1. Forslag til endringer i helseregisterloven



Like dokumenter
Det juridiske rammeverket for helseregistre

Deres referanse Vår referanse Dato 19/ / /SLI

Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO

Høringsuttalelse - Forslag til endringer i sprøyteromsordningen

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/ / /CGN 9. april 2013

Vår referanse (bes oppgitt ved svar) /EGA 11/ /CGN

Deres referanse Vår referanse (bes oppgitt ved svar) Dato /MAL 09/ /CBR 10. mars 2009

Datatilsynet slutter seg til en tilnærming hvor kjernejournalen gradvis innføres.

Kommentarer til bestemmelser og temaer i vernepliktsforskriften

Rettslig regulering av helseregistre

Vår referanse (bes oppgitt ved svar)

Side 1 av 5. Storgata Oslo. Helse- og omsorgsdepartementet Postboks 8011 Dep Oslo

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/443-13/ /RCA 31. mars 2014

Innst. 373 L. ( ) Innstilling til Stortinget fra helse- og omsorgskomiteen. 1. Sammendrag. Prop. 106 L ( )

Kunngjort 28. august 2017 kl PDF-versjon 30. august 2017

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Vår referanse (bes oppgitt ved svar)

Høringssvar fra Datatilsynet - endringer i politiregisterloven og forskriften - implementering av direktiv (EU) 2016/680

Deres referanse Vår referanse Dato 17/ / /CDG

Hvilken betydning har personvernforordningen på helseområdet

Høringsuttalelse på forslag til forskrift om system for rapportering av bivirkninger av legemidler (bivirkningsregisterforskriften)

Personidentifiserbart Norsk pasientregister

Medisinske kvalitetsregistre - hva betyr nytt lovverk Normkonferansen

Pasientjournalloven og helseregisterloven

Høringsuttalelse - forskrift om kommunalt pasient- og brukerregister - KPR - Helse- og omsorgsdepartementet

Synspunkter på Gode helseregistre bedre helse

FYLKESMANNEN I OSLO OG AKERSHUS Helseavdelingen

12/ / /JSK 7.

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Datatilsynet viser til høringsbrev av 4. juli 2011 med vedlagt høringsnotat.

Juridisk regulering av helseregistre brukt til kvalitetssikring og forskningsformål

Saksbehandler: Mari Kristine Rollag Arkiv: G10 &13 Arkivsaksnr.: 14/ Dato:

Rettslig grunnlag for behandling av helseopplysninger til kvalitetssikring og forskning

5-7fiSDEPARTEMENT. 23 N11117nng. Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO. Avp/K0N-rfpc14: / ". Obk NR ARKIVK-UDE:

Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven 26

Høringssvar: Forslag til forskrift om Norsk helsearkiv og Helsearkivregisteret

Eks7. Pics. Adressater i henhold til liste. Helseforskningslovens virkeområde

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

16/ /KEK Høring - NOU 2016: 24 Ny straffeprosesslov - Justis- og politidepartementet

Vår referanse (bes oppgitt ved svar)

Vi viser til Finansdepartementets høringsnotat av 27. mars 2015 hvor forslag til ny folkeregisterlov sendes ut på offentlig høring.

BINDAL KOMMUNE Helse- og omsorgssektoren Sørfjordveien 14 B 7980 Terråk

Personidentifiserbart Norsk pasientregister. DRG-forum, 6. mars 2007

Høring av forslag til endringer i opplæringsloven og privatskoleloven

Høringsuttalelse - Nasjonal strategi for persontilpasset medisin i helsetjenesten

HVEM ER JEG OG HVOR «BOR» JEG?

Direktoratet for e-helse: Høringssvar på forskrift om befolkningsbaserte helseundersøkelser

Høring - Utkast til forskrift om innsamling og behandling av helseopplysninger i nasjonalt register over hjerte- og karlidelser

Krav til kvalitetsregistre. Helge Veum, senioringeniør 7. september 2010 Kvalitetsregisterkonferansen, Trondheim

Ny pasientjournallov endringer og muligheter

Helse-og omsorgsdepartementet. Høring: Forslag til endringer i egenandelsregisterforskriften

Vår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012

Betydningen av personvern i helsesektoren. Cecilie L. B. Rønnevik, seniorrådgiver Tromsø 16. juni 2009

Kvalitetsregistrene i det nasjonale registeret for hjerte- og karlidelser. Lov og forskrift

Deres ref. Vår ref. Dato /ATG 10/ Vi viser til Helse- og omsorgsdepartementets (HOD) brev av om ovennente.

PERSONVERN OG DELING FRA KVALITETSREGISTRE

Høringsnotat: Enklere tilgang til helseopplysninger for kvalitetssikring av helsehjelp og egen læring

Helsedirektoratet

Vi viser til brev av 7. november 2016 fra Barne- og likestillingsdepartementet hvor NOU 2016:16 Ny barnevernslov sendes ut på høring.

Regelrådets uttalelse. Om: Høyring av forslag om endringar i reglane om informasjonshandsaminga i Skatteetaten Ansvarlig: Finansdepartementet

Styresak. Forslag til vedtak. Føretak: Helse Vest RHF Dato:

DRAMMEN KOMMUNE. Postmottak HOD

Helse- og omsorgsdepartementet Kultur- og kirkedepartementet. Deres ref Vår ref Dato /EMK

Rettslig regulering av helseregistre. Dana Jaedicke juridisk rådgiver E-post:

IPLOS pseudonymt helseregister

Helse- og omsorgsdepartementet. Postboks 8011 Dep OSLO

Datatilsynets høringsuttalelse: Åpenhet om lønn - lønnsstatistikker og opplysningsplikt

NASJONALE HELSEREGISTRE - HVORDAN KAN DISSE BRUKES FOR Å BLI BEDRE? Veronica Mikkelborg Folkehelseavdelingen Helse- og omsorgsdepartementet

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Lovfortolkning - Helsepersonelloven 29c - Opplysninger til bruk i læringsarbeid og kvalitetssikring

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Ny postregulering - høringsuttalelse

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Vår ref. (bes oppgitt ved svar) 06/ AFL 28. juni 2006 HØRING - FORSKRIFT OM EIENDOMSREGISTRERING

Høringssvar: Forslag til forskrift om IKT-standarder i helse- og omsorgssektoren

likestillings- og inkluderingsdepartementet

Høringsnotat. Nytt kommunalt pasient- og brukerregister og enkelte endringer i helsepersonelloven

Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 Oslo Vår fil:b13aa-013 Vårt arkiv: 402 Saksbeh: Arnfinn Aarnes

Beskrivelse av prosjektet Formålet med det omsøkte prosjektet er todelt:

DET KONGELIGE KUNNSKAPSDEPARTEMENT JUSTISDFPARTENTfil. Vår ref /EMS. Vi viser til Justisdepartementets brev av 3. Juli d.å.

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

Regelrådets uttalelse. Om: Høring for NOU 2018:7 Ny lov om offisiell statistikk og Statistisk sentralbyrå Ansvarlig: Finansdepartementet

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Høring - NOU 2009:22 - Det du gjør gjør det helt - innstilling fra utvalg for bedre samordning av tjenester for utsatte barn og unge

Eksempel fra helseregistre

Endelig kontrollrapport

Datatilsynets høringsuttalelse - Forskrift om tilgang til helseopplysninger mellom virksomheter

Saksdokumenter - sak PS 0255/17. Høring - forskrift om befolkningsbaserte helseundersøkelser

Kontroll av reseptformidleren endelig kontrollrapport

Vår ref: 2011/ 67 Oslo, 1. november 2011

Helse- og omsorgsdepartementet. Høringsnotat. Forskrift om kommunalt pasientog brukerregister (KPR)

Hvilke krav stiller Folkehelseinstituttet ved søknad om data fra helseregistrene?

Kontroll hos SUSS - Senter for ungdomshelse samliv og seksualitet - Vedtak og endelig rapport

Brevkontroll med sentrale helseregistre Datatilsynets oppsummering.

Statenslegemiddelverk

Det må etableres gode og fremtidsrettede helseregistre som gir formålstjenlig dokumentasjon til kvalitetsforbedrende arbeid og forskning.

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar) /SVE 11/ /BSO

Transkript:

Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO Deres referanse Vår referanse Dato 15/2426 15/00723-2/CGN 05.10.2015 Nytt kommunalt pasient- og brukerregister Datatilsynets høringsuttalelse Datatilsynet viser til Helse- og omsorgsdepartementets høringsbrev av 2. juli 2015, hvor det foreslås endring i helseregisterloven 11, i tillegg til endringer av helsepersonelloven 42 og 43. 1. Forslag til endringer i helseregisterloven 1.1. Innledning Vi vil innledningsvis presisere at vi er positive til forslaget om å organisere og regulere sekundærbruk av personopplysninger fra den kommunale helse- og omsorgstjenesten på en bedre måte enn den er i dag. Vi støtter derfor forslaget om å etablere et nytt kommunalt pasient- og brukerregister. Høringsnotatet inneholder generelle utredninger av personvernkonsekvensene forslaget innebærer på et overordnet nivå. Det vises gjennomgående til at den nærmere reguleringen av innholdet i KPR vil skje gjennom forskriftsarbeidet. Det er derfor vanskelig for Datatilsynet å gjøre fullstendige vurderinger av hvilke personvernkonsekvenser forslaget vil innebære, både med tanke på hvordan registeret skal organiseres, brukes og aller mest knyttet til hvilke data registeret skal inneholde. Vårt svar bærer derfor preg av at vi må drøfte hypotetiske problemstillinger. Datatilsynet kan derfor fremstå som mer negative til opprettelsen av registeret enn det som hadde vært tilfelle om vi hadde hatt bedre oversikt over hva lovforslaget faktisk vil innebære. Vi vil i det følgende drøfte problemstillinger knyttet til de mulige konsekvensene opprettelsen av KPR vil ha for de registrertes personvern. Vår oppfatning er at man må ta stilling til de prinsipielle problemstillinger i denne omgangen, og at det er viktig med en debatt før man vedtar lovendringen. Dette vil sikre at sentrale personvernhensyn blir ivaretatt også i det videre forskriftsarbeidet hvor den nærmere reguleringen av registeret vil komme. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 www.datatilsynet.no 0034 OSLO

Formålene med KPR er meget vidt formulerte, og tjenestene som skal rapportere til registeret er mangfoldige og behandler mange forskjellige typer opplysninger om tjenestemottakere i forskjellige situasjoner. I forarbeidene til den nye helseregisterloven diskuteres lovens 11 og Stortingets kompetanse til å vedta nye registre. Det uttales at Stortinget bør involveres i etableringen av de mest personverninngripende registrene. Hjemmelen i 11 er avgrenset til de mest personverninngripende registrene. Det går frem at Stortingets lovvedtak vil være nødvendig ved etablering av nye, store, ikke-samtykkebaserte personidentifiserbare registre uten reservasjonsrett. Formålet med helseregisterloven 11 er å sikre at lovgiver skal være den som bestemmer at registrets formål og samfunnsnytten ved etableringen veier tyngre enn ulempen det medfører for befolkningen at gitte opplysninger registreres. Vi mener at et vedtak i Stortinget basert på foreliggende høringsnotat innebærer en fullmakt til å etablere et register som lovgiver ikke kjenner rekkevidden av når det gjelder personvernkonsekvenser. Datatilsynet mener det er uheldig å legge opp til at Stortinget skal vedta etableringen av et sentralt register over hele befolkningens bruk av den kommunale helse- og omsorgstjenesten, uten at det på forhånd foreligger en mer konkret oversikt over omfanget av opplysninger, hva som i utgangspunktet vil være nødvendige «kjernevariabler» og begrunnelse for hvorfor opplysningene er nødvendige og relevante. Datatilsynet foreslår at det videre lovarbeidet bør avventes inntil innholdet i og behandlingen av opplysninger i KPR er nærmere utredet, og at disse avklaringene kan ligge til grunn for lovvedtaket. Vi mener dette er nødvendig for å sikre den demokratiske kontrollen som en lovbehandling i Stortinget innebærer. Det kan være naturlig å avvente den videre behandlingen av forslaget til forskriftsutkast foreligger. 1.2. Datatilsynets vurdering av personvernkonsekvenser Datatilsynets oppgave er å belyse hvilke konsekvenser forslaget vil medføre, hvilke ulemper det eventuelt innebærer, hvordan disse ulempene anses avhjulpet i forslaget og foreslå løsninger for å kunne ivareta personvernet med færre ulemper. Når Datatilsynet skal vurdere hvilke konsekvenser forslaget medfører, gjennomgår vi tiltak knyttet til «personopplysningsvern». Når man bruker dette begrepet, siktes det til tiltak for å beskytte opplysninger man behandler på en sikker måte, blant annet gjennom å følge plikten til å ha tilfredsstillende informasjonssikkerhet. I tillegg ser vi på personvernkonsekvenser ut fra den registrertes mulighet for kontroll og innvirkning på behandling av opplysninger om en selv. I forslaget vises det til de alminnelige kravene og vilkårene for å kunne behandle personopplysninger som følger av blant annet helseregisterloven 6, og at disse vilkårene åpenbart må ligge til grunn ved etableringen av KPR. 2

Departementet viser også til at personvernet må ivaretas gjennom tiltak som kryptering, innebygd personvern i løsningen, informasjonssikkerhetstiltak og den registrertes rett til innsyn i registeret og i logg. Disse sidene av personvernretten følger av lovpålagte plikter som er gitt i personvernlovgivningen og i helselovgivningen, og det er for Datatilsynet selvsagt at disse kravene også skal etterleves i KPR når det først behandles opplysninger. Datatilsynet mener imidlertid at man også før lovhjemmelen gis må ta diskusjonen knyttet til inklusjonskriteriene i registeret, hvilke opplysninger man skal behandle, og om disse i det hele tatt skal behandles. Vurderingene må gjøres for alle aktuelle elementer man ønsker å inkludere i KPR. Utgangspunktet i personvernretten er at man har rett til respekt for sitt privatliv, og at behandling av personopplysninger ikke skal skje med mindre det er særskilt tillatt. Datatilsynet oppfatter at avgrensningen av registerets innhold skal knyttes opp mot formålet til KPR. Formålet med KPR skal være å gi grunnlag for planlegging, styring, finansiering og evaluering av kommunale helse- og omsorgstjenester. Opplysningene i registeret skal være en viktig datakilde for statistikk, helseanalyser, kvalitetsforbedringsarbeid, beredskap, forebyggende arbeid og forskning som er nødvendig for å sørge for gode helse- og omsorgstjenester. KPR skal videre avhjelpe utfordringen som vi har i dag ved at det ikke er god nok oversikt over pasienter og brukere med flere sykdommer og behov for tjenester fra flere behandlere og flere nivåer i helse- og omsorgstjenesten. Opplysningene i KPR skal være knyttet til kommunale helse- og omsorgstjenester. I tillegg er det ønskelig å inkludere data fra privatfinansierte tjenester. Hovedinnholdet i registeret foreslås knyttet til kommunenes og fylkeskommunenes oppgaver. Registeret skal inneholde kodet og strukturert informasjon, og behandlingen av opplysninger skal reguleres nærmere i forskrift. Datatilsynet anser det som en svakhet ved høringen at den ikke i større grad vurderer hvilke opplysninger fra de forskjellige kommunale tjenesteområdene man ønsker å inkludere i KPR. Vi støtter at det er behov for å dokumentere de tjenestene kommunen yter, men mener at det må diskuteres hva det er nødvendig å dokumentere på individnivå og med direkte identifiserbare opplysninger. Når forslaget ikke inneholder klare grenser for hvilke opplysninger som er nødvendige for å oppnå formålet med registeret, åpner lovforslaget for en hjemmel til komplett kartlegging av kommunens innbyggere. 3

Som eksempel vil vi trekke frem svangerskapskontroll, besøk på helsestasjon, barselvisitt i hjemmet, barns besøk hos helsesøster på skolen, kontakt med BUP, besøk hos tannpleier og tannlege og selvfølgelig fastlege og private helsetjenester. Dette er opplysninger som i utgangspunktet gjelder friske barn og foreldre. I tillegg kommer alle opplysninger som gjelder barn med spesielle behov, i tillegg til voksne og eldre med pleie og omsorgsbehov. En slik kartlegging av kommunens innbyggere innebærer en vesentlig endring fra hva som tidligere har vært ansett som nødvendig for å oppnå formålene med sentrale helseregistre. Datatilsynet har forståelse for at det er nødvendig å få en oversikt over omfanget av tjenester som faktisk ytes i kommunen, men det fremgår ikke av lovforslaget om det for eksempel skal registreres at et barn har møtt til ett års kontroll, eller om det skal registreres vekt, høyde, hodeomkrets, om barnet er aktivt, om det sover godt om natten, normal utvikling eller ikke. For mange formål vil slike opplysninger være svært relevante, men for å vurdere personvernulempen ved etablering av et KPR må det avklares i hvilken grad slike opplysninger vil være nødvendige. Departementet fremhever at KPR vil utvikles over tid, og at behovet for data vil variere. En løsning hvor det ikke spesifiseres nærmere hvilke data registeret skal inneholde er vi sterkt uenige i. Det er av avgjørende betydning at innholdet i KPR er avgrenset til et nærmere bestemt innhold. Det brede omfanget av tjenester som skal omfattes i KPR utgjør en risiko for at det vil registreres omfattende opplysninger om borgerne i alle livsfaser. Det er derfor helt nødvendig at innholdet i KPR er detaljert regulert gjennom forskriften. På den andre siden påpeker departementet at KPR kun skal inneholde kodet og strukturert informasjon, og det skal ikke inneholde fortrolige samtalesitater fra den registrerte. Datatilsynet forstår at dette er et premiss for at registeret skal kunne brukes etter sin hensikt, og støtter dette forslaget. Samtidig mener vi det er nødvendig å bemerke at en slik koding og standardisering av opplysninger som skal registreres stiller krav til enhetlig bruk av koder og en felles forståelse av hvordan koder skal benyttes og registreres. Avvikende praksis i bruk av kodeverket vil medføre at opplysningene i registeret ikke er sammenliknbare og ikke egnet til å oppnå formålet med registeret. KPR blir gjennom høringen sammenlignet med Norsk pasientregister. NPR inneholder klart spesifiserte opplysninger knyttet til sykdom og behandling av sykdom i spesialisthelsetjenesten. KPR vil omfatte opplysninger som ikke kun er knyttet til sykdom og vi anser at formålet med KPR og tjenesteområdene det skal dekke er meget omfattende. Risikoen med slike vide formål er at KPR vil inneholde opplysninger om store deler av innbyggernes liv, både med tanke på helse, behov for støtte i forskjellige livsfaser og praktisk bistand. NPR som er knyttet opp til helsetjenester i spesialisthelsetjenesten har et betraktelig mer spesifikt formål. Til forskjell fra NPR skal KPR inneholde opplysninger om friske mennesker, og inkluderingskriteriet skal være at man mottar kommunale helse- eller omsorgstjenester. 4

Etableringen av dette registeret kan relateres til vedtakelsen av lovhjemmel til Medisinsk fødselsregister og Dødsårsaksregisteret. Da disse registrene ble etablert ble vurderingen av samfunnsnytten i forhold til personvernulempen basert på at det forelå en oversikt over hvilke opplysninger som måtte registreres og hvor de skulle hentes fra. Slik formålet er formulert i høringsnotatet, sammenholdt med hvilke tjenester KPR skal inkludere, innebærer lovforslaget et potensielt stort inngrep i personvernet til de registrerte. Vi er derfor ikke enige i departementets konklusjon 1 om at personvernulempen for den enkelte vil være begrenset. Men den endelige vurderingen av personvernkonsekvensene kan først gjøres når det er klart hvilke opplysninger registeret skal inneholde. 1.3. Valg av registerform for KPR Datatilsynet ser det som positivt at departementet fremhever at krypteringen i det foreslåtte KPR skal innebære at fødselsnummer krypteres separat og oppbevares utilgjengelig og adskilt fra andre, ikke identifiserende data, jf. Innst. 193 L (2009-2010). I valg av registerform savner Datatilsynet at forhold utover sikring av personopplysninger er drøftet. Som det også fremgår også andre steder i denne høringsuttalelsen, ser Datatilsynet spørsmålet om det er forsvarlig å samle et slikt omfattende datasett som her foreslås på statens hånd som det sentrale spørsmålet som må besvares. Statens kunnskap om innbyggerne innebærer en inngripen i innbyggernes personvern, og det foreslås her å gi lovhjemmel til et register med svært uklart omfang, sensitive personopplysninger og med en registerform som innebærer at identitet er kjent for den databehandlingsansvarlige. Etter Datatilsynets syn er det ikke gjort en forsvarlig vurdering hvor dette belyses. I vurderingen belyser departementet utfordringene som følger dersom en velger en pseudonym registerform. Datatilsynet savner at man i notatet tar stilling til om andre registerformer basert på indirekte identifiserbare opplysninger kan ivareta formålet med registeret. Vi bemerker at vi forstår at de deler av det foreslåtte registeret som skal ivareta formålet til dagens KUHR naturlig etableres i direkte identifiserende form. 1.4. Om den tekniske løsningen i KPR Departementet foreslår at dagens to rapporteringsløsninger bør samles, utvides og samordnes under overbygningen av ett kommunalt helse- og omsorgstjenesteregister. Det uttales på høringens side 24 at KPR foreslås etablert med utgangspunkt i de eksisterende registrene KUHR og IPLOS, i tillegg til at det skal inneholde andre opplysninger. Når det gjelder merknaden om at det er ønskelig å finne løsninger som ikke innebærer dobbeltregistreringer for kommunens ansatte, er det naturlig nok lett å slutte seg til dette. Men etter Datatilsynets syn bør ikke dette tillegges vekt i spørsmålet om det skal etableres ett eller flere registre. Å unngå byrdefull dobbeltrapportering fra helsetjenesten er mulig ved standardisering og felles rapporteringsløsninger. 1 Høringsnotatet s. 41 5

1.5. Særlig om KUHR KUHR er i dag et saksbehandlingssystem med hjemmel i folketrygdloven. I tillegg benyttes dataene fra dette registeret til forsknings- og kvalitetssikringsformål. HOD innførte med ny helseregisterlov og pasientjournallov begrepene primær- og sekundærbruk av helseopplysninger. KUHR er i dag et register som benyttes for begge disse formålene. Datatilsynet er positiv til at bruken data fra KUHR skal reguleres nærmere. Vi mener at dagens løsning er uheldig, ettersom det skjer utstrakt bruk av KUHR uten at slik sekundærbruk har vært definert som formålet med dette registeret. Datatilsynet har tidligere stilt spørsmål til Helsedirektoratet om hvorvidt den bruken vi i dag ser av KUHR-data har vært i tråd med forbudet mot å bruke data til uforenelige formål, jf. personopplysningsloven 11. Departementet legger frem muligheten for at bruken av KUHR kan reguleres gjennom to forskrifter. Datatilsynets oppfatning er at det med særskilt regulering vil være enklere å skille de to formålene fra hverandre. Det vil også være mindre risiko for at KPR inkluderer opplysninger som ikke er relevante for å oppnå registerets formål. Som eksempel inneholder KUHR data fra spesialisthelsetjenesten som ikke er tenkt inkludert i KPR. KUHR er i dag hjemlet i folketrygdloven. For å sikre at behandlingen av data har tilstrekkelig hjemmel, mener vi at det er nødvendig at endringer i folketrygdloven ikke gjennomføres før ny forskrift trer i kraft. 1.6. Særlig om IPLOS Vi støtter departementets beslutning om å ikke inkludere IPLOS-data som er innsamlet før lovbestemmelsens eventuelle ikrafttreden. Datatilsynet vil trekke frem at en positiv følge av lovforslaget er at man må gjennomgå innholdet i dagens IPLOS og vurdere hvilke data man ønsker å inkludere i KPR. Vi legger til grunn at i det i den forbindelse vil bli gjort evalueringer av dagens innhold og nytteverdien man har hatt av dette før man viderefører den etablerte IPLOS-rapporteringen. IPLOS ble opprinnelig opprettet for å kunne ivareta formål som tilsvarer de formålene som KPR nå skal ivareta. Registeret og hvilke data som skulle inkluderes var gjenstand for bred debatt når det ble opprettet. Diskusjonene rundt etablering av IPLOS var ikke bare knyttet til informasjonssikkerhet, men også til det å i det hele tatt registrere slike opplysninger om brukere og tjenestemottakere. 6

«Politikere må ikke snakke om kryptering og anonymisering for å gjøre IPLOS mer spiselig. Hele tanken om hvordan brukere og pasienter registreres blir helt feil.» 2 Resultatet var at det ble gjort en del endringer i hvilke opplysninger som skulle inkluderes. IPLOS-forskriften 1-8 regulerer hvilke opplysninger som kan inkluderes i registeret. Videre ble det valgt en forvaltning av registeret hvor innholdet skulle bestå av pseudonyme data. IPLOS er et pseudonymt helseregister slik dette var definert etter tidligere helseregisterlov. KPR foreslås opprettet som et direkte identifiserbart helseregister, og ikke som et indirekte identifiserbart helseregister som blant annet omfatter pseudonyme helseregister. Selv om det er krav om kryptering i sentrale helseregistre, betrakter likefullt Datatilsynet registre med indirekte identifiserende opplysninger som mindre inngripende for de registrerte, da direkte identifiserende opplysninger ikke er kjent for den behandlingsansvarlige. Dette sammenfaller med tilnærmingen i helseregisterloven, hvor slike registre kan opprettes med forskrift etter 9 b). Dersom KPR etableres med det samme datasett som dagens IPLOS, vil endringen representere en endring klart til det verre for personvernet, sett med hensyn til IPLOS-data isolert sett. Dette kan balanseres ved at datasettet i IPLOS begrenses i forhold til dagens. Vi ønsker å påpeke at i dagens IPLOS har den enkelte rett til å reservere seg mot at diagnoseopplysninger inkluderes. 3 Datatilsynet kan ikke se at denne retten til å reservere seg er tenkt videreført i KPR, men vi legger til grunn at denne innskrenkningen i selvbestemmelsesretten vil drøftes nærmere i forskriftsarbeidet. Den endelige diskusjonen om hvilke personvernkonsekvenser inkludering av IPLOS-data vil få, kan man først ta når det er klart hvilke opplysninger som skal inkluderes. Det vil være av helt sentral betydning at disse opplysningene er klart definerte på forhånd, og at behovet knyttes opp mot hvilke formål man skal oppnå med KPR. 1.7. Om inkludering av opplysninger fra privatfinansierte tjenester Departementet åpner også for at man også skal inkludere data fra helprivat finansierte tjenester, og departementet ber særlig om høringsinstansenes syn på dette. I høringsnotatet vises det også til at dette vurderes for NPR i følge med fremtidig revisjon av forskriften for NPR. Datatilsynet er negative til en slik innsamling av opplysninger, med mindre innsamlingen baseres på samtykke. Det offentlige er ikke involvert i ytelsen av disse tjenestene, og informasjon om bruk av tjenestene må i enda større grad enn de offentlig finansierte tjenestene, sies å være et forhold som ikke angår staten. Formålet å gi nasjonale helsemyndigheter kunnskap og oversikt, bør heller vurderes løst ved rapportering av anonyme 2 Laila Knutsen, Norges Handikapforbund til Aftenposten i fbm forslag om IPLOS-forskrift 3 Helsedirektoratets veileder punkt 2.5 7

aggregerte opplysninger. En tvungen innrapportering av helseopplysninger ved tjenestekjøp hvor det offentlige ikke er en part, vil utfordre personvernprinsippet om privatlivets fred. 1.8. Samtykke eller reservasjonsrett Datatilsynet støtter departementets forslag om å vurdere reservasjonsrett for enkelte typer datavariabler i KPR. En slik rett til reservasjon vil også ha stor betydning for vår vurdering av eventuelle ulemper for den enkeltes personvern. Departementet viser i høringen til et minimalitetsprinsipp i personvernretten, det vil si at det ikke skal behandles flere opplysninger enn det som er nødvendig for å nå formålet. Dette prinsippet gjelder også ved inkludering av data i KPR. Men det ambisjonsnivået dette registeret anses å ha, vil vi legge til grunn at det uansett vil kunne behandles data som er nødvendige for formålet - uten samtykke. Men dette er det vanskelig å ta stilling til uten å vite hvilke typer opplysninger departementet ser for seg skulle være underlagt reservasjonsadgang. 1.9. Utlevering og bruk av data fra KPR Departementet trekker fram at utlevering og bruk av data skal skje i samsvar med helseregisterlovens bestemmelser. Datatilsynet er ikke bekymret for at bruken av data fra KPR skal skje i strid med intensjonene i dagens personvernlovgivning. Vi har derfor ikke merknader knyttet til dette punktet i denne høringsrunden. 1.10. Innebygd personvern i KPR Datatilsynet mener det er positivt at HOD presiserer at oppbyggingen av KPR skal skje etter prinsippet om innebygd personvern, og at dette innebærer at ivaretakelse av personvernet vil bygges inn i systemets struktur og være et viktig hensyn ved valg av tekniske løsninger. Vi ser frem til å se løsningene som velges for etterlevelse av dette prinsippet. Datatilsynet støtter videre utgangspunktet om at "delregistre" som inngår i KPR kan skilles fra hverandre avhengig av formål og bruk. Datatilsynet legger til grunn at tilnærming med tilpassede "delregistre" også legges til grunn for identitetshåndteringen internt i registret. 2. Forslag til endringer i helsepersonelloven Departementet foreslår å endre innholdet i helsepersonelloven 42 og 43, som regulerer adgangen til å rette eller slette pasientjournalopplysninger. Etter dagens regelverk, er Fylkesmannen forpliktet til å innhente Datatilsynets uttalelse før krav om sletting eller retting avgjøres. Datatilsynet behandlet ca. 50 slike slettesaker i 2014, og hittil i 2015 har vi mottatt ca. 30 saker til behandling. 8

Våre uttalelser i disse sakene henviser i de aller fleste tilfellene til Fylkesmannen for vurdering av kravet om sletting. Kravene er som regel begrunnet i uenighet om faktiske forhold eller medisinskfaglige opplysninger, helsepersonellets vurderinger og forsvarlig praksis ved journalføring. De tilfellene Datatilsynet har anbefalt sletting i er i hovedsak knyttet til uheldige formuleringer eller til medisinske opplysninger som åpenbart må anses misvisende eller uverifiserte. Datatilsynet er ikke kjent med hvilken betydning våre uttalelser får i Fylkesmannens endelige vedtak. Datatilsynet støtter derfor departementets forslag om at plikten til å innhente uttalelse fra Datatilsynet bør bortfalle. Med vennlig hilsen Bjørn Erik Thon direktør Camilla Nervik seniorrådgiver Kopi: Kommunal- og moderniseringsdepartementet v/statsforvaltningsavdelingen Postboks 8112 Dep, 0032 OSLO 9

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding