Kontroll- og konsfitusjonskomiteen Stortinget 0026 OSLO. Spørsmål om oppfølging av Stortingets vedtak om kryptering av helseregistre

Like dokumenter
Innst. 338 S. ( ) Innstilling til Stortinget fra kontroll- og konstitusjonskomiteen

Forskrift om endring i Dødsårsaksregisterforskriften, Kreftregisterforskriften, Medisinsk fødselsregisterforskriften, SYSVAKregisterforskriften,

NASJONALE HELSEREGISTRE - HVORDAN KAN DISSE BRUKES FOR Å BLI BEDRE? Veronica Mikkelborg Folkehelseavdelingen Helse- og omsorgsdepartementet

Åpen høring i kontroll- og konstitusjonskomiteen onsdag den 19. mai 2010 kl. 9 Møteleder: A n d e r s A n u n d s e n (FrP) (komiteens leder) Sak:

folkehelseinstituttet

Eks7. Pics. Adressater i henhold til liste. Helseforskningslovens virkeområde

Personidentifiserbart Norsk pasientregister. DRG-forum, 6. mars 2007

Det juridiske rammeverket for helseregistre

Kvalitetsregistrene i det nasjonale registeret for hjerte- og karlidelser. Lov og forskrift

Eksempel fra helseregistre

Høring - Utkast til forskrift om innsamling og behandling av helseopplysninger i nasjonalt register over hjerte- og karlidelser

Personidentfiserbart pasientregister Øyvind Christensen /

FYLKESMANNEN I OSLO OG AKERSHUS Helseavdelingen

Gode helseregistre bedre helse

Modernisering av helseregistre - Utfordringer og løsninger. Kari Kapstad Teknisk prosjektleder Nasjonalt folkehelseinstitutt

5-7fiSDEPARTEMENT. 23 N11117nng. Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO. Avp/K0N-rfpc14: / ". Obk NR ARKIVK-UDE:

Helseforskningsrett med fokus på personvern

Deres referanse Vår referanse (bes oppgitt ved svar) Dato VM 10/ /bso 28. mai 2010

MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT. Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO.

Vår ref: / Deres ref: /MAL Dato:

Vår referanse (bes oppgitt ved svar) /EGA 11/ /CGN

Helseforskningsrett. Sverre Engelschiøn

Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 OSLO

Høringsuttalelse - Utkast til standard for tjenestebasert adressering del 3: Tjenestetyper (HIS :2017)

IPLOS pseudonymt helseregister

Deres referanse Vår referanse Dato 19/ / /SLI

Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven 26

Personidentifiserbart Norsk pasientregister

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Vår ref: Deres ref: Saksbehandler: Dato: 2012/ / / /HVE Sverre Uhlving

Det må etableres gode og fremtidsrettede helseregistre som gir formålstjenlig dokumentasjon til kvalitetsforbedrende arbeid og forskning.

Vår ref: 2011/ 67 Oslo, 1. november 2011

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Hvilke krav stiller Folkehelseinstituttet ved søknad om data fra helseregistrene?

Datatilsynet slutter seg til en tilnærming hvor kjernejournalen gradvis innføres.

Styresak /4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for Dokument 3:2 ( ), informasjon

Retningslinjer for utlevering av data fra Kreftregisteret

Kunngjort 28. august 2017 kl PDF-versjon 30. august 2017

Vår referanse (bes oppgitt ved svar)

Nytt fra MSIS Smitteverndagene Astrid Løvlie Fagkoordinator for MSIS, avdeling for smittevernregistre

VedrørendestatstilskuddNITH,Westerdalsog NISS

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Høring Forslag om innføring av meldeplikt for shewanellainfeksjoner og vibrioinfeksjoner til Meldingsystemet for smittsomme sykdommer

Hjerte- og karregisteret

Lovvedtak 76. ( ) (Første gangs behandling av lovvedtak) Innst. 295 L ( ), jf. Prop. 72 L ( )

Deres referanse Vår referanse (bes oppgitt ved svar) Dato /MAL 09/ /CBR 10. mars 2009

Retningslinjer for utlevering av data fra Kreftregisteret

Innst. O. nr. 85. ( ) Innstilling til Odelstinget fra helse- og omsorgskomiteen. Ot.prp. nr. 52 ( )

MSIS i dag og i fremtiden

Rapport om melding av pandemisk influensa A(H1N1), 15. juli 2010

1'i Helsedirektoratet

RETNINGSLINJER FOR UTLEVERING AV DATA FRA NORSK PASIENTREGISTER

Side 1 av 5. Storgata Oslo. Helse- og omsorgsdepartementet Postboks 8011 Dep Oslo

Forslag om etablering av et nasjonalt register over hjerte- og karlidelser og forslag til endring av taushetspliktsbestemmelsene i helsepersonelloven

Camilla Stoltenberg Lege, dr med Assisterende direktør. DAGENS HELSETALL Kvalitetsregisterkonferansen Tromsø

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/443-13/ /RCA 31. mars 2014

Hjertekarregisteret. Nasjonalt register over hjerte- og karlidelser. Kvalitetsregisterkonferansen 2010 Trondheim

Revisjonsdato: 18. desember 2014 Rapportdato: 6. mars 2015 (utkast), 25. mars 2015 (endelig, godkjent versjon)

Nødvendige godkjenningsinstanser

Databehandleravtaler

Haraldsplass. Svar på varsel om vedtak - Uautorisert uthenting av helseopplysninger gjennom leverandørenes fjerntilgang.

Resultater fra brukerundersøkelse blant brukere av MSIS

Krav til kvalitetsregistre. Helge Veum, senioringeniør 7. september 2010 Kvalitetsregisterkonferansen, Trondheim

Forskning basert på data fra Norsk pasientregister: Muligheter og utfordringer

Lagring av advarsler i personalmapper - Datatilsynets veiledning

Hjertekarregisteret og nasjonalt helseregisterprosjekt

Vår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012

Brevkontroll med sentrale helseregistre Datatilsynets oppsummering.

Høring om forskrift om befolkningsbaserte helseundersøkelser

Ot.prp. nr. 51 ( )

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Høringssvar fra Datatilsynet - endringer i politiregisterloven og forskriften - implementering av direktiv (EU) 2016/680

Forespørsel fra kontroll- og konstitusjonskomiteen om sak om nytt radiologisystem i Helse Sør-Øst

Innst. O. nr. 40. ( ) Innstilling til Odelstinget fra helse- og omsorgskomiteen. Ot.prp. nr. 49 ( )

Kommentarer til bestemmelser og temaer i vernepliktsforskriften

dagens helsetall strategi og overordnet handlingsplan

Endelig kontrollrapport Kreftregisteret / Janusbanken

Forslag til kombinert modell for helseregistre

2013/ /

Beskrivelse av prosjektet Formålet med det omsøkte prosjektet er todelt:

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

1. Forslag til endringer i helseregisterloven

Statsråden. Deres ref. Vår ref. Dato 12/

Omgjøring av vedtak om delvis avslag på søknad om endring av konsesjon til Regional Forskningsbiobank Midt-Norge

Ot.prp. nr. 59 ( )

Bioteknologinemnda The Norwegian Biotechnology Advisory Board. Deres ref: Vår ref: 03/ Dato:

Høringssvar på forslag til forskrift om endring av forskrift 29. juni 2007 nr. 742 om genetisk masseundersøkelse

Medisinske kvalitetsregistre - hva betyr nytt lovverk Normkonferansen

Innst. 351 L. ( ) Innstilling til Stortinget frå helse- og omsorgskomiteen. 1. Norsk helsearkiv og Helsearkivregisteret mv.

Endelig kontrollrapport

Gode helseregistre bedre helse om sentrale helseregistre

Saksbehandler: Mari Kristine Rollag Arkiv: G10 &13 Arkivsaksnr.: 14/ Dato:

Innledningsvis har Statens helsetilsyn noen generelle kommentarer til det foreliggende forslag.

UNIVERSITETET I BERGEN Regional komité for medisinsk og helsefaglig forskningsetikk, Vest-Norge (REK Vest)

// ARBEIDS- OG VELFERDSDIREKTORATET /

Tilgangskontroll i fugleperspektiv Tilgangskontroll i IT-systemer de fire A-er Administrasjon Autentisering Autorisasjon Audit (etterhåndskontroll) Av

Formidling av pasientinformasjon ny lovgivning (i forbindelse med pasientbehandling) NSH

Transkript:

3/22/2Ø1Ø 12 : 56 HOD -> Ø23313847 DO1 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT Statsråden Kontroll- og konsfitusjonskomiteen Stortinget 0026 OSLO Deres ref Vå ref Dato 201001027-/EGA W03.2010 Spørsmål om oppfølging av Stortingets vedtak om kryptering av helseregistre Det vises til brev av 03.03.2010 fra Stortingets kontroll- og konstitusjonskomite vedriarende kryptering av de sentrale helseregistrene. Jeg vil innledningsvis understreke at det ikke hersker tvil om at lovvedtak fattet av Stortinget skal følges opp av regjering og underliggencle etater. I det følgende besvares spørsmålene fra kontroll- og konstitusjonskomiteen. Kontroll- og konstitusjonskomiteen ber i sitt brev om begrunnelsen for at Regjeringen ved Helse- og omsorgsdepartementet ikke har sorget for at helseregistrener kryptert slik loven krever, og for hvilke tiltak som er iverksatt. Det har helt siden kravet om intern kryptering av direkte personidentifiserende kjennetegn i sentrale helseregistre ble vedtatt, vært arbeidet med løsninger for å oppfylle lovens krav, og dette arbeidet gis nå aller høyeste prioritet. Helse- og omsorgsdepartementet har sammen med de senfrale heiseregistrene igangsatt en omfattende prosess for å avklare hva som ligger i kravet om intern kryptering. Denne prosessen, som har pågått i hele perioden 2007-2010, har vist seg å være vanskeligere og mer tidkrevende enn det som ble lagt til grunn da lovendringen ble vedtatt. forbindelse med ikrafttredelse av endringene i helseregisterloven rettet Folkehelseinstituttet i mai 2007 en henvendelse til departementet der instituttet skriver følgende: "Det kan reises en viss tvil om instituttet i alle henseender tilfredsstiller de krav som nå ligger i helseregistertovens 8 tredje ledd. Dette notatet presenterer de?for et forslag til Postackesse: Postboks 801.1Dep, 0030 Oslo Kontoradresse: Einar Gerhardsen.s plass 3 Telefon: 22 24 90 90 TeIetaks: 22 24 95 92 Org. nr.: 983 887 406

ø3/22/2ø1ø 12 : 56 HOD -> ø23313847 å NE I 5ø6 I7ø2 løsning for Helse- og omsorgsdepartementet, som instituttet mener vil opptlie lovens krav." Samtidig ble det redegjort for inslituttets sikkerhetstiltak, herunder bl.a. styrket tilgangskontroll (dvs, at ingen personer eller systemer skal ha tilgang til flere opplysninger enn det de har behov for), etablering av sikker sone for sensitive data (sone hvor bare ansatte med tjenestelig behov har tilgang), kryptering av elektroniske meldinger, og at disse oppbevares kryptert etter innlasting av meldingen i registrene. Videre redegjorde instituttet for sine planer for ylterligere sikkerhetsløsninger, som for eksempel å splitte personopplysninger og helseopplysninger i ulike databaser. Instituttet betegner denne løsningen som g... en god teknisk løsning som oppffiler lovens intensjon, er håndterbar og som ikke minst ivaretar kravet om tilgjengeligheten tit dataene." Videre beskrives en sikkerhetsløsning som innebærer at skannede dokumenter splittes ved at dokumentene "klippes" i to, slik at personidenffikasjon lagres i et bilde, mens helseopplysningene lagres i et annet. Departementet stilte seg positiv til de løsninger som Folkehelseinstituttet presenterte, men påpekte falgende: "Når det gielder kryptering som en konkret måte å sikre opplysningerpå,vil departementet bemerke at det er et problem at hyptering ikke er definert i helseregisterloven. Selv om hyptering i seg selv ikke er definert i loven, gis det i Innst, 0. nr. 40 (2006-2007) orn endringene i helseregisterloven vedrørende Norsk pasientregisterpåside 7 annen spalte noen retningslinjer for hva som må foreligge for at opplysningene skal anses byptert." I løpet av 2007 ble arbeidet med å utforme forskriftstekst for Norsk pasientregister gitt høy prioritet i departementet, og hentnder hvordan kravet til intern kryptering skulle utformes i forskrift og merknader. Norsk pasientregisterforskriften ble vedtatt 7. desember 2007, men trådte først i kraft 15. april 2009, da krypteringsløsningen var ferdig utviklet. Det var i Innst. 0. nr. 40 (2006-2007) forutsatt at Norsk pasientregister (NPR) skulle ha tekniske og organisatoriske hindre av høyeste kvalitet. I samme periode og utover våren 2008 foregikk det samtidig i Nasjonalt folkehelseinstitutt et utviklingsarbeid for å gjøre SYSVAK-registeret helelektronisk med muligheter for intern kryptering. I 2008 ble det fra Helse- og ornsorgsdepartementets side tatt uformell kontakt med Datatilsynet for å undersøke om tilsynet kunne bidra i forståelsen av kravet om intern kryptering av direkte personidendfiserende kjennetegn i helseregistrene. Departementet ønsket å drøfte mulige løsninger i de ulike registrene ut fra deres formål, samt behovet for å lage felles retningslinjer for registrene. Datatilsynet ble orientert om at departementet ville komme tilbake til saken når prosessen med helseregistrene var gjennomført. Side 2

Ø3/22/2Ø1Ø 12:56 HOD --> Ø23313847 Å 1EI3 Helse- og omsorgsdepartementet tok deretter kontakt med alle de sentrale helseregistrene og ba om en redegjørelse for hvordan registrene ivaretok helseregisterlovens krav om intern kryptering. Registrene ble videre bedt om å bidra med innspil til å avklare hva som ligger i begrepet intern kryptering, og synspunkter på hva som med et mum må være gjort med de personidentifiserbare opplysningene for at lovens krav kan anses opplylt. Departementet ba videre om at registrene synliggjorde utfordringene knyttet til intern kryptering: "Departementet ser at de ulike registrene har forskjellige uffordringer knyttet til intern kryptering, scerlig med tankepå hvilken funksjon de direkte personidentifiserende kjennetegnene har i den daglige driften. Det er derfor viktig at reglstrene selv synliggjør disse utfordringene og foretar en vurdering av om den praksis man har i dag kan endres." Folkehelseinstituttet redesjorde i sin tilbakemelding i desember 2008 for den valgte krypteringsløsningen for det nye elektroniske SYSVAK-registeret, samt at instituttet arbeidet videre mecl innføring av sladdete personnumre i skjermbildet i Medisinsk fødselsregister, splitting av helseopplysninger i ulike databaser og kryptering av databaser og disker for de øvrige papirbaserte registrene. Folkehelseinstituttet konkluderte med følgende: "FHI mener at vi opphller lovens krav ved å ta i bruk de ulike mekanismene vi har beskrevet for intern byptering der disse kan brukes og bidrar til bedre personvern. Vi kombinerer dette med nøye regulert bruk av ukrypterte opplysninger der dette er nødvendig for d opphlle registrenes formdl." I løpet av våren 2009, over to år etter at lovendringen trådte i kraft, var som nevnt krypteringsløsningen for Norsk pasientregister ferdig utviklet, og forskriften for NPR kunne tre i. kraft. Tilbakemeldingene fra de andre registrene viste at den krypteringsløsningen som ble valgt for NPR, ikke var praktisk gjennomførbar for de øvrige registrene hvor innsendingen av opplysninger er papirbasert. Det er heller ikke et krav i Innst. 0. nr. 40 (2006-2007) at de andre registrene skal ha samme krypteringsløsning som NPR. Flere av de aktuelle helseregistrene har formål som forutsetter tilgang til personidentifikasjon for autoriserte personer. Dette gjelder ikke minst Meldingssystemet for smittsomme sykdommer (MSIS), som brukes akfivt i beredskapsarbeid for smitteoppsporing og smitteetterforskning, og Det sentrale tuberkuloseregisteret, som brukes for oppfølging av tuberkulosebehandling. Det betyr at de tekniske løsningene må sikre funksjonell tilgang til ukrypterte opplysninger for spesielt autoriserte personer som har en oppgave som gjør det strengt nødvendig. Dette kompliserer valget av tekniske løsninger, og gjør blant annet at den tekniske løsningen utviklet for Norsk pasientregister ikke kan benyttes. Departementet innkalte til et møte i januar 2010 der NPR og FHI hadde en omfattende presentasjon av sine krypteringsløsninger. Departementet har nå, på bakgrunn av dialogen med helseregistrene. utarbeidet et utkast til tolkning av hvordan kravet om Side 3

03/22/2010 12:56 HOD -> 023313847 PO4 intern kryptering er å forstå, og har tatt kontakt med Datatilsynet for å drøfte dette i et møte 12. mars. Status per i dag er at Norsk pasientregister og Kreftregisteret er internt krypterte, og at SYSVAK-registeret også må anses å være internt kryptert, slik jeg har forstått det. De øvrige helseregistrene som Folkehelselnstituttet er databehandlingsansvarlig for, er ikke helt i mål, men benytter ulike sikkerhets- og krypteringsløsninger. Dette innebærer som nevnt ovenfor kryptert elektronisk meldingskornmunikasjon, krypterte sikkerhetskopier av clatabasene og i tillegg sladding av personiclentifikasjon I skjermbilder for elektroniske meldinger i Medisinsk fødselsregister. Et unntak er Doclsårsaksregisteret, der FI-II som databehandlingsansvarlig og Stadstisk sentralbyrå som databehandler nå arbeider med konkrete forslag til løsninger, jf, brev av 8. mars 2010 til Datatilsynet. Det er parallelt gitt prioritet til arbeidet med å få på plass gode elektroniske løsninger for registrene, da dette i stor grad vil kunne bidra til bedre sikkerhet i registrene. Kontroll- og konstitusjonskomiteen viser i sitt brev til at det i Rapport for arbeidsgruppe iljerte-karregisteret fra mai 2008 framgår at Folkehelseinstituttets registre ikke opphite kravet om intern hyptering. Komiteen ber om en redegiorelse for hvilke tiltak som ble iverksatt da Helse- og omsorgsdepartementet ble gjort kjent»med dette. Jeg vil vise til redegjørelsen foran, der det framgår at departementet tok kontakt med Datatilsynet og deretter iverksatte et arbeid med sikte på å klargjøre hva som ligger i lovens krav. Som nevnt er arbeidet med å få på plass mer fullstendige krypteringsløsninger også i MSIS, Tuberkuloseregisteret, Medisinsk fødselsregister og Dødsårsalcsregisteret nå gitt høyeste prioritet. Kreftregisteret har siden lovendringen trådte i kraft arbeidet med å tilrettelegge IT-systemene, og de har nå utviklet en krypteringsløsning som fortsatt er under testing. Folkehelseinstituttet har startet arbeidet med å vurdere om denne løsningen også kan være aktuell for Dødsårsaksregisteret, Medisinsk fødselsregister (MFR), Meldingssystem for smittsornme sykdommer (MSIS) og Tuberkuloseregisteret. Instituttet vil i denne forbindelse innhente en ekstern vurdering med frist 16. april. I tillegg vil det umiddelbart bli iverksatt ytterligere tiltak i MFR. MFRs produksjonsdatabase håndterer elektroniske meldinger og papirmeldinger som er lagret som billedfder. Kryptering av produksjonsdata og billedfiler for avsluttede årganger (1967-2007) vil innføres nå. Å kryptere MFRs hoveddatabase er en kritisk prosedyre som krever ontfattende utvikling og testing, ettersom feil her kan føre til at alle data tilbake til 1967 kan gå tapt. Det er derfor viktig å se hen til de erfaringer Kreftregisteret nå gjør. Side 4

03/22/2010 12:56 HOD 023313847 E05 Kontroll- og konstitusjonskomiteen ensker en redegjerelse for hvorvidt Stortinget er orientert om at helseregistrene ikke var hyptert slik loven krever, og eventuelt hvo?for Regjeringen ikke har funnet det nedvendig å informere Stortinget om dette. Kravet om intern kryptering var ikke en del av det forslag som regjeringen fremmet Ot.prp. nr. 49 (2005-2006). Regjeringens forslag ville ha åpnet for etablering av NPR som et personidentifiserbart register, men ville ikke medført større konsekvenser for de eksisterende helseregistrene med hjemmel i helseregisterloven 8 tredje ledd. Stortingets vedtak om å lovfeste et krav om intern kryptering avvek i så måte fra regjeringens forslag. Det ble likevel vedtatt at lovendringen skulle tre i kraft straks. I ettertid ser jeg at man skulle ha vurdert utsatt ikraftsetting av hele, eller deler av lovvedtaket, men da måtte saken ha vært forelagt Stortinget på nytt. Dersom det viser seg at det ikke lar seg gjøre å gjennomføre lovens krav om intern kryptering innen rimelig tiod og samtidig opplylle registrenes formål, vil departementet ta opp spørsmålet om en mulig dispensasjonsadgang frem til registrene er fullt ut elektroniske. Det er et mål at alle de sentrale helseregistrene skal være elektroniske og dermed muliggjøre full intern kryptering. Dette vil kreve tid og ressurser. Det tok som nevnt over to år fra Stortinget vedtok å opprette Norsk pasientregister som et personidentifiserbart register til krypteringsløsningen var implementert og forskriften kunne tre i kraft. Likeledes har Kreftregisteret arbeidet med sin krypteringsløsning siden lovendringen trådte i kraft. Avslutningsvis vil jeg understreke at departementet og de sentrale helseregistrene har lagt inn betydelige ressurser I arbeidet med å få alle registrene internt krypterte i tråd med Stortingets vedtak, og at dette arbeidet fortsetter med høy prioritet. Med vennlig hilsen,. 6ut,, ne-grete Strøm-Eriehsen Side 5

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding