Høringsuttalelse - forslag til forskrift om informasjonssikkerhet, tigangsstyring og tilgang til helseopplysninger i behandlingsrettede helseregistere

Like dokumenter
Høringssvar til Forslag til ny byggteknisk forskrift (TEK17)

Vår ref: #86096v1/th-th Saksbehandler: Trude Hafslund T

\Il ADVOKATFORENINGEN THE NORWEGIAN BAR ASSOCIATION. Vi viser til departementets høringsbrev av 25. februar 2016 vedrørende ovennevnte høring.

Høringsuttalelse Forslag til forskrift om kommunal håndheving av politivedtekter

Høring - Forenklinger i plandelen av plan- og bygningsloven

Høring Forenklinger i plan- og bygningsloven (byggesaksdelen)

Høring - Forslag til endringer i byggesaksforskriften (SAK)

MOTTATT. Saksbehandler: Trude Hafslund EW. T

Høring - Forslag til ny lov om klageorganer for forbrukersaker. høringsbrev av vedrørende ovennevnte høring.

HVEM ER JEG OG HVOR «BOR» JEG?

Høring - Forslag om barns rett til å samtykke til deltakelse i forskning

Deres ref.: 11/2524 Dok. nr.: Saksbehandler:TH / JRA

Høring - Forslag til forskrift til eierseksjonsloven 9

Saksbehandler: Mari Kristine Rollag Arkiv: G10 &13 Arkivsaksnr.: 14/ Dato:

HØRING - ENDRING AV MATRIKKELFORSKRIFTEN

Høring: Forskrift om saksbehandlingen for Konkurranseklagenemnda

HØRING - FORSLAG OM ENDRINGER I REGLENE OM OFFENTLIGE ANSKAFFELSER

Advokat foreningen 18OKTZ007. MO7-TaTT. Høringsuttalelse - tiltak mot trygdemisbruk mv. Arbeids- og inkluderingsdepartementet

Høring - Forslag til forenklinger i aksjeloven og allmennaksjeloven

Høring - Forslag om å oppheve konsesjonsloven og boplikten

Høring - Forslag til forskrift om adopsjon av barn fra utlandet

HØRING NYE ENERGIKRAV FOR BYGG

Vår ref: #85102v11th-th Saksbehandler: Trude Hafslund T

Høring Forslag om merverdiavgift og fast eiendom

Høring - Hvitvaskingslovutvalgets utredning NOU 2016: 27

Ot.prp. nr. 51 ( )

Formidling av pasientinformasjon ny lovgivning (i forbindelse med pasientbehandling) NSH

Høring - Forslag om endring av lov av 21. juni 2013 nr. 102 om stillingsvern mv. for arbeidstakere på skip (skipsarbeidsloven)

Høringsuttalelse - finansinstitusjoners pantsettelse av egne kunders innskuddskonto - forslag om endringer i panteloven

Dok. nr.: Saksbehandler: Trude Molvik

Vi viser til departementets høringsbrev av vedrørende ovennevnte høring.

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Høring - Endringer i markedsføringslovens håndhevingsregler

OFFENTLIG HØRING AV FORSLAG TIL FORENKLINGER I SAK10 OG TEK10 VEDR. EKSISTERENDE BYGG

Høring - endringer i lov om avleveringsplikt for allment tilgjengelege dokument

Helse- og omsorgsdepartementet. Postboks 8011 Dep OSLO

Høringsuttalelse - Endringer i introduksjonsloven og statsborgerloven med forskrifter og utlendingsforskriften

Høring - Forslag om å innføre overtredelsesgebyr og heve strafferammene i forurensningsloven, produktkontrolloven og naturmangfoldloven

Høring - Utkast til forskrift om miljøvurderinger av tiltak etter sektorlover

HØRING OM ENDRING I FORSKRIFT OM KRAV TIL MASTERGRAD BACHELOR OG MASTER I RETTSVITENSKAP 3+2

Høring -Endri ng i oreigningslova 4

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Høringsuttalelse - forslag om innføring av tidsfrister for krav om universell utforming av ikt i ny diskriminerings- og tilgjengelighetslov

Behov for oppdatering av EPJ standard som følge av regelverksendringer mv

Høringsnotat: Enklere tilgang til helseopplysninger for kvalitetssikring av helsehjelp og egen læring

Høringsuttalelse - forslag til endringer i utlendingsforskriften - gjennomføring av EU's grenseforordning

Høring Begrensning av fradrag for rentekostnader i interessefellesskap - utfyllende forskrift

Pasientjournalloven - endringer og muligheter

Høringsuttalelse - ny lov om elsertifikater

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Hvordan kan personvernet ivaretas i helsesektoren?

ADVOKATFORENINGEN THENORWEGIANBARASSOCIATION

Høringsuttalelse - utvidet bruk av politiattester i barnevernet (forslag om endringer i barnevernloven 6-10)

Høring - forskriftsbestemmelser til ny metode for verdsettelse av utleid næringseiendom

Høringsuttalelse - Utkast til endringer i vassdragslovgivningen - opphevelse av bestemmelsene om tilleggserstatning

Høringsuttalelse - Forslag til matrikkelforskrift mv.

Vi viser til departementets høringsbrev av 26. juni vedrørende ovennevnte høring.

Høring av forslag til forskrift om informasjonssikkerhet, tilgangsstyring og tilgang til helseopplysninger i behandlingsrettede helseregistre

Datatilsynets høringsuttalelse - Forskrift om tilgang til helseopplysninger mellom virksomheter

Høringsuttalelse - om unngåelse av internasjonal beskatning.

DRAMMEN KOMMUNE. Postmottak HOD

Høringsuttalelse om vurdering av endringer i nasjonal institusjon.(ni).

Lovfortolkning - Helsepersonelloven 29c - Opplysninger til bruk i læringsarbeid og kvalitetssikring

Personvern og informasjonssikkerhet ved samhandling

Høringssvar: Forslag til forskrift om Norsk helsearkiv og Helsearkivregisteret

Ny pasientjournallov endringer og muligheter

Svar på høring: Forslag til forskrift om informasjonssikkerhet, tilgangsstyring og tilgang til helseopplysninger i behandlingsrettede helseregistre

Høring - Europakommisjonens forslag til forordning om eid og e-signatur m.m.

Tilgangskontroll i fugleperspektiv Tilgangskontroll i IT-systemer de fire A-er Administrasjon Autentisering Autorisasjon Audit (etterhåndskontroll) Av

Deres ref. Deres dato Vår ref. Vår dato /ASD /10ToNy

Ny lov nye muligheter for deling av pasientopplysninger

Høring EPJ Standard del 2: Tilgangsstyring, redigering, retting og sletting

Personvern og tilgang på tvers. Hva mener KITH?

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/ / /CGN 9. april 2013

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.

innhente taushetsbelagte helseopplysninger. Setningen burde derfor omformuleres.

Det fremgår av høringsbrevet at: "Formålet med lovforslagene er å fjerne

Plikt- og rettssubjekter. Den som har krav på noe, den som har rett på noe. Den som er pålagt noe, den som har ansvaret for å se til at noe blir gjort

MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT. Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO.

Veiledende merknader til helseregisterloven 13 og helseinformasjonssikkerhetsforskriften

Fagkurs for kommuner Personvern og taushetsplikt (75 minutter)

Bruk av pasientjournal og personvern. Helge Veum, senioringeniør DRG-forum, Gardermoen 8. mars 2011

Vi viser til departementets høringsbrev av 18. desember 2008 vedrørende ovennevnte høring.

Høring - forskrift om uttak og utnytting av genetisk materiale (bioprospekteringsforskriften)

'Il ADVOKATFORENINGEN THE NORWEGIAN BAR ASSOCIATION

Høring om endringer i forskrift til straffegjennomføringsloven (barn og straff)

Vi viser til departementets høringsbrev av vedrørende ovennevnte høring.

Høring NOU 2018:11 Ny fjellov

Sikkerhetskrav for systemer

Saksbehandler: Toril Løberg Arkiv: H01 &13 Arkivsaksnr.: 13/ Dato: HØRING - FORSLAG TIL FORSKRIFT OM NASJONAL KJERNEJOURNAL

Høring - Økt åpenhet om informasjon om eiere i aksjeselskaper

Høring -Forslag til forenklinger og endringer i forskrift om byggesak

Høringsuttalelse - EU-kommisjonens forslag til nye personvernregler

Høringsuttalelse - NOU 2009:17 Sikring mot tap av felleskostnader i borettslag

Forslag til forskrift om informasjonssikkerhet, tilgangsstyring og tilgang til helseopplysninger i behandlingsrettede helseregistre

Ny pasientjournallov - endringer og muligheter

Høring Endringer i energiloven tredje energimarkedspakke

Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven 26

- Advokatforeningen AUG 2009 MOTTATT

Pasientjournalloven og helseregisterloven

Transkript:

Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 Oslo Også sendt pr. e-post til postmottak@hod.dep.no Deres ref: 201001921 Vår ref: #99211v1/th Saksbehandler: Trude Hafslund th@advokatforeningen.no T +47 22 03 50 61 16.09.2010 Høringsuttalelse - forslag til forskrift om informasjonssikkerhet, tigangsstyring og tilgang til helseopplysninger i behandlingsrettede helseregistere I Innledning Vi viser til departementets høringsbrev av 10. mai 2010 vedrørende ovennevnte høring. Det er en prioritert oppgave for Advokatforeningen å drive rettspolitisk arbeid gjennom høringsuttalelser. Advokatforeningen har derfor en rekke lovutvalg inndelt etter fagområder. I våre lovutvalg sitter advokater med særskilte kunnskaper innenfor det aktuelle fagfelt og hvert lovutvalg består av advokater med ulik erfaringsbakgrunn og kompetanse innenfor fagområdet. Arbeidet i lovutvalgene er frivillig og ulønnet. Advokatforeningen ser det som sin oppgave å være en uavhengig høringsinstans med fokus på rettssikkerhet og på kvaliteten av den foreslåtte lovgivningen. I saker som angår advokaters rammevilkår vil imidlertid regelendringen også bli vurdert opp mot advokatbransjens interesser. Det vil i disse tilfellene bli opplyst at vi uttaler oss som en berørt bransjeorganisasjon og ikke som et uavhengig ekspertorgan. Årsaken til at vi sondrer mellom disse rollene er at vi ønsker å opprettholde og videreutvikle den troverdighet Advokatforeningen har som et uavhengig og upolitisk ekspertorgan i lovgivningsprosessen. I den foreliggende sak uttaler Advokatforeningen seg som ekspertorgan. Saken er forelagt lovutvalget for IKT- og personvern. Lovutvalget består av Eva Jarbekk (leder), Mette Borchgrevink, Kjersti Jensen, Ingvild Mestad, Cathrine Murstad og Kjell Steffner. Advokatforeningen avgir følgende høringsuttalelse: II Sakens bakgrunn Helseregisterloven har nylig fått nye regler om tilgang til helseopplysninger, som skal utfylles ved forskrift. Høringsforslaget er utkast til slike forskrifter. Advokatforeningen synes departementet har lyktes i å skape en tilstrekkelig god balanse mellom hensynet til personvernet og hensynet til DEN NORSKE ADVOKATFORENING Kristian Augusts gate 9, N-0164 Oslo T +47 22 03 50 50 F+47 22 11 53 25 post@advokatforeningen.no www.advokatforeningen.no org.nr. 936 575 668

god tilgjengelighet for pasientopplysninger ved utformingen avreglene. Utkastet har meget viktige regler for tilgang, logging av tilgang, samt sperring av pasientopplysninger, som Advokatforeningen støtter. Selv om Advokatforeningen støtter forskriftsforslaget om tilgangsstyring og tilgang til helseopplysninger, vil vi understreke at forslaget forutsetter massiv innsats i systemutforming, organisatoriske tiltak og kompetanseoppbygging. Forskriften vil i praksis måtte fungere som kravspesifikasjon for systemutforming og vi antar at det vil oppstå betydelige utfordringer knyttet til både utviklingskostnader og implementeringstid for hvordan de mange eksisterende ulike tekniske systemer skal implementere regelverket. Forslaget er ambisiøst, men nødvendig for å tilfredsstille helseregisterlovens generelle krav til personvern og tilgang til pasientopplysninger. III Kommentar til de enkelte forslagene Begrepsbruken i utkastet er uklar, eksempelvis brukes begrepet forsvarlig informasjonssikkerhet i 4, og god informasjonssikkerhet i 1 og 7. Departementet kommenterer bruken av ordet god på side 11, og sier at god er et skjerpet krav i forhold til uttrykket tilfredsstillende informasjonssikkerhet i helseregisterloven 16. Advokatforeningen støtter departementets intensjon her, men den ulike begrepsbruken skaper tvil om bruken av begrepet forsvarlig i 4. Dette bør avklares. Paragraf 9 har viktige regler om systemet for administrering av autorisasjoner. Reglene synes for generelle, men departementets merknader utdyper disse. Disse merknadene vil ha begrenset tilgjengelighet for regelbrukerne, og Advokatforeningen vil derfor anbefale at 9 utdypes med de føringer som gis i merknadene. Tilgang: Helseregisterloven 13 og 13 a er særdeles viktige regler for å sikre at taushetsplikten gjennomføres i praksis på en slik måte at personvernet sikres. Etter 13 skal tilgang bare gis i den grad dette er nødvendig for vedkommendes arbeid, i andre tilfeller skal tilgang ikke gis. Bred tilgang til pasientopplysninger kan gi anledning til urettmessig innsyn i andres journaler, såkalt snoking. Slik snoking er forbudt etter helseregisterloven 13 a), men et effektivt forbud forutsetter effektige tilgangsbegrensninger. Snoking i journaler vil være mulig så lenge mennesker er nysgjerrige, såfremt de nysgjerrige har faktisk tilgang til pasientopplysninger. Det er derfor nødvendig å begrense tilgangen til de som har saklig og tjenstlig behov for tilgang. Snoking er en alvorlig trussel mot taushetsplikten og tilliten til helsevesenet. Spesielt utsatt er personer i offentlighetens søkelys, samt pasientgrupper som kan bli utsatt for sosiale sanksjoner dersom helseopplysninger kommer på avveie. Eksempler på det siste kan tenkes å være unge, ugifte kvinner fra enkelte minoritetsmiljøer som blir utsatt for sosiale eller kriminelle sanksjoner dersom journalopplysninger om for eksempel abort skulle komme på avveie. Dette vil lett kunne skje dersom tilgangen er videre enn det som er nødvendig for behandling av den aktuelle pasienten. Mulighetene for snoking kan medføre at personer som har råd til det vil foretrekke private helsetilbud fremfor det offentlige, noe som kan uthule det offentlige helsevesenet. Dette er imidlertid ikke et alternativ for andre pasientgrupper, jf eksemplet ovenfor. Det må ikke bli slik at personvern for helseopplysninger kun blir aktuelt for en begrenset gruppe pasienter. Helsepersonellovens regler om sperring av pasientopplysninger i 25 og 45, jf forskriften 29, kan begrense problemet for pasienter med god regelkunnskap, men ikke for pasienter generelt sett. Pasientstyrt tilgangsstyring (se nedenfor) kan også avhjelpe her. Ifølge høringsnotatets kapitel 5: Administrative og økonomiske konsekvenser, side 39, er det i dag DEN NORSKE ADVOKATFORENING 2

uklart i hvilken grad helseforetakene har implementert beslutningsstyrt tilgang til helseopplysninger. Det som synes klart, er at en rekke helseforetak ikke har gjennomført slik beslutningsstyrt tilgang, noe som medfører at en rekke helsepersonell har faktisk tilgang til helseopplysninger som de ikke har saklig behov for. Forskriftens krav til tilgang i utkastets 10 er viktig og nødvendig for å sikre at ikke uvedkommende får tilgang til pasientopplysninger som de ikke har saklig behov for i sitt arbeid. 10 annet ledd a) c), bør suppleres med en regel om at også informasjonsnivå og -type må spesifiseres. Eksempelvis bør en tilgangsbeslutning definere om tilgangen er på epikrisenivå, journalnotatnivå, eller annet nivå. Ad 11: Departementet kommenterer på side 49 de tilfellene hvor helseforetaket ikke har tilstrekkelig differensiert tilgangsstyring med at dette kan avhjelpes med andre tiltak. Departementet legger her opp til en blålysfunksjon (mulighet for å omgå tilgangsbegrensningene i nødstilfelle), som gir mulighet for en uthuling av personvernet og taushetsplikten som forskriften skal sikre. Etter Advokatforeningens oppfatning har departementet tatt for lett på de praktiske, organisatoriske, datatekniske og økonomiske sidene ved tilgangsstyringen. Hensynet til de ansatte i helsevesenet er også relevant i forbindelse med logging av tilgang: Dersom man ikke har gode nok systemer for sikker identifisering av den som skaffer seg tilgang, kan ansatte urettmessig beskyldes for å ha skaffet seg tilgang, i tilfeller hvor en annen person har brukt den ansattes ID. Advokatforeningen støtter derfor kravet om autentisering i 13. Tilgang til pasientdata skal være beslutningsstyrt, jf helseregisterloven 13 og forskriftsutkastet 10. Dette forutsetter at helseforetakene bemannes med personer som har som oppgave å foreta tilgangsbeslutninger, samt å oppdatere og revurdere disse, jf 11 jf 10 annet ledd. Dersom ikke dette tas alvorlig, vil beslutning om tilgang tas uten konkret vurdering. Dette vil i praksis kunne resultere i at en unødvendig stor krets gis tilgang. Beslutningsstyrt tilgang til helseopplysninger må gjennomføres slik at de som trenger pasientopplysninger i sitt arbeid med pasienten er sikret opplysningene, dette er nødvendig for å sikre riktig behandling. Beslutning om tilgang må derfor tas basert på konkrete vurderinger av den enkelte helsepersonells tjenstlige behov. Dette forutsetter at det enkelte helseforetak tar organisatoriske grep og avsetter tilstrekkelig med personell til å foreta tilgangsbeslutninger, samt å oppdatere og revurdere disse, jf 10 siste ledd. Utkastet legger ikke opp til pasientstyrt tilgangsstyring, dvs. et system hvor pasientene selv tar kontroll med graden av åpenhet for egne helseopplysninger. Pasientstyrt tilgangsstyring kan tenkes som en mulighet for de pasienter som ønsker kontroll over tilgangsstyringen, uten å måtte sperre opplysninger. Sperring av pasientopplysninger kan hindre nødvendig tilgjengelighet, noe som kan unngås ved pasientstyrt tilgangsstyring. Pasientstyrt tilgangsstyring er ikke et alternativ til beslutningsstyrt tilgangsstyring. Det bør vurderes som et tilbud til pasienter som selv ønsker å ta kontroll over tilgangen til egne opplysninger, i tillegg til hovedregelen om beslutningsstyrt tilgang, med muligheter for sperring og sporing. For pasienter som velger pasientstyrt tilgang, vil pasientens beslutninger tre i stedet for helsepersonellets beslutninger, men bør kunne fravikes i nødsfall. Advokatforeningen vil oppfordre departementet om å vurdere en slik ordning Kapittel VII har krav om logging og dokumentasjon av tilgang. Så langt Advokatforeningen kjenner til har dagens teknologiske løsninger meget begrensede muligheter for å tilfredsstille forskriftens krav om logging i dette kapitlet, noe som betyr at pasientens innsynsrett i 34 vanskelig kan oppfylles i praksis. De logger som brukes i dag, må bearbeides, noe som vil kunne kreve opptil flere dagsverk per innsynsbegjæring. Det vil derfor være behov for systemutforming DEN NORSKE ADVOKATFORENING 3

også på dette punkt, og 34 synes å kunne være utgangspunkt for en kravspesifikasjon til slike systemer. Kapittel V regulerer direkte tilgang til helseopplysninger på tvers av virksomheter, og er som hovedregel basert på samtykke fra den registrerte. Dette er i samsvar med grunnprinsippet om samtykke som grunnlag, både for behandling av personopplysninger, og for behandling av pasienter. Paragraf 22 forutsetter avtale mellom de berørte foretak. Advokatforeningen anser kravet om avtale som en nødvendighet for å sikre ryddige forhold mellom partene, og antar at dette kan forenkles dersom det utarbeides standardiserte avtaler. Pasientene bør informeres, både i forbindelse med innhenting av samtykke, samt på helseforetakets nettsider eller lignende. Kapittel VI har regler om sperring av helseopplysning, og Advokatforeningen støtter forslagene. Kapittel VII krever logging og dokumentasjon av tilgang. Dette er viktige regler for å trygge personvernet, og Advokatforeningen støtter forslagene. Slettefristen på to år synes riktig. Kapittel VIII Ikrafttredelse. Advokatforeningen er bekymret for at dagens teknologiske løsninger for eksisterende pasientdatabaser ikke vil være i stand til å tilfredsstille de kravene om tilgangsstyring, sperring, logging etc som forskriften i praksis forutsetter. Dette er særdeles viktige regler som er nødvendige for å sikre personvernet og taushetsplikten. Forskriften kan tre i kraft trinnvis, jf 36. Departementet legger opp til (side 40) at kapittel I, II, III og V kan settes i kraft 1. juli 2011 og de andre senere. Departementet forutsetter at dette kan skje innenfor de gitte budsjettrammene i helsevirksomhetene. Advokatforeningen anser i utgangspunktet ikke dette som realistisk, men overlater til helseforetakenes å vurdere realismen i dette. Etter Advokatforeningens oppfatning er det neppe mulig å gjennomføre det viktige kapittel V om tilgang på så kort varsel, da disse reglene i praksis vil forutsette systemutforming, kompetanseoppbygging og organisatoriske tiltak, noe som tar tid og medfører kostnader. Dette er imidlertid svært nødvendige kostnader, og hvis reglene skal fungere som forutsatt er det trolig nødvendig med en sentral innsats for systemutforming, samt budsjettmidler både av kompetansemessige og ressursmessige årsaker. Reglene må også følges opp med kontroll fra myndighetenes side, og vi forutsetter her at helsemyndighetene og Datatilsynet samarbeider om dette. IV Generelle merknader Høringsuttalelsen forutsetter at nødvendige tiltak for å gjennomføre forskriften innen ordinære budsjettrammes, og at leverandørene må ta store deler av omkostningene. Dette synes lite realistisk. Private leverandører kan ikke forventes å arbeide gratis, selv om helsesektoren kan bli en stor kunde. Etter Advokatforeningens oppfatning bør forskriften følges opp med sentrale tiltak for systemutvikling i helsesektoren, budsjettmidler, samt kontroll av at forskriften følges. Konsekvensanalysen synes ikke å reflektere de omkostninger som forslaget vil medføre, og som er helt nødvendige for å sikre nødvendig tilgjengelighet til pasientopplysninger kombinert med personvern for pasientene. Høringsutkastets forutsetning om at kravene gjennomføres innen gitte budsjettrammer synes på denne bakgrunn urealistisk. V Avslutning/oppsummering Advokatforeningen synes departementet har lyktes i å skape en tilstrekkelig balanse mellom hensynet til personvernet og hensynet til god tilgjengelighet for pasientopplysninger ved utformingen av reglene. Utkastet har meget viktige regler for tilgang, logging av tilgang, samt DEN NORSKE ADVOKATFORENING 4

sperring av pasientopplysninger, som Advokatforeningen støtter. Selv om Advokatforeningen støtter forskriftsforslaget om tilgangsstyring og tilgang til helseopplysninger, vil vi understreke at forslaget forutsetter massiv innsats i systemutforming, organisatoriske tiltak og kompetanseoppbygging. Forskriften vil i praksis måtte fungere som kravspesifikasjon for systemutforming og vi antar at det vil oppstå betydelige utfordringer knyttet til både utviklingskostnader og implementeringstid for hvordan de mange eksisterende ulike tekniske systemer skal implementere regelverket. Vennlig hilsen Merete Smith generalsekretær DEN NORSKE ADVOKATFORENING 5

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding