Det juridiske fakultet Universitetet i Oslo

Like dokumenter
Det juridiske rammeverket for helseregistre

Hvilken betydning har personvernforordningen på helseområdet

Juridisk regulering av helseregistre brukt til kvalitetssikring og forskningsformål

Helsedatautvalget. Marta Ebbing, leder. HelseOmsorg21-rådet, 23. januar 2017

Det må etableres gode og fremtidsrettede helseregistre som gir formålstjenlig dokumentasjon til kvalitetsforbedrende arbeid og forskning.

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Rettslig grunnlag for behandling av helseopplysninger til kvalitetssikring og forskning

Rettslig regulering av helseregistre

Ny pasientjournallov endringer og muligheter

Personvernforordningen og utfordringer i dagens helsetjeneste

Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven 26

Rettslig regulering av helseregistre. Dana Jaedicke juridisk rådgiver E-post:

Fagkurs for kommuner Personvern og taushetsplikt (75 minutter)

HVEM ER JEG OG HVOR «BOR» JEG?

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Pasientjournalloven - endringer og muligheter

Saksbehandler: Mari Kristine Rollag Arkiv: G10 &13 Arkivsaksnr.: 14/ Dato:

Pasientjournalloven og helseregisterloven

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Oversender høring - Digital sårbarhet - sikkert samfunn - NOU 2015:13 Vi viser til Justis- og beredskapsdepartementets brev av 9. desember 2015.

Lovfortolkning - Helsepersonelloven 29c - Opplysninger til bruk i læringsarbeid og kvalitetssikring

Helse-og omsorgsdepartementet. Høring: Forslag til endringer i egenandelsregisterforskriften

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Direktoratet for e-helse: Høringssvar på forskrift om befolkningsbaserte helseundersøkelser

Status i forskriftsarbeid for helseregistre

Sikkerhetskrav for systemer

Legeforeningens innspill til ekspertgruppe for enklere tilgang og bedre utnyttelse av helsedata (Helsedatautvalget) Innhold

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Medisinske kvalitetsregistre - hva betyr nytt lovverk Normkonferansen

Side 1 av 5. Storgata Oslo. Helse- og omsorgsdepartementet Postboks 8011 Dep Oslo

Høringsnotat: Enklere tilgang til helseopplysninger for kvalitetssikring av helsehjelp og egen læring

Kvalitetsregistrene i det nasjonale registeret for hjerte- og karlidelser. Lov og forskrift

Nasjonal e-helsestrategi

Formidling av pasientinformasjon ny lovgivning (i forbindelse med pasientbehandling) NSH

Ny pasientjournallov - endringer og muligheter

Ot.prp. nr. 51 ( )

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/443-13/ /RCA 31. mars 2014

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Nytt fra Helse- og omsorgsdepartementet

Vår referanse (bes oppgitt ved svar)

Datatilsynet slutter seg til en tilnærming hvor kjernejournalen gradvis innføres.

Eks7. Pics. Adressater i henhold til liste. Helseforskningslovens virkeområde

Endelig kontrollrapport

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Høring - Utkast til forskrift om innsamling og behandling av helseopplysninger i nasjonalt register over hjerte- og karlidelser

Deres referanse Vår referanse (bes oppgitt ved svar) Dato /MAL 09/ /CBR 10. mars 2009

Sverre Engelschiøn. Oslo 19. Mai 2008

Hvordan kan personvernet ivaretas i helsesektoren?

Vår referanse (bes oppgitt ved svar) /EGA 11/ /CGN

Kunngjort 28. august 2017 kl PDF-versjon 30. august 2017

Helseforskningsrett med fokus på personvern

Saksdokumenter - sak PS 0255/17. Høring - forskrift om befolkningsbaserte helseundersøkelser

Synspunkter på Gode helseregistre bedre helse

5-7fiSDEPARTEMENT. 23 N11117nng. Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO. Avp/K0N-rfpc14: / ". Obk NR ARKIVK-UDE:

Det fremgår av høringsbrevet at: "Formålet med lovforslagene er å fjerne

Høring - Rapport fra Helsedatautvalget - Et nytt system for enklere og sikrere tilgang til helsedata

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Plikt- og rettssubjekter. Den som har krav på noe, den som har rett på noe. Den som er pålagt noe, den som har ansvaret for å se til at noe blir gjort

Regelrådets uttalelse. Om: Høring for NOU 2018:7 Ny lov om offisiell statistikk og Statistisk sentralbyrå Ansvarlig: Finansdepartementet

Hvilke krav stiller Folkehelseinstituttet ved søknad om data fra helseregistrene?

Ny lov nye muligheter for deling av pasientopplysninger

Personidentifiserbart Norsk pasientregister

Nytt fra departementet

Helsedatautvalget og Helsedataprogrammet

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Taushetspliktens bakgrunn og begrunnelse hvilke interesser skal taushetsplikten beskytte? Ved førsteamanuensis Bente Ohnstad

Sikkerhetskrav for systemer

Ny statistikklov: Utlevering av statistikk til forskning

Spørsmål til Topplederforum

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Deres referanse Vår referanse Dato 17/ / /CDG

Styresak /4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for Dokument 3:2 ( ), informasjon

GDPR. Status og veien videre. Inge V. Bakken. 12. April 2018

Én innbygger én journal

UiO ved Psykologisk institutt v/pål Kraft og Joakim Dyrnes. Rettslige rammer for drift av studentklinikk/samarbeid med Lovisenberg Diakonale Sykehus

Høringsuttalelse - Forslag til endringer i sprøyteromsordningen

Sikkerhetskrav for systemer

Pasientvern versus pasientvern: ulike sider av integritetsvernet. Anne Kjersti Befring

PERSONVERN OG DELING FRA KVALITETSREGISTRE

DRAMMEN KOMMUNE. Postmottak HOD

Høringsuttalelse - Nasjonal strategi for persontilpasset medisin i helsetjenesten

Betydningen av personvern i helsesektoren. Cecilie L. B. Rønnevik, seniorrådgiver Tromsø 16. juni 2009

Spørsmål om bruk av biologisk materiale fra avdød i forbindelse med utredning av familiemedlemmer

Behandling av helseinformasjon - på kryss og tvers Norsk Arkivråd, Trondheim,

Vedlegg D - Prinsipper som beskriver innbyggertjenester i spesialisthelsetjenesten

MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT. Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO.

Byrådsak 505/08. Dato: 9. desember Byrådet

Beskrivelse av prosjektet Formålet med det omsøkte prosjektet er todelt:

VEDLEGG 2 Vår saksbehandler Håvard Pedersen Vår dato

Helseforskningsrett. Sverre Engelschiøn

Veileder for behandling av personopplysninger og informasjonssikkerhet i idretten

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Taushetsplikten! *! Anne Kjersti Befring!

Persontilpasset medisin med utgangspunkt i genomsekvensering: rettslige perspektiver. Anne Kjersti Befring

Personvern i Dødsårsaksregisteret Lysebu, 7. november 2011

Lovvedtak 75. ( ) (Første gangs behandling av lovvedtak) Innst. 295 L ( ), jf. Prop. 72 L ( )

Bruk av varslings- og lokaliseringsteknologi. - Juridiske avklaringer -

Samarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene

Etablering av nasjonal anonym sekvensvariantdatabase - vurdering av anonymitet

Informasjonssikkerhet

Transkript:

Det juridiske fakultet Universitetet i Oslo Helse- og omsorgsdepartementet Helsedatautvalget Dato: 21.12.2016 Deres ref.: Vår ref.: 2016/14513 RANDIRO Helsedatautvalget- skriftlige innspill fra Det juridiske fakultet, UiO Det vises til invitasjonen om å komme med innspill til Heldedatautvalget innen utløpet av desember 2016. Helse- og omsorgsdepartementet oppnevnte utvalget10. juni 2016, for å vurdere hvordan det kan utvikles et system for behandling av helsedata til statistikk, planlegging, helseanalyser, kvalitetsforbedring og forskning, innovasjon og næringsutvikling, omtalt som HelseOmsorg21-strategien. HelseOmsorg21, beskrives som et initiativ fra helse- og omsorgsdepartementet (HOD) våren 2013, «som skal legge til rette for en målrettet, helhetlig og koordinert nasjonal innsats for forskning, utvikling og innovasjon innenfor helse og omsorg.» Videre beskrives målet med HO21 «å bidra til en kunnskapsbasert helse- og omsorgstjeneste kjennetegnet av kvalitet, pasientsikkerhet og effektive tjenester.» 1 Samtidig ble det etablert et topplederforum, under ledelse av departementsråden, der blant annet lederen for Folkehelseinstituttet, de regionale helseforetak m.fl. inngår. 2 Strategien er i varierende grad forankret med formelle vedtak, slik at utredningsarbeidet vil være et grunnlag for beslutninger av politiske organer. Det foreligger flere formelle vedtak fra Stortinget, med diskusjoner og begrunnelser, som er relevante å trekke inn i arbeidet. Det er vist til Innst. 250 S (2015-2016) Innstilling til representantforslag 8:24 S (2015-2016) om et løft for norske biobanker. Arbeidet vil også bidra til å følge opp Meld. St. 19 (2014-2015) Folkehelsemeldingen Mestring og muligheter, Meld. St.28 (2014-2015) Legemiddelmeldingen. Riktig bruk bedre helse og Stortingets innstillinger og vedtak tilknyttet disse meldingene. 1 Forskningsrådet er sekretariat og prosjektet ble ledet av John-Arne Røttingen som var ansatt i Folkehelseinstituttet, men som er ny leder av Forskningsrådet. Lederen for Folkehelseinstituttet, Camilla Stoltenberg, har overtatt ledelsen av dette prosjektet. 2 http://www.forskningsradet.no/prognett-helseomsorg21/topplederforum/1253985627959 Administrasjonsseksjonen Postadr.: Postboks 6706 St. Olavs plass, 0130 OSLO Kontoradr.: Telefon: 22 85 50 50 Telefaks: 22 85 98 40 postmottak@jus.uio.no www.jus.uio.no Org.nr.: 971 035 854

2 Særlig relevant er vedtakelsen av ny helseregisterlov (og pasientjournallov). 3 Lovene har felles lovforarbeider i Prp. 72 L (2012-2013) og Innst.295 L (2013-2014) Innstilling fra helse- og omsorgskomiteen om pasientjournalloven og helseregisterloven. Det vises også til andre offentlige utredninger av direkte relevans for dette utvalget. I NOU 2015:13 Digital sårbarhet, utredes anvendelsen av digitaliserte opplysninger, også i helseregistre. Her behandles flere spørsmål som er relevante for Helsedatautvalget. I Dok. nr. 16, 2010-2012, Rapport fra Menneskerettighetsutvalget om menneskerettigheter i Grunnloven (Lønning-utvalget), drøftes behovet for endringen av Grl. 102, som har betydning for utvalgsarbeidet. I NOU 2009:1 Individ og integritet Personvern i det digitale samfunnet, som drøftes helseregistre og begrepene personvern og personopplysningsvern, se vedlegg 3. 4 I mandatet er det vist til at personnummersystemet bidrar til at helsedata fra ulike kilder kobles sammen. Personnummersystemet er samtidig benyttet som et argument for at Norge har et internasjonalt fortrinn innen registerforskning og helseanalyser, og gir et kunnskapsfundament for å fremme folkehelse og å utvikle fremtidens helse- og omsorgstjenester. Helsedata er i mandatet definert bredt som opplysninger i sentrale helseregistre, kvalitetsregistre, befolkningsbaserte helseundersøkelser og i biobanker. Det må bygge på rettslige utredninger av hvordan personnummersystemet kan anvendes i denne sammenhengen, i kombinasjon med helseregistre opprettet til ulike formål og på ulike rettslige grunnlag. Formålene som er angitt et svært generelle, at de skal kombineres av hensyn til forbedret helsehjelp, der egennytten for den enkelte står sterkt, og til generelle samfunnsformål som omfatter forskning, helseanalyser, kvalitetsarbeid i tjenestene, beredskap samt planlegging, styring, innovasjon og næringsutvikling. I mandatet vises det også til at kobling av helsedata er sentralt for fornyelse av offentlig sektor og bedre og mer effektive velferds-, helse- og omsorgstjenester, som er et av de prioriterte tematiske områdene i regjeringens Meld. St. 7 (2014-2015) Langtidsplan for forskning og høyere utdanning 2015-2024. For de juridiske utredningene er det nødvendig å trekke et tydeligere skille mellom primær og sekundær anvendelse av helseopplysninger. Formålene må defineres mer konkret som grunnlag for de avveininger som må gjøres. Ved kobling av helsedata for å generere mer opplysninger om den enkelte, oppstår det et nytt formål som må bygge på et særskilt rettsgrunnlag. De juridiske vilkårene vil være forskjellig etter formål, inngrepet karakter, nytte og risiko. Dersom registerdata fra flere sektorer skal kobles, bør arbeidet forankres bredt på departementsnivå, og flere involverte trekkes inn i utredningsarbeidet, blant annet Statistisk sentralbyrå. 3 LOV-2014-06-20-43 4 Alf Petter Høgberg og Njål Høstmælingen Betenkning om grunnlovsfesting av retten til personvern/privatliv.

3 Helse- og omsorgsdepartementet har i mandatet for utvalget forutsatt at «både juridiske, organisatoriske og tekniske forutsetninger for at helseregistrene kan nå sine formål må vurderes.» Det er vist til at internasjonal litteratur og et internasjonalt komparativt perspektiv. I denne sammenhengen er det flere relevante internasjonale reguleringer og juridisk litteratur av relevans for å finne løsninger, og som grunnlag for å analysere «handlingsrommet» for nasjonale reguleringer. I tillegg ligger det i mandatet at utvalget skal finne tekniske og praktiske løsninger. Det antas at utredningen må starte med grunnlaget for ny behandling av helseopplysninger. Mandatet omfatter et stort antall kompliserte rettslige utredningsoppgaver, som i dag er gjenstand for juridisk forskning. Helse- og omsorgsdepartementet har satt som mål at «den enkelte pasient og bruker i størst mulig grad skal råde over egne personopplysninger», se punkt 2 i mandatet. Hovedregelen for anvendelse av helseopplysninger er at den enkelte gir sin tillatelse til det. Det vises også til taushetsplikten som en hindring, som i utgangspunktet innebærer at pasienter kan oppsøke helsetjenesten i trygghet for at opplysningene blir hos behandleren og ikke videreformidles, se hpl. 21. Det er i mandatet vist til mulighetene for dispensasjon fra taushetsplikten. Til dette må det bemerkes at en slik dispensasjon ikke utgjør et rettsgrunnlag for nye sammenstillinger av data (registre), og vil ha liten relevans for sammenstilling av store mengder helseopplysninger. Pasienten kan gi tillatelse til utlevering av helseopplysninger til et register, og til at registeropplysninger kobles, dersom øvrige rettslige vilkår er oppfylt. Denne delen av mandatet og gjeldende rettslige reguleringer av helseopplysninger, kan anses som sentralt grunnlag for de juridiske utredningene i utvalgsarbeidet. Mandatet kan anses vidt og omfattende, sett hen til tidsrammen for arbeidet, som er 30. juni 2017. Identifisering av de relevante rettslige problemsstillinger, nytteverdier og risiko Et viktig arbeid blir å identifisere sentrale rettslige spørsmål som må utredes. Et hovedspørsmål er hvilken rettslig adgang det er til å sammenstille, anvende og kombinere helseopplysninger i registre. Flere av spørsmålene som stilles er juridiske forskningstemaer nasjonalt og internasjonalt, men som i liten grad har vært gjenstand for forskning i Norge. Noen av temaene inngår i pågående forskningsprosjekter ved fakultetet. Norge skiller seg ut, ved at det er opparbeidet betydelige helseopplysninger fra helsehjelpen i helseregistre til andre samfunnsformål, uten den enkeltes tillatelse (samtykke). Dette fremheves som en styrke, men kan samtidig vurderes som begrensninger av den enkeltes autonomi og i sikkerheten ved behandlingen av opplysninger. Med det nye pasientregisteret for primærhelsetjenesten, skal all helsehjelp trekkes ut i helseregistre, fra spesialisthelsetjenesten og primærhelsetjenesten. 5 De kapasitetsbegrensninger ved lagring som tidligere fantes, er i hovedtrekk fjernet. Helseopplysninger som mottas og innhentes ved 5 Prop.106 L (2015-2016) Endringer i helseregisterloven m.m. (kommunalt pasient- og brukerregister m.m.)

4 helsehjelp benyttes til stadig flere formål. 6 Det er oppstått nye rettslige problemsstillinger med lagring av helseopplysninger i større systemer der flere har tilgang. Befolkningens tillit til helsetjenesten, forskning og forvaltning i det norske samfunnet, synes å være høy, noe som er en viktig faktor for både muligheter for å gi helsehjelp og for forskning. Tillit er nødvendig for å unngå at pasienter vegrer seg for å oppsøke helsetjenesten eller for å gi informasjon. Ved anvendelse av helseopplysninger som er dokumentert i pasientjournal, kan verdiene taushetsplikten skal beskytte, komme i konflikt med ulike typer av samfunnshensyn. Det bør identifiseres hvilke prinsipper og verdier som kan komme i konflikt for vurderinger. Det kan utgjør et grunnlag for å utvikle reguleringsformer, teknologi og organisering av helseopplysninger. Et spørsmål er om helseregistre opprettes etter tilstrekkelige vurderinger av nytte og risiko, og om den samlede anvendelse av helseopplysninger, bør vurderes på bakgrunn av tillitsaspektet, nytte og risiko. Denne problemsstillingen ble tatt opp i NOU 209: 1, og har relevans i dag blant annet som en konsekvens av de økte muligheter for å sammenstille større mengder helseopplysninger. I lovers forarbeider og i mandatet til Helsedatautvalget, omtales nytteverdien av sammenstilling av helseopplysninger i generelle formuleringer, som at det er nyttig for statistikk, forskning og overvåkning av folkehelsen. Det gjør det vanskelig å vurdere hvilke verdier som skal ivaretas med tiltaket. Utvalget bør konkretisere nytteverdien og risikoen i sine vurderinger. Risikoen må vurderes for å kunne foreta avveininger, men også som et grunnlag for å utvikle teknologiske innretninger som kan involvere pasienten i aktiviteter og for å øke sikkerheten. Vurderinger av risiko omfatter flere faktorer. Risikovurderinger må knyttes til tillit for å oppsøke helsetjenesten, avgi helseopplysninger og til forskning. Risiko for integritetskrenkelser kan antas å øke ved at oppbevares flere og mer sensitive opplysninger, flere steder. Konsekvensen av at flere får tilgang til sensitive helseopplysninger, oppbevaringsmåter, og risiko for tyveri, hacking og misbruk av opplysninger, bør utredes. Rettslige reguleringer og ulike rettslige grunnlag for helseregistre Teknologiutviklingen og digitaliseringen ligger til grunn for rettsutviklingen og det i EU ble vedtatt en personvernforordningen i 2016 som trer i kraft i mai 2018, for Norge etter tilslutning fra EØS og 6 Oppfølgning av pasientrettigheter og finansiering med helserefusjoner medfører behov for helseopplysninger. Forskning, kvalitetsutvikling og kvalitetssikring er andre behov, som er ansett som sentralt for å kunne tilby pasienten god og adekvat helsehjelp. Det er et økende antall helseregistre som benytter helseopplysninger på et overordnet nivå i helseregistre med mål om å bedre befolkningens helsetilstand ved målrettede sykdomsforebyggende tiltak.

5 godkjenning av Stortinget. 7 Forordningen skal erstatte EUs personverndirektiv, som ble implementert i helselovgivningen og i personopplysningsloven. 8 Den teknologiske utvikling etter 1995 begrunner at personvernforordningen. Europarådets konvensjon 28. januar 1981 nr. 108 om personvern i forbindelse med elektronisk databehandling av personopplysninger (personvernkonvensjonen), ble ratifisert av Norge 20. februar 1984 og ble gjort gjeldende 1. oktober 1985, men skal også revideres med utgangspunkt i den teknologiske utviklingen. Europarådet og FN har stor oppmerksomhet om behandlingen av personopplysninger og det er et uttalt mål å harmonisere regelverket mellom EU og Europarådet. Det bør utredes hvordan de internasjonale forpliktelsene regulerer helseregistre og systemer for behandling av helseopplysninger, da dagens helseregistre er vedtatt forut for de nye reguleringer. Det omfatter anvendelse av helseopplysninger innenfor helsetjenesten og i helseregistre, se for øvrig pasientjournalloven og helseregisterloven, der det i kommentarer og endringsforslag fra helse- og omsorgskomiteen er lagt vekt på at anvendelsen av helseopplysninger må vurderes konkret med utgangspunkt i flere hensyn. 9 Det kan legges til grunn at reduksjonen av tidligere hindringer for å oppbevare sensitiv informasjon i «større» systemer medfører økte krav til hvordan opplysningene oppbevares og systemer for tilgangskontroll. Både i mandatet for utvalget og i forbindelse med behandlingen av lovforslagene i Stortinget ble det lagt stor vekt på den enkeltes rett til å råde over egen informasjon, se Innst. 295 L (2013 2014), der det ble uttrykket at den enkelte må kunne ha kontroll over opplysninger om seg selv, noe som forutsetter kunnskap om hvor denne informasjonen befinner seg, tilgangsstyring, logg og kontroll av logg, og rett til å sperre opplysninger. Komiteens flertall «vil understreke at pasienter må sikres god tilgang på informasjon om hvordan man kan motsette seg utveksling av alt eller deler av sin egen pasientinformasjon mellom forskjellige behandlingssteder.» Det er fra Stortinget forutsatt en vid kontroll med egne helseopplysninger. Dette kravet samsvarer med personvernforordningens krav. Med revisjonen av helseregisterloven skal det være enklere å opprette registre for forskning, statistikk mv. Loven stiller ulike vilkår for å opprette helseregistre, hovedsakelig med samtykke og konsesjon og med forskrift. Med personvernforordningen bortfaller konsesjonsordningen, noe som forutsetter vurderinger av nye systemer for konsesjonspliktige helseregistre. Personvernforordningens rettslige krav om «privacy by design» må vurderes for teknologisk implementering. Kravene øker med økt risiko som følge av bredere tilgang til pasientinformasjon. Lovgivningen er tilrettelagt for avanserte IKT-systemer med tilgangsstyring, tilgangskontroll, muligheter for skjerming, sperring, retting og sletting. 7 General Data Protection Regulation, 2016/679 EU (April 2016, on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC) 8 95/46 EF 9 Lover av 20. juni 2014 nr. 42 og 43.

6 Det følger av både internasjonale og nasjonale reguleringer at helseopplysninger ikke kan behandles uten rettsgrunnlag. Det er personopplysninger som langt på vei kan sies å «eies» av personen selv, se blant annet helseregisterloven 6 som tydeliggjør dette utgangspunktet: «Helseopplysninger kan bare behandles når det er tillatt etter denne loven eller andre lover. Behandling av helseopplysninger krever den registrertes samtykke, dersom ikke annet har hjemmel i lov.» Et sentralt tema vil videre være hva slags råderett enkeltindividet skal ha over egne helseopplysninger ved bruk til ulike typer sekundærformål. Flere rettsforskere har tatt opp spørsmål om den nye «samfunnskontrakten» i forskning som kan anses endret som følge av digitaliseringen. Jane Kay mener at et gyldig samtykke må forutsette interaksjon og informasjon mellom den opplysningene gjelder, ev. biologisk materiale, og brukeren, og at teknologien må benyttes for dialog i en web-løsning, omtalt som dynamisk samtykke. 10 Hun anbefaler at det etableres teknologiske plattformer for interaksjon med informasjon om prosjektene. Den nye personvernforordningen har et fokus på den enkeltes råderett over personopplysninger. I utvalgets arbeid bør det innhentes utredninger om personvernforordningens rettslig betydning for dette arbeidet. Det bør utredes hvordan teknologien kan benyttes for å styrke den enkeltes råderett med opplysningene, gjennom samtykke og informasjon, se NOU 2015:13 Digital sårbarhet, del 3, punkt 17: «På den annen side gir digitalisering muligheter for styrket personvern, og disse mulighetene må utnyttes. Selv om dagens løsninger og dagens rutiner i sektoren innebærer kjente svakheter, mener Helse- og omsorgsdepartementet at dagens IKT-løsninger lokalt i sektoren må videreutvikles for å oppnå styrket personvern og økt digitalisering.» Et unntak fra hovedregelen om samtykke for behandling av helseopplysninger, finnes i pålegget om å dokumentere helsehjelpen i pasientjournalen, se helsepersonelloven (hpl) 39 og 40 og pasientjournalloven, som definerer pasientjournalen som et «behandlingsrettet register» og ikke et helseregister. Et særskilt spørsmål er hvordan helseopplysninger som er lagret som følge av dette pålegget, kan benyttes til andre formål. I denne sammenhengen må det også tas med at helsepersonell er pålagt en omfattende taushetsplikt, se hpl. 21. Sekundær anvendelse av helseopplysninger som er mottatt og opparbeidet i forbindelse med helsehjelp, i form av utdrag fra pasientjournalen, (EPJ, behandlingsrettet journal), må bygge på et særskilt rettslig grunnlag, som må oppfylle overordnede rettslige vilkår i EMK art. 8 og Grunnloven 102. Det innebærer at grunnlaget for nye helseregistre med hjemmel in helseregisterloven, må anses forholdsmessig i henhold til Grl. 102. Utvalget bør utrede hensynene som kan begrunne ulike rettsgrunnlag og hvordan registre basert på ulike rettslige grunnlag, kan kombineres med mål om mer opplysninger om den enkelte. 10 Jane Kay, mfl.: Dynamic consent: a patient interface for twnty-first century research networks, European Journal of Human Genetics 2015, se. 141-146

7 Når helseregistre skal kobles, skapes det et nytt formål og nye virkninger av behandlingen av helseopplysningene, som forutsetter et nytt rettsgrunnlag, med mindre det opprinnelige samtykket og konsesjonene dekker denne behandlingen. Det bør utredes nærmere hvilke rettslige vilkår som må oppstilles til sammenstillingen. Et generelt utgangspunkt er at inngrepets karakter har rettslig relevans for anvendelse av gjeldende lover og for lovgivers og andres myndighet, for eksempel vil anvendelse av mer omfattende og sensitive helseopplysninger, kunne begrense lovgivers og andres kompetanse. Et særskilt spørsmål som bør utredes, er når anonyme opplysninger blir identifisert, som følge av mengde, koblinger og fremtidig teknologi (Big Data). Det kan anses som en viktig premiss for utvalgets arbeid. Rettsvirkninger av forordningen, ansvarsforhold og hvem erstatningskravene kan rettes mot, bør også utredes for å oppnå forutsigbarhet. Det kan forventes flere søksmål med personvernforordningen som følge av styrkede rettigheter og høye erstatningssummer, noe som begrunner behovet for både utredning og forskning på dette temaet. Anvendelse av anonymiserte opplysninger I NOU 2015: 13, legges det til grunn at det er unødvendig å benytte personidentifiserbare opplysninger i dagens omfang og at det er unødvendig at «det overveiende flertallet av helseregistre som ikke er knyttet til konkret pasientbehandling, er basert på full identifikasjon av den enkelte pasient». Det bør utredes om og når det er tilstrekkelig med anvendelse av anonymiserte opplysninger, for å oppnå nytteverdien med kobling av helseregistre, og om teknologiske innretninger kan benyttes for å beskytte personers identitet når personidentifiserbare opplysninger benyttes. Det vises til NOU 2015:13 Digital sårbarhet, del 3, punkt 17: «Når det ikke skal ytes helsehjelp, er behovet for å kunne identifisere den enkelte pasient annerledes enn i en helsehjelpssituasjon. I helseregistrene er det fullt mulig å beskytte pasientenes identitet ved hjelp av ulike former for anonymisering, men dette er i liten grad sørget for.» Det bør utredes hvorfor ikke disse mulighetene benyttes. Det vises også til uttalelser i NOU 2009: 1, foreslå et moratorium for opprettelse av nye helseregistre frem til de eksisterende registrene var gjennomgått og utredet, og pseudonymisering av pasientenes identitet i registrene. Et aktuelt spørsmål ved kobling av helseregistre, er når den økte informasjonstilgangen, ev. ved hjelp av teknologi i dag og fremover, kan føre til at opplysninger som opprinnelig var anonyme, blir identifisert, ofte omtalt som muligheter for «bakveisidentifisering». Svikt i dagens systemer, betydning for etablering av nye informasjonsplattformer? Det foreligger dokumentasjon på at det i dagens systemer er betydelige utfordringer knyttet til oppfyllelse av lovkrav, se NOU 2015:13 Digital sårbarhet, del 3, punkt 17: punkt 17: «Dagens systemer (IKT-systemer, organisering og kompetanse) har åpenbare mangler når det gjelder å understøtte innbyggernes rett til personvern. Helsepersonell gis for omfattende tilgang i forhold til hva de reelt sett har tjenstlig behov for.

8 Det er avdekket store mangler i logging av tilganger som gis, hvilket gjør det vanskelig å gjennomføre etterkontroller for å avdekke urettmessig tilegning av opplysninger. Det er implementert for lavt sikkerhetsnivå i henhold til Normen på noen av de mest brukte digitale innbyggertjenestene i dag. Dette øker risikoen for at uvedkommende får tilgang til helseinformasjonen.» Videre står det i samme kapittel, punkt 17.5.5, at den registrerte ikke gis tilstrekkelig informasjon: «Høsten 2013 gjennomførte Datatilsynet 15 brevkontroller av fastleger, spesialister og helseforetak som utleverer helseopplysninger til de sentrale helseregistrene. En forutsetning for pasientenes mulighet til å ivareta sitt personvern er at de blir informert om at helseopplysningene om dem videreformidles slik regelverket krever. Kontrollene viste at pasienten generelt ikke blir informert om at helseopplysninger blir utlevert til sentrale helseregistre som for eksempel Norsk pasientregister og Kreftregisteret.» Vi er kjent med at Riksrevisjonen har gjort tilsvarende funn når det gjelder registrering av helseopplysninger, og at det både er opprettet registre ulovlig, som DNA-registeret, registre i Moba (morbarn undersøkelsen), og at de det gjelder ikke har vært kjent med det. Sårbarhetsutvalget uttaler at det er «høyst betenkelig at helsetjenestene og næringsaktører ikke alltid informerer pasienter og brukere om hvordan opplysningene deres videreformidles og behandles for nye formål. Det kan være fare for at økende høsting av helseopplysninger kan undergrave den nødvendige tilliten til helsetjenestene og føre til at deler av befolkningen unngår å oppsøke det alminnelige helsehjelpstilbudet. Alternativt kan det føre til at det oppstår et «grått» marked for behandlingstilbud som unnlater å registrere pasientene eller fører «skyggejournaler» som ikke rapporterer til de lovpålagte registrene.» Utbedring av dagens systemer synes å være nødvendig for videre bruk av helseopplysninger. Denne kunnskapen bør tas med i utvalgets vurderinger. Det fremheves at Norge ligger i forkant av utviklingen, men uten å nevne at det i dag foreligger alvorlige brudd på lovgivningen når det gjelder den enkeltes rettigheter. Det innebærer risiko på flere måter, også for erstatningssøksmål. Utvalget bør i utredningen ta med disse utfordringen og vurdere hvordan det kan rettes, noe som må inngå som et grunnlag for å kunne anvendes helsedata. Avslutning Nye anvendelsesområder forutsetter vurdering av rettsgrunnlag. Når registre skal benyttes til næringsvirksomhet, fører det til nye rettslige problemsstillinger om eiendomsrett og privatrettslige reguleringer. Når betegnelsen personvern benyttes, kan det inneholde ulike elementer. Det bør derfor

9 defineres, se blant annet NOU 2009:1. 11 Ved å definere begrepet når det anvendes, kan utvalget makte å identifisere og drøfte aktuelle problemsstillinger. Internasjonale og nasjonale rettslige forpliktelser forutsetter at flere forhold vurderes. Utvalget bør få frem de verdier som skal vurderes, i form av nytte og risiko. Internasjonale og nasjonale rettslige forpliktelser forutsetter at flere rettslige spørsmål vurderes. Med hilsen Alf Petter Høgberg (signatur) Prodekan for forskning Dette dokumentet er godkjent elektronisk ved UiO og er derfor ikke signert. Saksbehandler: Randi Rørlien +4722851980, randi.rorlien@jus.uio.no 11 Det benyttes om ulike forhold, ofte om en forutsetning som skal oppfylles, formulert som et slags sjekkpunkt for at man har hensyntatt det som ligger i dette begrepet. Det vises til høringsnotatet til KPR, der betegnelsen benyttes summarisk som at man stiller opp disse "lærebokvurderingene", uten at det foretas tydelige avveininger, og til forarbeidene til helseregisterloven (Prp. 72 (2012-2013), og endringene og bemerkningene fra helse- og omsorgskomiteen.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding