Høringsuttalelse - forskrift om kommunalt pasient- og brukerregister - KPR - Helse- og omsorgsdepartementet

Transkript

1 Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO Deres referanse Vår referanse Dato 16/ / /CGN Høringsuttalelse - forskrift om kommunalt pasient- og brukerregister - KPR - Helse- og omsorgsdepartementet Innledning Datatilsynet viser til brev av 23. desember 2016, hvor forskrift om Kommunalt pasient- og brukerregister sendes på høring (KPR). Datatilsynet har gjennomgått forslagene, og har merknader: I høringsnotatet s. 12 uttales følgende: «Det er den minst personverninngripende løsningen som skal velges. Det kan på den annen side ikke stilles unødvendige strenge krav til løsninger slik at formålet med registeret ikke kan oppnås.» Det vises gjennom notatet at data kun skal behandles i den grad det er nødvendig, graden av selvbestemmelse skal ivaretas i størst mulig grad og data skal sikres på best mulig måte. Imidlertid viser de foreslåtte løsningene at det er hensynet til formålet med registeret som veier tyngst i de avveininger og valg som tas. Dokumentet omtaler viktige og sentrale personvernprinsipper, men prinsippene blir i liten grad ivaretatt i praksis. Personvernkonsekvensutredningen blir en språklig øvelse mer enn en praktisk en. Datatilsynets påstand er at vi aldri tidligere har sett et register av et slik omfang i Norge. Registeret skal inkludere data om alle innbyggerne, og begrepet «fra vugge til grav» har sin rett her. KPR skal inneholde opplysninger om identifiserbare individer fra vugge til pleieinstitusjon, via helsestasjon, skolehelsetjeneste, BUP, tannbehandling, fastlege, spesialister som tilbys av kommunen, omsorgstjenester av alle slag for eldre, uføre, kronisk syke, funksjonshemmede, demente, barn med spesielle behov osv. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt OSLO

2 KPR vil sammenliknet med andre helseregistre være langt mer omfattende når det gjelder mengde opplysninger om hver enkelt innbygger, og alle innbyggere vil bli inkludert, uavhengig av diagnoser. Alle møter med det kommunale helse- og omsorgstilbudet og alle diagnoser knyttet til en person vil i praksis finnes i samme register. Opplysninger om friske barn, gravide, foreldre barn og skoleungdom og tannlegepasienter skal inkluderes i registeret. Det vil inneholde fra forholdsvis trivielle til meget sensitive, taushetsbelagte opplysninger om hendelser gjennom hele livet. Inngrepet i de grunnleggende rettighetene enkeltindivider har til å ikke være registrerte og til selv å bestemme over egne opplysninger og retten til privatliv er langt mer omfattende og mer alvorlig enn det vi fra før har i de norske helseregistrene i dag. Den komplette sammenstillingen av befolkningens kontakt med det kommunale helse- og omsorgsapparatet vil innebære en enorm samling av opplysninger om hver enkelt av oss. Høringen gjenspeiler etter Datatilsynets mening ikke dette perspektivet. Registeret har fått lovhjemmel uten forutgående samfunnsdebatt. Vi mener at dette kan ha sammenheng med at det virkelige omfanget av opprettelsen av registeret ikke viser seg hverken i lovforarbeidene eller i denne forskriftshøringen, men at den reelle beslutningen om registerets innhold og omfang er flyttet til den databehandlingsansvarlige for registeret. Nedenfor følger våre innspill, som kan kort oppsummeres slik: Høringen viser ikke til at det kommer en ny personvernforordning i 2018 som vil kunne ha betydning for behandling av opplysninger i KPR Forskriftsarbeidet svarer ikke til premissene som ligger til grunn for lovvedtaket, og registerets faktiske omfang skal besluttes av den databehandlingsansvarlige Personvernkonsekvensene av opprettelsen av registeret er ikke tilstrekkelig utredet Registeret har fortsatt vide formål, og det er uklart hvilke data som skal inkluderes Systemet og innholdet fra registrering i dagens IPLOS skal inkluderes i KPR uten at innholdet i dagens register er gjennomgått. Reservasjonsadgangen er snever og det mangler begrunnelse for løsningen som velges og alternativene er i liten grad gjennomgått Vurderingen av risiko og valg av informasjonssikkerhetstiltak er ikke tilstrekkelige Utleveringshjemlene åpner for at databehandlingsansvarlige har adgang til å utvide registeret, jf. forslaget ) Ny personvernforordning Datatilsynet registrerer at det i forslaget til forskrift ikke er bemerket at det fra 2018 vil tre i kraft en ny personvernforordning som vil få betydning for forvaltningen av også sentrale helseregistre. Forordningen trer i kraft den 25. mai 2018, og løsningen i registeret bør ved opprettelsen være i samsvar med kravene det nye regelverket oppstiller. Vi har ikke gått nærmere inn på forordningens innhold i de enkelte temaene, men vil påpeke at vi ser det som 2

3 en mangel ved forslaget at det ikke er tatt høyde for, eller i det minste vist til, det nye regelverket. 2) Om den demokratiske kontrollen med behandling av personopplysninger I forbindelse med høringen til lovforslaget om opprettelsen av KPR, uttrykte Datatilsynet at det var uheldig å legge opp til at Stortinget skulle vedta etableringen av et sentralt register over hele befolkningens bruk av den kommunale helse- og omsorgstjenesten, uten at det på forhånd forelå en mer konkret oversikt over hva dette ville innebære. Det var store uklarheter knyttet til omfanget av opplysninger registeret vil inneholde, hva som vil være nødvendige opplysninger i registeret og begrunnelser for hvorfor disse opplysningene er nødvendige og relevante. I høringsnotatet 1 til forskriften hevdes det at Stortinget i forbindelse med beslutningen om å opprette KPR vurderte de positive og negative konsekvensene ved registeret. Nytteverdien ble ansett som stor, og hensynet til personvern ville ivaretas gjennom regelverk og tekniske og organisatoriske løsninger. Det ble også vist til at forskriftsarbeidet ville utrede reservasjonsrett for enkelte opplysninger og bruk til enkelte formål. Lovproposisjonen overlater med andre ord mange av de faktiske personvernvurderingene til forskriftsarbeidet. Gjennom forslagene i høringsnotatet til forskriften mener Datatilsynet at de fleste av vurderingene er flyttet videre nedover i beslutningssystemet og overlatt til den databehandlingsansvarlige. HOD argumenterer med at det alltid vil være slik at detaljregulering skjer på et lavere nivå. Datatilsynet bestrider ikke dette. Men vi reagerer på at det ikke går frem at dette registeret er av et helt annet omfang og av en helt annen karakter enn det vi har sett tidligere. Behovet for demokratisk kontroll som rettssikkerhetsgaranti er stort, og ved å flytte de reelle beslutningene om registerets innhold til den databehandlingsansvarlige, har man gått utenom premissene som ble lagt til grunn for lovvedtaket. Det er en ytterligere betenkning for Datatilsynet at den databehandlingsansvarlige og dermed beslutningstakeren for omfanget av KPR skal være Helsedirektoratet, som må anses å være en del av helsemyndighetene. Direktoratets mange roller medfører at det er grunn til å stille spørsmål om hvilke hensyn som vil få størst vekt i de konkrete avveiningene mellom personvernkonsekvenser og samfunnsnytten registeret vil ha. En slik ansvarsplassering vil stille store krav til beslutningene og grunnlaget for disses gjennomsiktighet. Datatilsynet mener at høringsnotatet og løsningen som er valgt bærer tydelig preg av at det er et sterkt ønske om å være dynamisk i den rettslige reguleringer, slik at det ikke vil bli nødvendig med omfattende prosesser dersom det er behov for endringer. Dette er løst ved at ansvaret for registerets innhold i stor grad er overlatt til den databehandlingsansvarlige, med den selvsagte begrensningen om at data som inkluderes må være nødvendige og relevante. 1 S. 7 3

4 3) Befolkningens tillit til helseregistrene Gjennom hele høringsforslaget, og generelt innen helseregistermiljøene, trekkes det frem at befolkningen i Norge har stor tillit til helsevesenet i landet og til at opplysninger om oss behandles slik det er forutsatt. Datatilsynet har nylig gjennomført kontroller med de sentrale helseregistrene, og disse kontrollene avdekket flere avvik fra kravene som følger av personopplysningsloven, personopplysningsforskriften, helseregisterloven og de konkrete forskriftene til registrene. Et avvik som er felles for nesten alle registrene, er at det etter vår vurdering ikke gis tilstrekkelig generell informasjon til befolkningen. Dette kravet følger av helseregisterloven 23, og er sentralt for å kunne ivareta viktige personvernhensyn. Manglende informasjon gjenspeiles også i antall krav om innsyn, som er lavt for alle registrene 2. Vi mener at dette trolig har sammenheng med at befolkningen faktisk ikke har kunnskap om den behandlingen av opplysninger som foregår ved de sentrale registrene. Videre viser kontrollene at registrenes logging av bruk av data i de fleste tilfellene er mangelfulle i forhold til det som kreves i regelverket. Det er heller ikke tilstrekkelige rutiner for å oppdage og følge opp avvik i flere av registrene. Dette er forhold som kan sette befolkningens tillit til registrene på prøve, og vi mener at man i etableringen og oppbyggingen av KPR må sørge for løsninger som ivaretar den tilliten befolkningen har.. De fortrinnene som våre nasjonale helseregistre representerer i internasjonal sammenheng er i stor grad betinget av at befolkningen har tillit til myndighetene En god måte å ivareta denne tilliten på vil være å gi innbyggerne rett til å reservere seg fra registrering i det omfanget det legges til rette for i KPR. 4) Utredning av personvernkonsekvenser/ulemper I medhold av Veileder til utredningsinstruksen, Vurdering av personvernkonsekvenser, er Helse- og omsorgsdepartementet underlagt plikt til å vurdere personvernkonsekvensene av opprettelsen av KPR. Datatilsynet mener at høringen primært har fokus på informasjonssikkerhet og konsekvenser i den sammenhengen. Vi savner en utredning av konsekvensene og ulempene det innebærer å samle så mange opplysninger om så mange folk til så mange formål på et sted. Hva som faktisk skjer med opplysningene er ikke det eneste som er relevant for vurderingen av personvernkonsekvensene. Det faktum at vi samler så mange opplysninger ett sted kan også ha konsekvenser i seg selv. 2 Med unntak av SYSVAK 4

5 Høringsnotatet beskriver inngående nytteverdien av det foreslåtte registeret. Som norske innbyggere må vi til en viss grad akseptere inngripende, men målrettede midler, så lenge tersklene er høye nok og rettsikkerhetsgarantiene blir ivaretatt. En slik garanti er gitt gjennom helseregisterloven 9 som krever lovhjemmel for den typen register KPR skal være. Formålene og nytteverdien til KPR er aktverdige og vanskelige å argumentere mot. Men vi må stille oss spørsmålet om målet alltid rettferdiggjør middelet man trenger for å komme dit. KPR har vært etterspurt fra forskningssektoren i lang tid. I epidemiologiske studier mangler man den siste viktige brikken om hva som skjer med individene i primærhelsetjenesten. Gjennom KPR vil man ha tilgang til enkeltindividenes enkelthendelser gjennom livet og man vil i så måte komplettere kunnskapen om enkeltindividenes livsforløp. Departementet erkjenner at KPR kan medføre fare for inngrep i personvernet. På side 5 uttales følgende: «registrering og annen behandling av personopplysninger medfører alltid utfordringer for personvernet». Datatilsynet savner imidlertid en nærmere redegjørelse for hvilke ulemper registeret utgjør for den enkelte. Først når ulempene er identifisert kan man ta stilling til om de oppveies av grunner som tilsier at behandlingen allikevel skal tillates. Avveiningen man er forpliktet til å gjøre går frem av formålsbestemmelsens første ledd, hvor det presiseres at den enkeltes personvern skal ivaretas og at registeret skal brukes til individets og samfunnets beste. Datatilsynet mener at den foreslåtte forskriften i for liten grad ivaretar grunnleggende personverninteresser som retten til privatliv og retten til selvbestemmelse, og at vurderingen disse av alvorlige personvernkonsekvensene er mangelfulle. Inngrepet i disse grunnleggende rettighetene kan ikke utlignes gjennom tekniske tiltak og organisatoriske grep. 5) KPR og de andre registrene Departementet sammenligner og sidestiller gjennom hele høringsnotatet KPR med de andre sentrale helseregistrene vi allerede har i Norge, og særlig til Norsk pasientregister (NPR). Departementet vurderer å opprette en felles forskrift for flere av registrene. Datatilsynet forstår at det er relevant å vise til disse andre sentrale registrene, men vi savner en fremstilling av hva som skiller KPR fra de andre. Noen registre er eksternt krypterte (pseudonyme), dvs. at den behandlingsansvarlige ikke har tilgang til personidentifikasjon. Andre er internt krypterte. Dette innebærer at den databehandlingsansvarlige har tilgang til identitet og helseopplysninger, men lagrer opplysningene adskilt for å begrense risikoen for at flere enn nødvendig for tilgang til identifiserbare data. Krypteringsløsningene er å regne som sikkerhetstiltak som er nødvendige for å sikre konfidensialiteten i registrene. 5

6 Norsk pasientregister (NPR) inneholder opplysninger om behandlinger i spesialisthelsetjenesten, det vil si det som skjer blant annet på sykehus, og ikke alle andre forhold i livet. Det inneholder også en begrenset krets av personer, siden mange nordmenn ikke behandles i spesialisthelsetjenesten (de fleste blir født der, men det registreres også i MFR). Medisinsk fødselsregister(mfr) inneholder opplysninger om alle som er født, og om mor og far (begrensede opplysninger) til barnet. Videre inneholder det helseopplysninger om barnet i dets første leveår hvis det er relevant og opplysninger om fødselen. Dette utgjør en begrenset mengde informasjon om hvert enkelt individ i en kort periode av livet, og inngrepet i individets frihet til å bestemme over egne opplysninger må anses begrenset. Kreftregisteret er et sykdomsregister med helseopplysninger relatert til kreftsykdommen. Det inneholder et begrenset utvalg av befolkningen. Registeret har stor nytteverdi for forskning og kvalitetsforbedring i behandling av sykdommer som rammer mange og det er stort behov for å gjennomføre forskning på området. Registeret har konkrete formål. Stortinget har vurdert at inngrepet i den enkeltes rett til å bestemme over egne opplysninger kan forsvares fordi samfunnets nytteverdi er vesentlig. Opplysningene som registreres er nødvendige og relevante for kreftforskning og for å forstå kreftbehandling og sykdomsutvikling. Registeret inneholder ikke opplysninger om pasientene ut over det som angår kreftsykdommen. Det samme gjelder for Hjerte- og karregisteret (HKR), som omfatter pasienter som mottar helsehjelp for denne kategorien av sykdommer og lidelser. SYSVAK (Nasjonalt vaksineregister) inneholder opplysninger om hvilke vaksiner som er gitt til enkeltindivider. Registeret er hendelsesbasert, dvs. at det er vaksineringen som utløser registreringen. Vaksiner utenfor vaksinasjonsprogrammet krever samtykke. Registeret inneholder en begrenset mengede opplysninger om den vaksinerte. Det har stor nytteverdi for heletjenesten fordi registeret benyttes som oppslagsdatabase ved spørsmål om vaksinering og som grunnlag for vaksinasjonskort og oversikt for den vaksinerte. Det benyttes delvis som et behandlingsrettet register. Det anses å ha begrensede personvernulemper, fordi det har en begrenset mengde informasjon om konkrete vaksineringer. MSIS (Meldingssystem for smittsomme sykdommer) benyttes av FHI som register for overvåkning av infeksjonssykdommer i befolkningen og for å forebygge smitte og oppklare årsaker til smitte. Noen sykdommer er knyttet til direkte identifiserbare opplysninger, andre sykdommer registreres uten identitet. Primærbruken av dette registeret er annerledes enn andre sentrale helseregistre, og personvernulempene er begrensede i forhold til nytteverdien fordi registeret inneholder få opplysninger om konkrete hendelser i en avgrenset periode av livet. Dødsårsaksregisteret inneholder opplysninger fra dødsmelding om dødsårsak. Registreringen er begrenset til en konkret hendelse, og selvbestemmelsesretten er uaktuell. Det er gitt visse personvernrettigheter til de pårørende. 6

7 Reseptregisteret inneholder data som er vurdert som sensitive opplysninger om medisinbruk, og registeret er etablert ved forskrift som et pseudonymt register. Personvernrisikoen anses å være redusert gjennom organisatoriske og tekniske tiltak som skal sikre konfidensialiteten i registeret. Dagens IPLOS er organisert som et pseudonymt register på grunn av svært omfattende registrering av sensitive opplysninger om enkeltindividers daglige helseutfordringer. Oppfatningen av store personvernulemper bidro til at det ble innført et samtykkekrav til registrering av diagnose og det ble gitt forbud mot lagring av direkte identifiserbare opplysninger i registret, samt forbud mot utlevering av indirekte identifiserbare data. Registeret er såkalt eksternt kryptert, det vil si at den databehandlingsansvarlige har ikke tilgang til identitetsopplysninger. Som nevnt innledningsvis vil KPR sammenliknet med andre helseregistre være langt mer omfattende når det gjelder mengde opplysninger om hver enkelt innbygger, og alle innbyggere vil bli inkludert, uavhengig av diagnoser. KPR vil etter Datatilsynets syn være vesentlig mer inngripende enn de etablerte registrene. 6) Formålet med registeret Formålet med KPR er helt sentralt i vurderingen av personvernkonsekvensene registeret medfører. Formålet vil være styrende for hvilke data som kan inkluderes i registeret. Datatilsynet er positive til at formålene presenteres todelt, og at det kun er de såkalte hovedformålene som kan begrunne hvilke data som kan inkluderes. De sekundære formålene kan ikke ha innvirkning på hvilke data registeret skal inneholde. Videre mener vi det er positivt at departementet har skilt mellom hovedformål og sekundærformål som KPR skal tjene. Vi mener imidlertid at formålene fortsatt er bredt definerte, og at det synes å ligge få begrensninger i hva registeret skal kunne brukes til. Det er vanskelig å overskue hvilken faktisk bruk man skal gjøre av opplysningene, og det er vanskelig å forestille seg hvilke formål som klart faller utenfor den tiltenkte bruken. Målet med KPR er å skape et godt kunnskapsgrunnlag. Det legges til grunn at innholdet i IPLOS og KUHR er nødvendige for å nå dette målet, men vi savner en grundig gjennomgang av disse kildene. Helse- og omsorgskomiteen presiserer at det er et sterkt politisk ønske om å etablere et register som gir likeverdig kunnskap om primærhelsetjenesten, på lik linje som det vi i dag har om spesialisthelsetjenesten 3. Datatilsynet stiller imidlertid spørsmål ved om Stortinget gjennom dette har ønsket seg et KPR slik det i dag ser ut til å bli, og med de konsekvensene og inngrepene det medfører overfor hele den norske befolkningen. 3 Innst 373 L ( ) 7

8 Ettersom registeret i sin helhet skal inneholde data fra KUHR, ser vi at formålene med behandling av data i KUHR også kan være bestemmende for hva KPR vil komme til å inneholde. Vi savner en redegjørelse for dette forholdet i høringsnotatet. Vi påpeker at inkluderingen av data fra KUHR må vurderes opp mot hovedformålene til KPR som er angitt i 1-1, andre ledd. Datatilsynet mener at det ikke bør legges automatisk til grunn at alle data som er nødvendige for å oppnå formålene i dagens KUHR (refusjon og kontroll) er nødvendige for å oppnå KPRs angitte formål. Et annet sekundært formål med KPR er å bli en informasjonskilde til Nasjonal kjernejournal. Begrunnelsen for dette behovet, er at slike kilder mangler i dag. Departementet fremhever at KPR vil kunne muliggjøre oppfyllelse av formålet til kjernejournalen. Kjernejournalen er et behandlingsrettet register som er hjemlet i pasientjournalloven. KPR er et helseregister med sekundære formål, og det er basert på datakilder som i stor grad har andre primære formål. Vi finner grunn til å påpeke at etter vår forståelse er ikke KPR nødvendig for å realisere kjernejournal, men en mulig valgt løsning for å samle informasjon til kjernejournalen. Det fremstår som klart at all den tid data kan rapporteres til KPR, kan de rapporteres til kjernejournalen uten at dette er mer krevende for de som utfører rapporteringen. At data skal videre til kjernejournal må ikke være førende for datainnholdet, identitetsforvaltning eller de registrertes rettigheter i KPR. 7) Innholdet i registeret I forslaget til forskrift er det angitt hvilke opplysningstyper registeret kan inneholde. Det vises til formålsavgrensningen i 1-1, og at denne bestemmelsens andre ledd er de eneste formålene som kan begrunne hvilke nødvendige og relevante data som kan inkluderes i KPR. Listen over opplysningstyper i 2-1 tar utgangspunkt i de opplysningene som allerede samles inn i dagens IPLOS og KUHR. Oppgaven med å definere nærmere hvilke opplysninger dette omfatter, overlates til Helsedirektoratet som databehandlingsansvarlig. Det presiseres i høringsnotatet at hver enkelt opplysning må underlegges en interesseavveining, og at dette må gjøres av databehandlingsansvarlige. Tilsvarende vurdering skal Helsedirektoratet gjøre for den samlede opplysningsmengde i registeret. Det fremheves at KPR ikke skal medføre økt rapporteringsbyrde for helsepersonellet i tjenestene. Derfor skal man ta utgangspunkt i behandlingsrettede registre man allerede registrerer data i. Data fra KPR skal videre kunne bidra til å redusere den samlede rapporteringsbyrden over tid, gjennom gjenbruk. Eksempler som trekkes frem er informasjonssystemet KOSTRA og Nasjonal Kjernejournal. KPR skal blant annet gjenbruke data fra folkeregisteret om fødselsdato, geografisk bakgrunn, sivilstand, bokommune, innvandrings- og utvandringsdato og dødsdato. Dette omtales som bruk av «levende kilder», og det er det første registeret vi ser med hjemmel til å inkludere 8

9 såkalte sosioøkonomiske data i dette omfanget. Dette inkluderer også opplysninger om utdanning, inntekt og arbeidstilknytning. Vi kan ikke se at dette faktum er omtalt knyttet til personvernkonsekvenser i høringen. Det er kun redegjort for nytteverdien disse dataene har. Datatilsynet har selvsagt forståelse for at disse opplysningene er praktiske å inkludere i registeret. Vi mener imidlertid at det har den konsekvensen at det blir et betydelig register over hele befolkningen, også de som ikke mottar tjenester fra det kommunale apparatet. Departementet uttaler 4 at forskriftsformen er uegnet for å spesifisere hver enkelt opplysning som skal inn i registeret.. Vi mener at det i for liten grad blir synliggjort hvilket omfang inkludering av opplysningstypene vil innebære. Det vises til at det er gjort på tilsvarende måte i NPR-forskriften og i de øvrige forskriftene. Datatilsynet støtter ikke denne sammenligningen, når vi ser på hvilke formål og hvilke typer opplysninger som KPR-forskriften har som mål å hjemle. Det er en svakhet at man i KPR henviser til NPR som sammenligningsgrunnlag for å begrunne løsningen i KPR. Registrene er vesensforskjellige i innhold, noe som det ikke er uttalt i høringen. Teksten i andre og tredje ledd viser at det bare kan registreres opplysninger som er tilstrekkelige og nødvendige for hovedformålene i andre ledd. Ut fra dette savner vi en nærmere redegjørelse for at de ulike typer av opplysninger, mengde og detaljeringsgrad er nødvendige for å dekke de formål som beskrives i andre ledd. I en slik nødvendighetsvurdering vil typisk avveininger og drøftelser av helsemyndighetenes behov og den registrertes beskyttelsesbehov være sentrale for å oppfylle kravene forskriftsbestemmelsens første ledd, andre punktum. Denne forståelsen oppfatter vi blir underbygget av merknadene til bestemmelsens tredje ledd. Forskriftens 2-1 angir hvilke opplysningstyper som kan inkluderes. Det er overlatt til den databehandlingsansvarlige å beslutte hvilke konkrete opplysninger som skal registreres under de enkelte opplysningstypene 5. Enkelte av opplysningstypenes innhold er forutberegnelige, mens andre gir et mye større grad av tolkningsrom og usikkerhet. Et eksempel på hvilke opplysningstyper direktoratet må vurdere innholdet av er «funksjonsevne», et begrep som etter Datatilsynets oppfatning er meget vagt. Det er videre fremhevet at data må kunne brukes i forskjellige nivåer, både av statlige og kommunale organer. Datatilsynet ser en risiko ved at det kan registreres opplysninger ut fra kommunale behov, og at disse ikke nødvendigvis er de samme behovene de sentrale myndighetene har for data. Dagens KUHR og IPLOS skal danne utgangspunkt for det nye registeret KPR. Helsedirektoratet har gjennomført flere prosjekter for å avdekke behovet for data i registeret, men det er ikke vist til konkrete resultater fra disse undersøkelsene i høringsnotatet. 4 S S. 18 9

10 Det uttales imidlertid at behovskartleggingen viser at det er behov for registerdata utover data knyttet til sykdom. Eksempler som trekkes frem er opplysninger som viser helsetilstanden blant barn og unge som høyde og vekt. Videre er kategorien «funksjonsevne» trukket frem som den viktigste opplysningen for vurdering av tjenestebehov. Risikofaktorer er også trukket frem som viktige for å kunne evaluere om spesielle pasient- og brukergrupper får hensiktsmessig oppfølging og opplysningene er også et viktig grunnlag for forebyggende helsetjenester og folkehelsearbeid. a. IPLOS særskilt IPLOS inneholder data om personer som har søkt, mottar eller har mottatt pleie- og omsorgstjenester fra kommunen. Innholdet i registeret kan for den enkelte være meget inngripende. Det registreres blant annet opplysninger i registeret som er mer knyttet til tjenestetilbudet som vedtak om bruk av tvang og makt, døgnopphold i institusjoner og opplysninger om individuell plan. Videre inneholder registeret opplysninger om tjenestemottakeren som hushold, funksjonsevne i dagliglivets aktiviteter og andre opplysninger om helsetilstand og sykdom. I IPLOS registreres opplysninger om vedkommendes utfordringer med å delta i samfunnet, ta vare på egen helse og håndtere egen sykdom, å lage seg mat, kontakt med familien, personlig hygiene, å ta beslutning er i dagliglivet, styre atferd og kognitiv svikt 6. Vedtakelsen av IPLOS ble gjenstand for bred debatt i Norge. Registeret ble ansett som meget inngripende for de registrerte. Enkelte variabler ble utelatt, og det ble foretatt endringer i innholdet. Det ble videre inngått noen kompromisser for å redusere ulempene, blant annet i form av at registeret ble psedonymisert, med et tilleggskrav om at det ikke skal være mulig å gjenkjenne enkeltpersoner etter sammenstillinger med andre kilder. Det ble også innført et krav om samtykke for å kunne registrere opplysninger om medisinsk diagnose i registeret. I KPR skal IPLOS tas inn i sin helhet. Det skal ikke lenger være pseudonymt, og det skal ikke lenger innhentes samtykke for å kunne registrere diagnoseopplysninger. Det er heller ikke videreført de særskilte kravene knyttet til utleveringer, utover de som følger av det generelle personvernregelverket. Datatilsynet mener det er en betydelig svakhet ved forslaget til KPR at det ikke er gjort en skikkelig vurdering av dagens IPLOS før det besluttes å videreføre registreringen. Dataenes karakter er preget av subjektive vurderinger om de registrertes personlige forhold, og vi savner en gjennomgang av disse dataenes nytteverdi innenfor det formålet KPR skal tjene. Vi stiller oss i tillegg kritiske til at typen opplysninger som registreres i IPLOS nå skal samles i et sentralt register av det omfanget som KPR blir. Data som opprinnelig ble ansett som meget inngripende og sensitive skal nå kobles sammen med en mengde andre data, i tillegg til at identitetsforvaltningen skal endres til en løsning som innebærer lavere grad av beskyttelse. 6 Fra Helsedirektoratets Veileder til registrering i IPLOS s

11 Det fremstår som utvilsomt for Datatilsynet at dette medfører en betydelig økning i personvernulempene, og dette er ikke utredet i tilstrekkelig grad i forskriftsarbeidet. b. KUHR Det er uttalt mål at KPR ikke skal medføre økt rapporteringsbyrde for helse- og omsorgstjenesten. Data fra dagens KUHR skal betjene flere formål, og vi er i tvil om det primære formålet med KUHR-data vil være styrende for inkludering i KPR. Innsamlingen i KUHR er styrt av behov knyttet til refusjon og kontroll med refusjoner. Ved å inkludere alle disse data til KPR, har man ikke tatt god nok stilling til om dataene er relevante og formålstjenlige, slik helseregisterloven 6 krever. Vi savner en vurdering av at formålene til de to typene registrering er så sammenfallende at dataene uredigerte kan benyttes begge steder. Slik det er nå, vil det være en stor risiko for at de tradisjonelle KUHR-formålene vil være styrende for innholdet av KPR. 8) Grad av og mulighet for identifisering Kravet om kryptering følger av helseregisterloven 21, annet ledd, og er et grunnkrav som gjelder felles for alle helseregistre som behandler direkte identifiserende opplysninger 7. Departementet hevder at separering og kryptering av fødselsnumre skal gjører for å begrense risikoen for at opplysningene, rettstridig, skal kunne knyttes til enkeltpersoner 8. Departementet medgir 9 at det vil være mulig å identifisere enkeltpersoner selv om fødselsnummer og navn oppbevares atskilt og kryptert, men de kaller dette for «en teoretisk mulighet». Vi er kritiske til at separerings- og krypteringsløsningen så mange steder i forskriften fremheves som eneste personverngaranti. Datatilsynets vurdering er at dette er et tiltak som alene ikke kan tjene til å oppnå formålet om å hindre at enkeltpersoner identifiseres. I realiteten vil innholdet i registeret selv uten navn og fødselsnumre være så omfattende og detaljert om Norges befolkning at det kan knyttes til enkeltpersoner. Farene ved å legge en slik forståelse til grunn, er blant annet at sikkerhetstiltakene som etableres etter konkrete risikovurdering også får et uheldig utfall i form av dårligere løsninger enn det som er nødvendig for å sikre opplysningene tilstrekkelig. 7 Et tilsvarende krav vil følge av personvernforordningen artikkel Øverst side 5 i høringsnotatet 9 S

12 9) Samtykke og reservasjon I Prop. 106 L ( ) ble det forutsatt at det i forbindelse med forskriftsarbeidet nærmere skulle utredes mulighetene for å kunne basere KPR på samtykke eller om de registrerte kan gis reservasjonsrett. Vurderingene skulle gjøres både knyttet til inkludering av data i registeret og til utlevering av data i registeret til ulike formål. Stortinget har i sin innstilling også lagt til grunn for sitt lovvedtak at disse mulighetene skulle utredes nærmere i forskriftsarbeidet. I høringsnotatet til forskriften har departementet kommet til at det skal være reservasjonsrett mot registrering av andre typer av opplysninger enn de som i dag inngår i KUHR og IPLOS. Reservasjonsretten skal ikke gjelde såkalte administrative opplysninger. Inkludering av opplysninger om brukererfaringer skal være basert på samtykke. Reservasjonsadgangen knyttet til utleveringer er i forskriften begrenset til tilfeller hvor det utleveres direkte identifiserbare opplysninger, jf. forslagets 4-5, tredje ledd. Datatilsynet mener at reservasjonsadgangen i praksis har blitt snever, og den omfatter ikke de mest sensitive opplysningene. Vi mener videre at utredningen av mulighetene for å gi de registrerte rett til å bestemme over egne opplysninger er mangelfull, og at den ikke er gjennomført i den utstrekning som ble lovet i forbindelse med lovvedtaket. a) Generell reservasjonsrett til inkludering i KPR Departementet viser til at det i forarbeidene er lagt til grunn at en generell reservasjonsrett vil innebære at registeret kan få for dårlig datakvalitet og at formålet med registeret ikke kan nås. Datatilsynet presiserer at formålene det er tillatt å vurdere opp mot dekningsgrad kun er de som følger av forskriftens 1-1, annet ledd. Formålene i tredje ledd kan ikke begrunne inkludering av data i registeret. Vurderinger av dekningsgradens betydning synes for Datatilsynet å være nærmere knyttet til de sekundære formålene med KPR, og ikke de primære. Datatilsynet mener for det første at det er lite utredet og vurdert hvorvidt en generell reservasjonsadgang faktisk ville ha medført et stort frafall og dårlig dekningsgrad i registeret. Vi har i Norge flere eksempler på at det er gitt adgang til å reservere seg fra elektroniske tjenester som tilbys, som Nasjonal kjernejournal og ordningen med automatisk frikort. Opplysninger Datatilsynet har mottatt fra Direktoratet for e-helse viser at det til nå er ca 4100 personer som har reservert seg mot Nasjonal kjernejournal som etter 1. mars 2017 er opprettet 12

13 for hele landets befolkning. Ved innføringen av automatisk frikort-ordning, var det omtrent personer som reserverte seg 10. Disse tallene indikerer at frafallet fra registeret ikke ville vært vesentlig dersom det ble gitt en reservasjonsadgang, og vi mener at departementets utredning ikke tar høyde for erfaringer som finnes fra andre nasjonale tjenester. For det andre mener Datatilsynet at det ikke er tilstrekkelig begrunnet og dokumentert hvorfor et frafall ville ha medført en så betydelig reduksjon av registerets nytteverdi som det hevdes i høringsnotatet. Vi savner redegjørelser basert på faglige vurderinger knyttet til bruk av data og betydningen av frafall. I sykdomsregistre, som for eksempel Kreftregisteret, er det viktig at alle er med for å få riktige resultater fra forskningen. I KPR er situasjonen en annen fordi det vil være mulig å planlegge, styre og evaluere helsetjenesten uten at alle enkeltindivider er med. En kommune vil kunne ha oversikt over tilfeller som ikke kommer med i KPR og kan justere for dette når de skal planlegge. Når formålet er planlegging, styring og evaluering mener vi dette kan gjennomføres samtidig som man ivaretar grunnleggende personverninteresser bedre. En reservasjonsrett mot registrering ut over det som er nødvendig for oppgjørstjenesten (KUHR) vil ikke nødvendigvis hindre at det samles nok data til å gi et langt bedre styringsgrunnlag enn det man har i dag. Vi mener også at man har valgt den mest inngripende løsningen, uten å først ha testet ut hvilken virkning den mindre inngripende varianten ville hatt. Departementet har hatt mulighet til å i første omgang opprette et KPR med en generell reservasjonsadgang. Dersom innføringen av en generell reservasjonsrett mot opplysninger (som ikke er nødvendige for finansieringsformål) fører til at formålet med KPR ikke oppnås, kan det gjøres nødvendige endringer i ettertid. En slik beslutning vil da være basert på faktisk kunnskap om omfanget av reservasjon og faktiske virkninger av dette. En slik mulighet er ikke drøftet eller vurdert i forslaget. Vi presiserer at vi har forståelse for at enkelte opplysninger uansett vil være nødvendige for å oppnå definerte formål. Dette gjelder for eksempel de primære formålene med dagens KUHR, som er å administrere oppgjørsrefusjoner. Behandling av opplysninger til dette formålet er hjemlet i folketrygdloven. Inkludering av opplysninger knyttet til dette formålet kan det uansett ikke gis reservasjonsadgang for. b) Reservasjonsrett mot utlevering Departementet har i Prop. 106 L ( ) og gjennom stortingsbehandlingen forpliktet seg også til å vurdere hvorvidt det kan gis reservasjonsadgang for utleveringer av data fra 10 Datatilsynet har fått oppgitt dette tallet gjennom en telefonsamtale med en ansatt i Direktoratet for e-helse, antallet er ikke verifisert. 13

14 KPR. Den foreslåtte reservasjonsadgangen i 4-5, tredje ledd, er knyttet til direkte identifiserbare opplysninger. Det hevdes i høringsnotatet at det er vurdert ulike alternativer for reservasjonsrett. Departementet har landet på den begrensede retten til å reservere seg ut fra en begrunnelse knyttet til praktiske forhold slik Datatilsynet ser det. De uttaler at det vil være vanskelig gjennomførbart å skille mellom utlevering av data til forskjellige formål, og at dette kan ha uheldige konsekvenser. Det vil være krevende for borgerne å skille mellom ulike formål. Videre vil det stille større krav til dataforvaltningen i registeret i form av tidsbruk og faglig kompetanse om man gir en slik reservasjonsrett. Departementet mener imidlertid at det vil være lettere for befolkningen å forstå og lettere for forvaltningen å praktisere en reservasjonsadgang som er knyttet til fødselsnummer. Departementet antar at det er tilfeller hvor opplysninger kan knyttes til en bestemt person gjennom fødselsnummer at behovet for å ha kontroll over bruken er størst. Vi er for det første ikke enige i en slik forståelse av innholdet i KPR. Vår vurdering er at dette detaljerte og omfattende registeret i aller høyeste grad vil være indirekte identifiserbart i de fleste tilfeller selv om navn og fødselsnummer holdes adskilt, se over i punkt 8. Datatilsynet er heller ikke enige i at man kan legge til grunn at valgmulighetene vil være vanskelige for folk å forstå. Dette vil kunne avhjelpes gjennom god informasjon til befolkningen, og gode nettbaserte løsninger for å gjennomføre reservasjonen. Selv om dette skulle være tilfelle, kan det ikke begrunne løsningen som innebærer mindre grad av selvbestemmelse. Den må være begrunnet i hensynet til at samfunnsnytten oppveier for de ulempene den enkelte blir utsatt for ved å ikke ha rett til å bestemme over opplysninger om seg selv. En reservasjonsrett mot utlevering av indirekte identifiserbare data vil ikke være til hinder for at den databehandlingsansvarlige kan produsere statistikk og relevante oversikter som kan utleveres til kommuner for planlegging, styring og evalueringsformål. Den databehandlingsansvarlige kan sammenstille data med opplysninger fra andre registre uten å utlevere indirekte identifiserbare data. Det er foreslått en reservasjon mot inkludering av andre opplysninger enn KUHR og IPLOS, men at administrative opplysninger uansett må registreres. I så fall vil reservasjon mot utlevering av indirekte identifiserbare data være uproblematisk fordi man alltid vil kunne justere for de som har reservert seg på samme måte som man kan justere for de som har reservert seg mot utlevering av direkte identifiserbare data. 10) Tilfredsstillende informasjonssikkerhet og personverntiltak Tilfredsstillende informasjonssikkerhet er en forutsetning for å oppfylle kravene i gjeldende rett, men utligner ikke inngrepet i grunnleggende personverninteresser. 14

15 Nivået av informasjonssikkerhet skal bestemmes ut fra en risikovurdering. Her er risikoen konsentrert rundt interne brudd som for eksempel urettmessig tilgang til registerdata (utilsiktet eller såkalt snoking). Helse- og omsorgsdepartementet slår fast at det forutsettes at KPR skal ha god informasjonssikkerhet. Vi kan imidlertid ikke se at departementet har synliggjort hvilken risiko det innebærer å samle opplysninger på en slik måte og i et slikt omfang som det er planlagt for KPR. Det vises til enkelte elementer av interne risikofaktorer, som f.eks. hindre at man får tilgang til identitetsopplysninger uten tjenstlig behov. Datatilsynet mener at KPR kan være utsatt for betydelig risiko som ikke går frem av høringsnotatet eller andre dokumenter i tilknytning til opprettelsen av registeret. Detaljene i informasjonssikkerheten hos den databehandlingsansvarlige vil naturlig nok ikke drøftes i et forskriftsarbeid, men vi mener at en overordnet risikovurdering er helt sentral i forskriftsarbeidet, og særlig under personvernkonsekvensvurderingene. Vi er kritiske til at det ikke er vurdert hvilke eksterne trusler et register som KPR kan bli utsatt for, som for eksempel cyberkriminalitet. Registeret vil inneholde verdier som det er viktig å beskytte, også utover for personvernhensyn. Vi stiller spørsmål ved om KPR er av en slik karakter at det burde vært vurdert etter sikkerhetsloven. Vi mener at det er utilstrekkelig å vise til informasjonssikkerheten som allerede finnes i eksisterende registre. Samfunnets utvikling tilsier at det er behov for å gjøre nye risikovurderinger og bygge opp en informasjonssikkerhet som på best mulig måte tar høyde for nye og aktuelle trusler. a. Krav om innebygget personvern I Prop. 106 L ( ) omtales innebygd personvern, og departementet forutsetter at registeret skal baseres på systemer og løsninger som er i tråd med disse prinsippene. Det slås fast at betydningen av innebygd personvern vil bli nærmere omhandlet i forskriftsarbeidet 11. Vi kan ikke se at temaet innebygd personvern er omhandlet i høringen, utover at det i punkt 4.9 slås fast at prinsippene for innebygd personvern skal inngå som naturlige elementer i etablering og utvikling av helseregistre, og at KPR derfor skal baseres på systemer og løsninger med innebygget personvern. Vi anser det som en stor svakhet at disse prinsippene fastholdes som viktige, uten at det i høringsnotatet vies noe plass for å beskrive hva dette innebærer i praksis for løsningen i KPR. b. Kryptering 11 Prop. 106 L( ) s

16 Departementet beskriver en løsning med separering av identitetsopplysninger fra helseopplysningene, og identitetsopplysningene skal lagres kryptert. Dette er et sikkerhetstiltak som er pålagt i helseregisterloven 21, annet ledd, og det er ikke adgang til å fravike kravet gjennom forskrift. Datatilsynet mener derfor at forslagets 5-2, første ledd ikke er nødvendig. c. Logging av bruk I forslaget til KPR-forskrift 5-2 legges det opp til logging av elektroniske spor ved tilgang til direkte identifiserbare helseopplysninger i registeret. Departementet fremhever at NPR har tilsvarende informasjonssikkerhetsløsning, og at denne er meget god 12. Datatilsynet mener at dette er direkte feil, og at det er en vesensforskjell på kravene til å føre logg mellom NPR og KPR. Plikten etter NPR-forskriften er betydelig strengere enn forslaget om logging i KPR. NPR-forskriften pålegger i 4-2, annet ledd, logging av elektroniske spor ved all tilgang til registeret. Tilsvarende krav gjelder for Hjerte- og karregisteret, som er det nyeste registeret som er opprettet med hjemmel i helseregisterloven 9 og regulert i forskrift 13. Loggløsningen departementet foreslår er etter Datatilsynets vurdering i strid med den generelle bestemmelsen i helseregisterloven 21, og kravene i personopplysningsforskriften 2-8 og De sistnevnte bestemmelsene krever at autorisert bruk og forsøk på uautorisert bruk av informasjonssystem registreres. Hvor omfattende logging det er behov for, vil bero på en risikovurdering av de aktuelle behandlingene av opplysninger som foretas. Vi kan legge til grunn at den behandlingen av opplysninger som KPR skal gjøre, etter en risikovurdering vil ha behov for en forholdsvis omfattende registrering av bruk av systemet. Sett hen til dette registerets karakter og risiko for identifisering av enkeltpersoner i datasettet, vil den kravet om logging strekke seg betraktelig lenger enn til kun tilfeller hvor det har vært tilgang til direkte identifiserbare data. Datatilsynet vil påpeke at kravet til registrering av bruk av registeret skal ivareta flere hensyn, ikke bare for å avdekke urettmessig intern tilgang til data. En logg bør også være egnet til å oppdage forsøk på uautorisert bruk fra eksterne. 12 Høringsnotatet s Jf. hjerte- og karregisterforskriften 4-3, annet ledd. 16

17 Datatilsynet har nylig gjennomført brevkontroller med landets sentrale helseregistre, og våre undersøkelser viser at regelverkets krav om loggføring ikke er tilstrekkelig ivaretatt i de fleste registrene. Vi er kritiske til at departementet legger opp til en løsning for KPR som synes å være i tråd med hvordan loggføring i praksis gjøres i dag i registrene, og ikke i tråd med de kravene som følger av regelverket. Vi mener at det ikke er anledning til å gjennom forskrift begrense pliktene som følger av helseregisterloven 21, jf. også 6 og 8. Forslagets 4-2, annet ledd må følgelig anses å være lovstridig. 11) Utleveringer fra registeret Det fremstår for Datatilsynet som om det foreslås et system for utlevering av data fra KPR som i stor grad samsvarer med de øvrige registrene. Retten til reservasjon mot utlevering som følger av 4-5, tredje ledd er omtalt over. Datatilsynet mener at det er noe uklart hvilken av utleveringsbestemmelsene som regulerer tilfeller hvor utleveringen er basert på konsesjon fra Datatilsynet eller forhåndsgodkjenning fra REK, altså andre tilfeller enn de utleveringene som registeret selv hjemler. Dette må etter vår vurdering presiseres nærmere i forskriften. I 4-10 ilegges registeret en plikt til å føre oversikt over utleveringer av data. Denne oversikten skal oppbevares i minst fem år etter utleveringen. Datatilsynet forstår ikke hvorfor denne oppbevaringen skal være begrenset i tid. Dersom denne fristen følges, vil man kunne miste metadata om registeret som kan være verdifull for å vurdere nytteverdi av registeret over tid. Fristen vil å også medføre en begrensning av retten til informasjon for de registrerte, som kun vil kunne få innsyn i utleveringer som er gjort i en bestemt og forholdsvis kortvarig periode. Vi foreslår derfor at plikten til å oppbevare en slik oversikt ikke skal være tidsbegrenset. Forskriften 4-11, annet ledd åpner opp for at sammenstilte data etter 4-2 kan oppbevares i inntil 10 år i registeret. Det skal videre være adgang til å gjenbruke slike datasett i særlige tilfeller. I kommentarene til 4-11 går det frem at dette kan være aktuelt for forløpsdata, hvor det er nedlagt store ressurser med å utarbeide datasett og hvor flere tjenester sees i sammenheng. Det skal være Helsedirektoratet som databehandlingsansvarlig som skal vurdere om det foreligger særlige tilfeller. Videre presiseres det at sammenstilte datasett, jf. 4-2 kan inneholde opplysninger som ikke dekkes av forslagets 2-1. Departementet åpner i denne bestemmelsen for en tidsbegrenset lagring av data i registeret som ikke er dekket av 2-1. Vurderingen av i hvilke tilfeller dette skal være aktuelt for, skal overlates til Helsedirektoratet. Denne løsningen er Datatilsynet kritiske til. Formålet med KPR skal i samspill med oppregningen i 2-1 utgjøre absolutte grenser for hva som kan lagres i registeret. De nærmere 17

18 detaljene om bruk av registeret reguleres i forskrifts form. Beslutningen om utvidelse av innholdet og formålet kan etter Datatilsynets mening ikke overlates til Helsedirektoratet som databehandlingsansvarlig. Dette vil i praksis si at prinsippene i helseregisterloven om kravet til demokratisk kontroll med inngripende behandlinger kan omgås. Dette vil være i strid med helseregisterlovens grunnleggende krav og prinsipper, selv om lagringen skal være tidsbegrenset. Vi mener at hjemmelen som presenteres i 4-11, annet ledd ikke kan begrunnes i registerets hovedformål som fremgår av 1-1, annet ledd. Inkludering av data utover for å oppfylle hovedformålet er ikke tillatt. Det kan ikke legges opp til en mulighet for å omgå dette grunnleggende prinsippet i KPR gjennom databehandlingsansvarliges beslutninger. Datatilsynet vil presisere at vår fortolkning ikke er til hinder for at det gjennomføres forløpsstudier utenfor registeret, dersom de aktuelle behandlingene har nødvendige tillatelser til dette. 12) De registrertes rettigheter Forskriften regulerer ikke de registrertes rettigheter særskilt. Disse rettighetene følger av helseregisterloven, og Datatilsynet er enig i at det ikke er nødvendig å gjenta de i forskriften. 2-2 inneholder særlige rettigheter som ikke følger av det generelle regelverket. Slik bestemmelsen er utformet gir den liten veiledning om pasientenes rettigheter, med mindre pasientene har kunnskap om flere helselover og forskrifter. Datatilsynets erfaring fra tilsyn med de sentrale helseregistrene, er at det ikke gis informasjon til allmennheten slik helseregisterloven 23 forutsetter. For KPR som skal gi befolkningen en viss grad av valgfrihet, vil informasjonen de får være helt avgjørende. Bestemmelsen regulerer viktige rettigheter for de registrerte, og den bør utformes på en mer forståelig måte for befolkningen. 18

19 13) Plassering av databehandlingsansvaret hos Helsedirektoratet Databehandlingsansvaret er foreslått plassert hos Helsedirektoratet. Direktoratet vil ha mange roller knyttet til registeret, blant annet som ansvarlig for forvaltningen av registeret samtidig som de vil være ansvarlig for mange av formålene registeret skal oppnå. Datatilsynet har flere steder i høringssvaret påpekt hvilke problemstillinger vi ser med å plassere ansvaret hos helsemyndighetene, spesielt med tanke på alle beslutningene knyttet til registerets omfang og formål som er overlatt til den databehandlingsansvarlige. En løsning som legger så mange roller knyttet til registeret samlet på ett sted vil stille strenge krav til transparens i beslutninger og beslutningsgrunnlag. Med vennlig hilsen Bjørn Erik Thon direktør Camilla Nervik seniorrådgiver Kopi: Kommunal- og moderniseringsdepartementet v/statsforvaltningsavdelingen Postboks 8112 Dep, 0032 OSLO 19