8 Oppbevaring av helseopplysninger i forsikring
I dette kapittelet beskrives hvordan den informasjonen som innhentes av forsikringsselskaper oppbevares, og hvem den er tilgjengelig for. Det finnes noen felles registre for flere selskaper, men bruken av disse er underlagt strenge vilkår. Utvalget foreslår ingen innstramming i disse reglene.
8.1 Lagring og gjenbruk av helseopplysninger
En viktig årsak til ikke å ville gi fra seg sensitive helseopplysninger til forsikringsselskaper, kan være frykt for at opplysningene kommer på avveier eller blir brukt mot en siden. Utvalget vil i dette avsnittet gjennomgå de reglene som gjelder for lagring og gjenbruk av helseopplysninger i forsikring. Dels dreier dette seg om hvordan data sikres, dels om hvordan utveksling av data mellom forskjellige registre skal styres og begrenses, og dels om hvordan adgangen til bruk av og innsyn i dataene i det enkelte register skal være. En beskriver norske forhold, idet eksport av data til land med dårligere datasikkerhet enn den norske som regel ikke er tillatt (se ovenfor i 5.3).
Det er alltid en viss risiko ved utveksling og lagring av sensitive opplysninger. Det viktigste sikkerhetstiltaket er derfor at mer informasjon enn det som er nødvendig, ikke utveksles eller lagres. Dels må irrelevant informasjon ikke samles inn (ovenfor i 5.3.4), og dels må informasjonen slettes når det ikke lenger er bruk for den (nedenfor i 8.5).
8.2 Lagring i det enkelte forsikringsselskap
Skal selskapet kunne behandle krav etter en forsikringsavtale, må det ha lagret en del opplysninger i forbindelse med avtalen.
Helseopplysninger som kommer til det enkelte selskap skal i utgangspunktet være relevant, fordi det bare skal spørres etter relevante opplysninger, og irrelevante opplysninger skal sorteres ut (se ovenfor i 5.4). De opplysningene selskapet etter dette står igjen med, kan lagres i vanlige papirarkiver eller elektronisk (typekonsesjonen punkt 2.2). Det stilles omfattende krav til informasjonssikkerhet (typekonsesjonen punkt 3). Datatilsynets retningslinjer for informasjonssikkerhet ved behandling av personopplysninger gjelder. Disse innebærer at det skal lages rutiner som blant annet hindrer at uvedkommende får adgang til dataene.
Regelverket er systemorientert. Det vil si at det kreves at det etableres systemer for å sikre at arkivskap låses snarere enn at det gis en regel om at arkivskapene må være låst hver kveld. Poenget med å lage regelverket slik, er at det trolig gir større sikkerhet enn en rekke detaljerte og konkrete pålegg.
Opplysninger som ikke gjelder løpende forsikringsforhold, skal normalt slettes (nedenfor i 8.5). Dersom de unntaksvis ikke skal slettes, skal de overføres til et eget «historisk register» (typekonsesjonen punkt 2.6). Tilgangen til dette registeret skal være «mer begrenset» enn tilgangen til det vanlige registeret.
De dataene som er registrert, er ikke fritt tilgjengelige i selskapet. Selskapets folk skal bare ha adgang til dataene i den grad det er nødvendig for å utføre pålagte oppgaver (retningslinjene for informasjonssikkerhet punkt 16.3), og de har lovbestemt taushetsplikt (ovenfor i 5.5.1). Dessuten kan de lagrede opplysningene bare brukes til formål som er forenlige med de formål de ble innsamlet for, med mindre samtykke er innhentet (personopplysningsloven § 11 første ledd (c)). Dette hindrer ikke at helseopplysninger som er samlet inn for å vurdere risikoen ved tegning av en forsikring kan brukes ved oppgjør av den samme forsikringen. Men det er ikke adgang til å bruke opplysninger som er gitt ved tegning av en forsikring når en annen skal gjøres opp (uten samtykke eller lovhjemmel). En annen sak er at det vil være rettsstridig av forsikringstakeren å fortie slike opplysninger om de er relevante. Vedkommende ser seg nok også tjent med å samtykke til at selskapet kan undersøke i sine egne arkiver.
Utvalgets gjennomgang av disse reglene har ikke foranlediget forslag til endringer.
8.3 Lagring i felles konsernregister
Konsesjonene for personregister i forsikring har vært gitt til konserner under ett, og har derfor blant annet omfattet flere forsikringsselskaper. Spørsmålet oppstår da om dette innebærer at informasjon fritt kan utveksles innen konsernet.
Iallfall når konsesjonen er gitt til konsernet under ett, synes det klart at det kan opprettes et felles konsernregister med navn, adresser og liknende ikke- sensitive data. (Alternativt kan konsernets registre koples, se typekonsesjonen punkt 2.7.) Det er antatt at registeret også må kunne vise hvilke konsernselskaper som har engasjementer med vedkommende kunde, uansett taushetsplikten etter forsikringsvirksomhetsloven § 1–3. Dette kan være nyttig, idet alle konsernselskapene da vet hvor opplysninger finnes. Opplysningene kan da innhentes etter samtykke eller med hjemmel i forsikringsvirksomhetsloven § 1–3.
Også sensitive data kan i og for seg registreres i konsernets felles register. Men både taushetsplikten etter forsikringsvirksomhetsloven og de konsesjonsvilkårene som er omtalt ovenfor i 8.2, hindrer at slike opplysninger i så fall lovlig kan gjøres tilgjengelig for de andre konsernselskapene. Skal de inn i registeret, må de derfor sperres.
Et mulig unntak fra dette er utveksling av helseopplysninger mellom de av konsernselskapene som er forsikringsselskaper, der taushetsplikten etter forsikringsvirksomhetsloven § 1–3 ikke gjelder. Men trolig kreves det samtykke også i disse tilfellene, fordi dette vil være bruk av opplysingene til nytt formål etter personopplysningsloven § 9. Dette vil likestille andre konsernselskaper med forsikringsselskaper utenfor konsernet, som eventuelt må innhente helseopplysninger via bransjens felles registre.
Når samtykke til felles bruk av personopplysninger i et konsern må gis, kan det gis i den enkelte forsikringsavtale, enten i forbindelse med at informasjonen gis første gang eller i forbindelse med at det er behov for gjenbruk. Samtykke til bruk i konsernet må naturlig forstås slik at det gjelder konsernet slik det til enhver tid er, i tilfelle det omstruktureres.
Et eventuelt samtykke bør klargjøre om det fritar fra taushetsplikten etter forsikringsvirksomhetsloven § 1–3, eller bare fra personopplysningslovens forbud mot gjenbruk av opplysninger. Om ikke annet fremgår, må samtykket normalt forstås restriktivt, slik at det bare gjelder forbudet mot gjenbruk. Samtykket medfører i så fall at helseopplysningene kan stilles til disposisjon for andre forsikringsselskaper i konsernet, men ikke andre typer konsernselskaper.
Utvalget foreslår ingen endringer i regelverket på dette punktet.
8.4 Lagring i bransjens fellesregistre
Typekonsesjonene for forsikringsselskaper tillater kopling mellom det enkelte selskaps registre og «forsikringsbransjens felles registre» (typekonsesjonen punkt 2.7). Det er her tenkt på registrene til medlemmene i Finansnæringens Hovedorganisasjon (tidligere Norges Forsikringsforbund). De felles registre drives med konsesjon fra Datatilsynet. De som har betydning for utvalgets arbeid er følgende:
Sentralt skaderegister. Registeret omfatter skadehistorikk i skadeforsikring, og skal brukes til å forhindre og begrense forsikringssvindel. En kan for eksempel se om samme skade er meldt flere ganger, eller om én person har mistenkelig mange skader. Registeret kan ikke brukes ved tegning av forsikring – en kan altså ikke nekte noen forsikring på grunn av skadehistorikk som er dokumentert med data fra dette registeret. I registeret identifiseres skadelidte med personnummer, og skadens art beskrives uten detaljer. Bare et selskap som registrerer en ny skade kan få innsyn (for å forhindre at opplysningene brukes for eksempel ved tegning).
Register over søknader i Nevnden for helsebedømmelse. Registeret omfatter avgjørelser i Nevnden for helsebedømmelse, som vurderer helserisiko ved tegning av personforsikring i tvilstilfeller. Formålet er å få en så ensartet risikobedømming som mulig. Registeret inneholder nødvendige detaljer om den som har søkt forsikring og bedømmingen av vedkommendes helserisiko.
Register over forsikringssøkere og forsikrede. Registeret kan etter konsesjonen omfatte alle som søker personforsikring, men omfatter i praksis kun forsikringskunder som har fått tillegg i premien, avslag på forsikringssøknad, forsikring på spesielle vilkår i forhold til helse eller som har fremmet krav om uføreerstatning. Registeret brukes til å oppnå en god og ensartet risikobedømming, og for å hindre «spekulasjon,» for eksempel i den form at kundene går fra selskap til selskap for å få bedre risikobedømmelse vedrørende helseforhold.
I selve registeret registreres navnet på forsikringssøkeren, personnummer og navn på selskapet som har foretatt registreringen, og eventuelt om det er fremmet krav om uføreerstatning. I motsetning til det som gjelder for standardkonsesjonene for det enkelte selskap, kan også avslåtte og bortfalte søknader registreres. Detaljerte opplysninger om personer som finnes i registeret, kan da innhentes hos vedkommende selskap (om opplysningene fremdeles finnes der). Dette selskapet kan gi fra seg opplysningene uten hinder av taushetsplikt etter unntaket fra taushetsplikten i forsikringsvirksomhetsloven § 1–3.
Registeret over søknader i Nevnden for helsebedømmelse må føres manuelt, mens de andre kan føres elektronisk. Det er fastsatt en rekke sikkerhetsbestemmelser for registrene for å hindre at opplysningene spres til uvedkommende. I Register over forsikringssøkere og forsikrede er masseutlevering av fødselsnumre til selskapene tillatt (konsesjonen punkt 4.3).
Taushetsplikten for de som driver de sentrale registrene følger direkte av forsikringsvirksomhetsloven § 1–3 (se ovenfor i 5.5.1), da bestemmelsen også omfatter «andre som utfører oppdrag for forsikringsselskap». Konsesjonene krever at personalet må undertegne taushetserklæringer, iallfall når lovbestemt taushetsplikt ikke gjelder.
For å registrere opplysninger i de sentrale registrene, kreves det samtykke for å fravike taushetsplikten. Som nevnt ovenfor i 5.5.1, har Datatilsynet tolket unntaket fra taushetsplikten vedrørende helseopplysninger i forsikringsvirksomhetsloven § 1–3 slik at den bare gjelder like overfor andre forsikringsselskaper, og ikke når opplysningene overføres til de sentrale registrene. I tillegg til dette samtykkekravet fastsetter konsesjonene krav til hvordan forsikringskundene skal informeres.
Det er ikke helt klart om alle registrene vil trenge konsesjon etter den nye personopplysningsloven. Utvalget antar imidlertid at alle registrene omfatter helseopplysninger, for eksempel opplysninger om personskader og det at en har søkt om uføreerstatning, og at de derfor vil være konsesjonspliktige etter personopplysningsloven § 33. Uansett vil det være adgang til å kreve konsesjonsbehandling etter § 33 andre ledd.
Bruken av felles registre medfører en spredning av følsomme data. Slik utvalget ser det, kan fordelene med hvert enkelt register forsvare dette. Utvalget foreslår ingen endringer i regelverket på dette punktet.
Utvalgets medlemmer Sigmund Eliassen, Bente Ohnstad, Helga Skofteland og Britt Jøsok mener imidlertid at dette burde utredes nærmere. Ingen andre land det er naturlig å sammenligne seg med, har tilsvarende registre. Det er derfor grunn til å tro at man kan oppnå de samme resultatene uten en slik omfattende registrering av enkeltpersoner.
8.5 Sletting
Reglene om sletting og anonymisering er i hovedsak slik i konsesjonene:
Sentralt skaderegister og Register over forsikringssøkere og forsikrede: Når opplysningene ikke lenger har betydning for formålet, eller senest etter 10 år.
Register over søknader i Nevnden for helsebedømmelse: 5 år
Selskapenes registre: Når opplysningene ikke lenger har betydning for formålet. Dette vil trolig si at opplysningene kan være registrert fra søknaden er innkommet til den er avslått eller eventuelle krav er foreldet. I tilfelle av svindel eller forsøk på svindel må imidlertid opplysningene kunne beholdes lenger. Opplysninger innhentet fra det sentrale skaderegisteret skal (etter konsesjonen for dette registeret) slettes straks skadeutbetaling er registrert.
Utvalget foreslår ingen endringer i regelverket på dette punktet.