandler dataene får kjennskap til pasientens identitet. Behandling av dekrypterte (direkte identifiserende) opplysninger i registeret vil bare skje i den utstrekning det er nødvendig, og vil utføres av personell som har et tjenestelig behov for dette. Dette er særlig aktuelt i forbindelse med registrering og kvalitetssikring av opplysninger. Et par høringsinstanser mener at registeret bør være eksternt kryptert. Ved ekstern kryptering foretas krypteringen av en virksomhet som er fysisk adskilt fra registeret, og krypteringsnøkkelen vil ligge hos denne. Dekryptering kan følgelig ikke foretas av registeret alene, men må utføres av, eller i samarbeid med, den adskilte virksomheten. Sett i forhold til intern kryptering vil dette innebære at oppgaver som for eksempel kvalitetssikring av registeropplysninger vanskeliggjøres og blir mer ressurskrevende. Videre utvides kretsen av aktører som involveres i driften av registeret. Spørsmålet om ekstern kryptering er tidligere vurdert av Stortinget i forbindelse med etableringen av Norsk pasientregister som et personidentifiserbart register, jf. Innst.O.nr.40 ( ). Intern kryptering er, slik departementet ser det, et viktig virkemiddel for å ivareta personvernet. Slik kryptering gir, i motsetning til ekstern kryptering, den fleksibilitet som er nødvendig for kvalitetssikring av opplysningene i registeret. Departementet mener derfor at intern kryptering vil være et hensiktsmessig virkemiddel for å ivareta personvernhensyn ved etablering av et nasjonalt 9

10 hjerte- og karregister, og ser ikke at det foreligger grunnlag for å gjøre unntak fra kravet om slik kryptering Innst. 193 L( ) I Innst. 193 L( ) behandles lovforslaget om etablering av nasjonalt register over hjerte- og karlidelser i Stortinget. I punkt 2.2 uttaler komiteens flertall seg om personvern og pasientsikkerhet. Komiteen fremhever her departementets egen vurdering av intern kryptering. Det påpekes at intern kryptering innebærer at identifiserende data som fødselsnummer- og personnummer oppbevares utilgjengelig og atskilt fra andre ikke-identifiserende variabler: Flertallet viser til at et lite mindretall høringsinstanser tar til orde for et pseudonymisert register, hvor navn og personnummer er erstattet med et pseudonym, og hvor tilbakekopling og personidentifisering forutsettes å ikke skje. Departementets og de fleste høringsinstansers syn forutsetter intern kryptering av registeret, som innebærer mulighet for personidentifisering, men hvor identifiserende data som fødsels- og personnummer oppbevares utilgjengelig og adskilt fra andre, ikke-identifiserende variabler. Flertallet merker seg at dekryptering, det vil si tilgang til personidentifiserende opplysninger fra registeret, kun skal kunne utføres av personell som har et tjenestebegrunnet behov for dette. 4.3 Forarbeider og veileder til helseforskningsloven Ot.prp.nr.74 ( ) Forarbeidene til helseforskningsloven får ikke direkte anvendelse for kravet til intern kryptering av sentrale helseregistre. Datatilsynet mener likevel at forarbeidene gir tolkningsbidrag til hvordan begrepet kryptering av identitet er å forstå. I Odelstingsproposisjonen til helseforskningsloven beskriver departementet forskjellen mellom avidentifiserte helseopplysninger etter helseregisterloven 2 nr 2 og personidentifiserbare opplysninger som er krypterte. Departementet uttaler at kryptering er et begrep som beskriver prosessen å erstatte identifikasjon med en annen variabel, og at denne prosessen kan benyttes både ovenfor avidentifiserte, pseudonyme og personidentifiserbare opplysninger. Det vises til følgende uttalelse på side : Dersom den enkelte mottaker sitter med både avidentifiserte opplysninger og nøkkelen for å tilbakeføre personidentifikasjon er opplysningene juridisk sett ikke avidentifiserte, men personidentifiserbare opplysninger som er kryptert. Kryptering er et begrep som beskriver prosessen å erstatte identifikasjon med en annen variabel, og denne prosessen kan benyttes både overfor avidentifiserte, pseudonyme og personidentifiserbare opplysninger. Videre uttaler departementet på samme side følgende om forskningsprosjekter som benytter direkte identifiserende opplysninger kan gjennomføre kryptering: 10

11 Også i forskningsprosjekter der det benyttes direkte personidentifiserbare opplysninger kan opplysningene være kryptert, slik at de direkte personidentifiserende kjennetegnene ikke hentes fram når det ikke er nødvendig. På side 168 uttaler departementet seg om helseforskningsloven 32. Bestemmelsen fastslår hovedregelen for behandling av helseopplysninger. Departementet trekker her frem at personidentifiserbare opplysninger kan være krypterte eller direkte identifiserbare. Det vises til følgende uttalelse: Bestemmelsen stiller krav til at graden av personidentifikasjon for helseopplysningene ikke skal være større enn nødvendig for å gjennomføre forskningsprosjektet og for å nå formålet med behandlingen av helseopplysningene. Helseopplysninger kan behandles i ulik form: - personidentifiserbare opplysninger (kan være krypterte eller direkte personidentifiserbare) - avidentifiserte opplysninger - pseudonyme opplysninger - anonyme opplysninger Bruk av anonyme opplysninger, som for eksempel statistikk, faller utenfor lovens virkeområde, jf. 20. Det vises til merknaden til 4 der det gjøres nærmere rede for begrepene. Direkte personidentifiserbare opplysninger er den mest sensitive formen helseopplysninger, siden opplysningene der er direkte knyttet til forskningsdeltakerens personidentifikasjon. Slike opplysninger skal ikke benyttes med mindre det er nødvendig for å nå prosjektets formål. Graden av personidentifikasjon skal vurderes av REK i henhold til 33 og Veileder til helseforskningsloven I veilederen til helseforskningsloven omtaler departementet personidentifiserbare helseopplysninger og kryptering av direkte personidentifiserende kjennetegn: Personidentifiserbare helseopplysninger er opplysninger der navn, fødselsnummer eller andre personidentifiserbare kjennetegn er tilgjengelige og således kan knyttes direkte til en enkeltperson. I forskningsprosjekter der det er behov for direkte personidentifiserbare opplysninger kan opplysningene være kryptert, slik at de direkte personidentifiserende kjennetegnene ikke hentes fram med mindre det er nødvendig. 4.4 Lovkommentaren til helseregisterloven i Karnov norsk kommentert lovsamling Det følger av lovkommentaren til helseregisterloven at kravet til intern kryptering innebærer at direkte identifiserende kjennetegn må atskilles fra helseopplysninger. Lovkommentaren er utarbeidet av dr juris Erik Boe. Det vises til lovkommentarens fotnote 10 som knytter seg til definisjon av pseudonyme helseopplysninger i helseregisterloven 2 nr 4. Der er blant annet følgende uttalt: 11

12 Det er også en annen likhet mellom pseudonyme registre og de personidentifiserbare registrene i 8 tredje ledd. Fellestrekket skyldes lovgiverens klargjøring i Ikke bare pseudonyme helseregistre, men også personidentifiserbare registre som har hjemmel i 8 tredje ledd, må nemlig lagres i kryptert form, se note 37. Det gjør at Begrepet personidentifiserbart register kan være misvisende (Innst. O. nr. 40 s. 7). Betegnelsen personidentifiserbart register spenner således over en skala hvor på den ene siden de som er hjemlet i 8 tredje ledd må krypteres, mens på den annen side registre som er basert på samtykke kan lagres med navn, fødselsnummer eller andre personidentifiserende kjennetegn. At kravet til intern kryptering innebærer at direkte identifiserende kjennetegn må atskilles fra helseopplysninger følger også av lovkommentarens fotnote 37 og 38, som er knyttet til helseregisterloven 8 tredje ledd. Til note 37 er blant annet følgende uttalt: Gjennom lovendringen i 2007 ble det klargjort at alle 8-registrene må krypteres. Forskriftene som gjaldt før lovendringen for Kreftregisteret, for Medisinsk fødselsregister og for de andre registrene i 8 tredje ledd nr. 1-7, stilte ikke krav til kryptering av identitetsopplysninger i registrene, bare krav til at sammenstilte opplysninger som fremkommer etter kopling med andre helseregistre, må lagres kryptert. Men stortingsflertallet la til grunn at praksis i registrene har vært mer personvernvennlig enn forskriftene gjorde nødvendig. Bortsett fra for Forsvarets helseregister, antok komitémedlemmene fra Arbeiderpartiet, Sosialistisk Venstreparti og Senterpartiet at I alle de personidentifiserbare helseregistrene som er hjemlet i 8 tredje ledd, er... personidentifikasjonen lagret kryptert i registeret. På denne bakgrunnen fant lovgiveren at lovteksten bør gjenspeile det faktum at våre personidentifiserbare registre er internt krypterte (Innst. O. nr. 40 s. 7). Når det står i Innst. O. nr. 40 at strenge rutiner og systemer i selve registeret må etableres for eksempel ved kryptering av personidentifikasjon i registeret (s. 7), dekker utsagnet ikke meningen til stortingsflertallet. Lovformuleringen i 8 viser at kryptering er påkrevd, og altså ikke bare er et valg som blir overlatt til Regjeringen og helseadministrasjonen. Hvorvidt antakelsen om praksis stemte eller ikke stemte, er ikke poenget. Hovedsaken er at loven nå setter uttrykkelig krav til intern kryptering av identitetsopplysninger i registrene, jf. lovformuleringen som ble vedtatt for alle 8-registrene i 2007 ( og direkte personidentifiserende kjennetegn skal lagres kryptert i registeret ). Forskriftene for dagens helseregister må etter dette revideres for å unngå sprik mellom lov og forskrift, likeledes må forskriftene som skal komme for NPR inneholde krav til kryptering av dette registeret. Til note 38 er blant annet følgene uttalt: Det går frem av forarbeidene til loven at krypteringen av identitetsopplysningene i 8- registrene kan skje internt i registrene. Til forskjell fra i pseudonyme registre, er det ikke påkrevd at krypteringen gjøres av én eller flere uavhengige institusjoner. Spørsmålet om ekstern eller intern kryptering var det store stridsspørsmålet under lovbehandlingen i Stortinget. Mens flertallet i helse- og omsorgskomiteen gikk inn for ekstern kryptering, godtok komitémedlemmene fra regjeringspartiene at krypteringen skulle kunne foretas internt i 8- registrene, se Innst. O. nr. 40 s Det ble resultatet. 12

13 5. Oppsummering På bakgrunn av ovennevnte rettskilder anser Datatilsynet det som klart at departementet har lagt til grunn en feil lovfortolkning, og at lovgiver har ment at intern kryptering innebærer at identiteten i registeret er erstattet med en alternativ kryptert identitet. Det vesentlige i kravet om intern kryptering er at kombinasjonen helseopplysninger og identitet ikke skal finnes selv inne i registeret. Dette bedrer sikkerheten og det reduserer inngrepet ovenfor den enkelte registrerte. Datatilsynet har vanskeligheter med å forstå at departementet ikke er klar over at begrepet intern kryptering er nærmere omtalt i flere av forarbeidene til helseregisterloven. Datatilsynet minner om at departementet selv har definert og omtalt begrepet i helseregisterlovens forarbeider. Det kan synes som om departementets fortolkning i større grad skyldes andre forhold enn de rent rettslige. At enkelte registre, som departementet beskriver i tolkningen av 10. mai 2010, har en umoderne IT-infrastruktur er etter Datatilsynets ikke grunnlag for å endre forståelsen av kravet slik departementet gjør. Dersom departementets tolkning legges til grunn, reduseres verdien av et personvernfremmende tiltak til å bli et alminnelig sikkerhetstiltak. Departementet skriver i brev av 10. mai 2010 at ved opprettelse av nye registre skal som hovedregel fødselsnummer krypteres og identitet og helseopplysninger holdes atskilt. Departementet legger altså til grunn at kravet ikke følger av gjeldende rett, men at det likevel skal være hovedregelen ved innføring av nye registre. Det fremstår som uklart for Datatilsynet om departementet forankrer hovedregelen sin rettslig, eller om det foreligger annet grunnlag for å fastsette en slik hovedregel. Ettersom departementet skriver at kravet skal utgjøre en hovedregel, foreligger det unntak. Departementet klargjør ikke kriterier for å gjøre unntak fra sin hovedregel. Det fremgår imidlertid i brevet at; For flere av de eksisterende registrene med umoderne IT-arkitektur er det per i dag ikke mulig å skille ut de direkte identifiserende kjennetegnende og kryptere bare disse. Det kan dermed synes som om praktiske vanskeligheter med implementering av kravet vil utgjøre et slikt unntak. Departementet skriver også at skille mellom identitet og helseopplysninger er et langsiktig mål. Datatilsynet kan ikke utføre sine tilsynsoppgaver ut fra en tolkning med en hovedregel og uklare unntak fra denne. En hovedregel departementet ikke engang har forankret i gjeldende rett. Datatilsynet mener departementet rent faktisk har fortolket det klare kravet til intern kryptering i helseregisterloven 8 tredje ledd til å være en hovedregel med uklare unntak. Datatilsynet har som kjent besluttet å ikke legge departementets sin forståelse til grunn i tilsynets myndighetsutøvelse. Det er uvanlig at Datatilsynet velger å fravike et fagdepartementets lovfortolkning på denne måten. Grunnen er at departementets lovfortolkning anses klart for å være i strid med lovens krav. Det påpekes også at Datatilsynet er et uavhengig forvaltningsorgan. Eventuell klage på Datatilsynets lovforståelse ved gjennomføring av tilsyn med kravet til intern kryptering skal behandles av Personvernnemnda. 13

14 6. Enkelte spørsmål vedrørende NPR-registeret Helseregisterlovens forarbeider til NPR-registeret er omtalt i punkt 4.2.5, 4.2.6, og Der fremgår det klart at kravet til intern kryptering etter helseregistrerloven 8 tredje ledd blant annet innebærer et krav om at fødselsnummer ikke skal lagres med pasientdata. NPRforskriften 4-3 regulerer kryptering og tilgang til registeret. Merknadene til bestemmelsen samsvarer med lovgivers krav til intern kryptering fastsatt i Innst. O. nr. 40 ( ). Departementet fastslår imidlertid i brev av 10. mai 2010 en hovedregel. Hovedregelen er at fødselsnummer skal krypteres og identitet og helseopplysninger holdes atskilt. Hovedregelen er ikke forankret i helseregisterloven 8 tredje ledd. 1. Mener departementet at kravet om at fødselsnummer skal krypteres og identitet og helseopplysninger holdes atskilt i NPR-registeret ikke kan utledes av helseregisterloven 8 tredje ledd? Departementets hovedregel er omtalt i brev av 10. mai Der går det frem at ved opprettelse av nye registre skal fødselsnummer som hovedregel krypteres og identitet og helseopplysninger holdes atskilt. Det fremstår som uklart for Datatilsynet om departementet forankrer hovedregelen sin rettslig, eller det foreligger annet grunnlag for å fastsette en slik hovedregel. 2. Er kravet om at fødselsnummer skal krypteres og identitet og helseopplysninger holdes atskilt hjemlet i NPR-forskriften 4-3 utledet av departementets nylig omtalte hovedregel? 7. Enkelte spørsmål vedrørende nasjonalt hjerte- og karregister Helseregisterlovens forarbeider til nasjonalt hjerte- og karregister er omtalt i punkt og Der fremgår det også klart at kravet til intern kryptering etter helseregistrerloven 8 tredje ledd blant annet innebærer et krav om at fødselsnummer ikke skal lagres med pasientdata. Departementet fastslår imidlertid i brev av 10. mai 2010 en hovedregel. Hovedregelen er at fødselsnummer skal krypteres og identitet og helseopplysninger holdes atskilt. Hovedregelen er ikke forankret i helseregisterloven 8 tredje ledd. 1. Mener departementet at kravet om at fødselsnummer skal krypteres og identitet og helseopplysninger holdes atskilt ikke kan utledes av helseregisterloven 8 tredje ledd? Det vises igjen til nevnte hovedregel i brev av 10. mai 2010 om at ved opprettelse av nye registre skal fødselsnummer som hovedregel krypteres og identitet og helseopplysninger holdes atskilt. 2. Har departementet bestemt seg for om nasjonalt hjerte- og karregister vil være omfattet av den ovennevnte hovedregel, slik at fødselsnummer krypteres og identitet og helseopplysninger holdes atskilt? 14

15 Det er uklart for Datatilsynet hvilke unntak departementet vil lage fra sin egen hovedregel, og om det kan gjøre seg gjeldende et slikt unntak for nasjonalt hjerte- og karregister. Departementet ikke har utdypet kriteriene for å gjøre unntak. 3. Har departementet bestemt seg for om nasjonalt hjerte- og karregister vil være omfattet av noe unntak fra hovedregelen? 8. Avsluttende merknader Datatilsynet ser at kravet om kryptering av identitet kan være krevende, spesielt for ulike typer registre. Kravet om intern kryptering var ved lovendringen i 2007 tilpasset NPR som kan ses som et kunnskapsregister. NPR benyttes på et annet vis enn for eksempel SYSVAK som benyttes operativt i helsehjelpen. Det fremstår som klart at løsningen for NPR ikke kan overføres direkte til for eksempel System for vaksinasjonskontroll (SYSVAKregisteret). Med utgangspunkt i at registrene er forskjellige var det viktig å få avklart hvordan kravet om intern kryptering nærmere skulle forstås. Dette både for at registerhaver skal kunne etablere løsninger i samsvar med regelverket, og for at tilsynsmyndigheten skal kunne gjennomføre sine oppgaver. Gjennom kontrollene har Datatilsynet sett at intern kryptering lar seg gjennomføre. Kreftregisteret håndterer papirskjema på en god måte med rask fjerning av identitet etter at denne er bekreftet, og SYSVAK registeret håndterer skillet mellom helseopplysninger og identifiserende opplysninger samtidig med at registeret benyttes operativt. Det er klart at kravet lar seg gjennomføre. Derfor er det også viktig ikke å fjerne seg fra det grunnleggende i kravet at registeret føres på en annen identifikator enn personens identiteten den krypterte identiteten. Datatilsynet forstår spørsmålet om hvor mye ressurser en skal legge i krypteringsløsninger for registre som i dag har papirmottak av data, når disse skal moderniseres. Slike prosesser vil naturligvis koste, og det må bevilges midler til endringen. Dette vil kunne medføre at vi må akseptere at det tar ett par år å endre enkelte registre. Det skal også pekes på viktigheten av at implementeringen av intern kryptering foregår varsomt med tilstrekkelige test og valideringsperioder. Innføringen må ikke få negative følger for integriteten av registeret. Dette har også vært påpekt av Folkehelseinstituttet og Kreftregisteret. 15

16 9. Anmodning til departementet om å foreta en ny lovfortolkning På bakgrunn av dette brevet anmoder Datatilsynet departementet om å foreta en ny fortolkning av kravet til intern kryptering. Datatilsynet imøteser i den forbindelse en nærmere rettskildemessig forankring av departementets lovfortolkning. Departementet bør etter tilsynets oppfatning foreta en slik ny fortolkning ut fra andre rettskilder enn sin ordlydsforståelse av lovteksten i helseregisterloven 8 tredje ledd og de særskilte utvalgte uttalelsene i Innst. O. nr 40 ( ). Det vises i den forbindelse blant annet til de ovenfor nevnte rettskilder. Datatilsynet anmoder også departementet om å gi en tilbakemelding på om intern kryptering anses å være et alminnelig sikkerhetskrav. Datatilsynet imøteser snarlig tilbakemelding. Med hilsen Ove Skåra konst. direktør Bård Soløy Ødegaard rådgiver Kopimottakere: Helse Sør-Øst; Postboks 404; 2303 HAMAR Helsedirektoratet; Postboks 7000 St. Olavs plass; 0130 OSLO Helsetilsynet; Postboks 8128 Dep; 0032 OSLO Nasjonalt folkehelseinstitutt; Postboks 4404 Nydalen; 0403 OSLO Forsvarsdepartementet; Postboks 8126 Dep; 0032 OSLO Fornyings-, administrasjons- og kirkedepartementet;postboks 8004 Dep; 0030 OSLO Kreftregisteret; Postboks 5313 Majorstuen; 0304 OSLO Statistisk sentralbyrå; Postboks 8131Dep; 0033 OSLO Stortingets kontroll og konstitusjonskomite; Kontroll- og konstitusjonskomiteen Stortinget; 0026 OSLO 16