5 Kryptert lagring
5.1 Bakgrunn
5.1.1 Innleiing
Under stortingsbehandlinga av Innst. 338 S (2009–2010) frå kontroll- og konstitusjonskomitéen varsla helse- og omsorgsministeren eit lovforslag som presiserer korleis ein skal forstå kravet i helseregisterlova § 8 tredje ledd om at ”direkte personidentifiserende kjennetegn skal lagres kryptert” i sentrale helseregister. Bakgrunnen for dette var at Helse- og omsorgsdepartementet og Datatilsynet hadde ulik oppfatning av innhaldet i kravet. Helse- og omsorgsdepartementet har ansvaret for tolking av helseregisterlova, mens Datatilsynet fører tilsyn med at reglane i lova blir etterlevde.
I det følgjande blir det nemnde kravet i helseregisterlova omtalt som eit krav om ”kryptert lagring”. I høyringsnotatet vart det omtalt som eit krav om ”intern kryptering”, men departementet finn at omgrepet ”kryptert lagring” betre og meir presist dekkjer innhaldet i kravet i helseregisterlova § 8 tredje ledd.
5.1.2 Gjeldande rett
Lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger (helseregisterlova) regulerer behandling av helseopplysningar i helseregister.
Sentrale helseregister er regulerte i helseregisterlova § 8. Det tredje leddet i paragrafen regulerer sentrale helseregister der personidentifiserande opplysningar kan behandlast utan samtykke frå dei registrerte, og gir ei oversikt over slike register. Helseregisterlova § 8 tredje ledd har følgjande ordlyd:
”I følgende registre kan navn, fødselsnummer og andre direkte personidentifiserende kjennetegn behandles uten samtykke fra den registrerte i den utstrekning det er nødvendig for å nå formålet med registeret, og direkte personidentifiserende kjennetegn skal lagres kryptert i registrene:
Dødsårsaksregisteret
Kreftregisteret
Medisinsk fødselsregister
Meldingssystem for smittsomme sykdommer
Det sentrale tuberkuloseregisteret
System for vaksinasjonskontroll (SYSVAK)
Forsvarets helseregister
Norsk pasientregister
Nasjonal database for elektroniske resepter.
Nasjonalt register over hjerte- og karlidelser
Kravet til at direkte personidentifiserende kjennetegn skal lagres kryptert i registrene, gjelder ikke nasjonal database for elektroniske resepter.”
Det går fram av lovteksten at "direkte personidentifiserende kjennetegn skal lagres kryptert" i dei registra som er nemnde i § 8 tredje ledd. Dette gjeld likevel ikkje for Nasjonal database for elektroniske reseptar, jf. § 8 tredje ledd siste punktum.
Med formuleringa "direkte personidentifiserende kjennetegn" er meint namn og fødselsnummer. Dersom aktuelle register skulle innehalda andre typar direkte personidentifiserande kjenneteikn, for eksempel D-nummer, tilseier likevel ordlyden at også desse skal lagrast "kryptert". D-nummer er eit personeintydig nummer som i enkelte tilfelle blir tildelt i staden for fødselsnummer, jf. lov 16. januar 1970 nr. 01 om folkeregistrering § 4.
Omgrepet "kryptert" er ikkje definert i helseregisterlova, men ei vanleg forståing tilseier at noko som er "kryptert", har vore gjenstand for "kryptering". I daglegtalen blir omgrepa "kryptert" og "kryptering" som oftast nytta i samband med kommunikasjon. "Kryptering" inneber i den samanhengen at ei melding blir gjort uforståeleg for andre enn dei mottakarane ho er meint for. Dette blir gjerne gjort ved hjelp av ein matematisk eller lingvistisk teknikk for å sikra meldinga mot innsyn eller endringar. I forskrift 17. februar 2006 nr. 204 om pseudonymt register for individbasert pleie- og omsorgsstatistikk er kryptering definert som "omforming av opplysninger slik at de ikke kan leses eller rekonstrueres av uvedkommende", jf. § 1-2 nr. 2. Dekryptering er i nr. 3 i same paragrafen definert som "rekonstruksjon av krypterte opplysninger". Tilsvarande definisjonar er lagde til grunn i forskrift 17. oktober 2003 nr. 1246 om innsamling og behandling av helseopplysninger i Reseptbasert legemiddelregister. Kravet om at direkte personidentifiserande kjenneteikn skal lagrast "kryptert" i registra, jf. helseregisterlova § 8 tredje ledd, er å forstå som eit krav om at slike kjenneteikn skal lagrast i ei form som inneber at dei ikkje kan lesast eller rekonstruerast av uvedkomande. Kravet er i så måte eit minimumskrav som må sjåast som oppfylt både dersom direkte personidentifiserande kjenneteikn blir krypterte separat, og dersom slike kjenneteikn blir krypterte saman med andre registeropplysningar.
Kravet om kryptert lagring er vidare eit tryggingskrav og ikkje eit krav om registerform. Dette går fram av Innst. O. nr. 40 (2006–2007) s. 7 der mindretalet i helse- og omsorgskomitéen skreiv følgjande: "Disse medlemmer vil ikke etablere en ny registerform". Mindretalet i helse- og omsorgskomitéen representerte partia som hadde fleirtal på Stortinget, og forslaget frå mindretalet i komitéen samsvarer med lovvedtaket i Stortinget, jf. Innst. O. nr. 40 (2006–2007) og Besl. O. nr. 52 (2006–2007). Kravet om kryptert lagring står likevel i ei særstilling ved at det er eit konkret, lovfesta tryggingstiltak.
Etter systemet i helseregisterlova er lagring av helseopplysningar ei form for ”behandling av helseopplysninger”. Behandling av helseopplysningar er i helseregisterlova § 2 nr. 5 definert som ”enhver formålsbestemt bruk av helseopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter”. Etter ordlyden § 8 tredje ledd må det leggjast til grunn at kravet om kryptering berre gjeld ved lagring og ikkje ved anna behandling av helseopplysningar i dei aktuelle registra.
Det går fram av ordlyden i helseregisterlova § 8 tredje ledd at namn, fødselsnummer og andre direkte personidentifiserande kjenneteikn kan behandlast utan samtykke frå den registrerte i den grad det er nødvendig for å nå formålet med kvart enkelt register. Kravet om kryptert lagring er derfor ikkje til hinder for at direkte personidentifiserande kjenneteikn blir behandla i ukryptert form når dette er nødvendig for å oppfylle formåla med registra.
5.1.3 Kort om korleis Datatilsynet har forstått lova
Datatilsynet har lagt til grunn at kravet om kryptert lagring ikkje er eit alminneleg tryggingskrav, men eit krav om registerform. Datatilsynet meiner at kravet om kryptert lagring inneber at dei aktuelle registra skal førast på ein alternativ, kryptert identitet, og at direkte personidentifiserande kjenneteikn av den grunn må skiljast frå andre registeropplysningar og krypterast separat.
5.2 Framlegget i høyringsnotatet
I høringsnotatet vart det gjort framlegg om å flytta kravet om kryptert lagring frå helseregisterlova § 8 tredje ledd til helseregisterlova § 16. Den sistnemnde føresegna regulerer det ansvaret den databehandlingsansvarlege og databehandlarar har for tilfredsstillande informasjonstryggleik ved behandling av helseopplysningar. I høyringsnotatet vart det vidare presisert korleis departementet meiner at kravet om kryptert lagring er å forstå. Departementet streka under at kravet om kryptert lagring er eit tryggingskrav, som står i ei særstilling ettersom det går uttrykkjeleg fram av lova, og ikkje et krav om registerform. Vidare vart det vist til at kravet om kryptert lagring av direkte identifiserande kjenneteikn er eit minimumskrav som vil vera oppfylt dersom direkte personidentifiserande kjenneteikn blir lagra krypterte, anten separat eller saman med andre registeropplysningar. Det vart presisert at helseregisterlova § 8 tredje ledd ikkje inneber at direkte personidentifiserande kjenneteikn må skiljast frå andre registeropplysningar og krypterast separat.
5.3 Høyringsinstansane sitt syn
Av dei 39 høyringsinstansane som kom med høyringssvar, hadde 10 instansar merknader til den delen av høyringsnotatet som gjaldt kravet om kryptert lagring. Desse høyringsinstansane hadde ulike meiningar om den juridiske forståinga av kravet. Dei hadde også ulike oppfatningar når det gjaldt framlegget om å flytta kravet frå helseregisterlova § 8 tredje ledd til § 16.
Nasjonalforeningen for folkehelsen uttalte:
”Nasjonalforeningen ønsker å bruke anledningen til å støtte opp om Departementets tolkning av begrepet intern kryptering som blir tatt opp i høringsnotatet. Det rår diskrepans mellom Departementets og Datatilsynets tolkning av dette begrep. Nasjonalforeningen for folkehelsen ønsker å gi eksplisitt uttrykk for at organisasjonen slutter seg til Departementets tolkning.
Nasjonalforeningen for folkehelsen er enig i lovendringen i § 16 slik den er nedfelt i høringsvedlegget.”
Nasjonalt folkehelseinstitutt uttalte mellom anna følgjande:
”Folkehelseinstituttet støtter at det såkalte kravet om intern kryptering lovteknisk flyttes fra helseregisterloven § 8 tredje ledd til § 16. Vi deler Helse- og omsorgsdepartementets syn på kryptering som et konkret lovfestet sikkerhetstiltak, som del av flere systematiske tiltak for å ivareta den samlede informasjonssikkerheten. Vi anser at derfor at kravet naturlig faller inn under omtalen av krav til informasjonssikkerhet i § 16, heller enn under omtalen av registerformer i § 8.
Videre støtter vi Helse- og omsorgdepartementets fortolkning om at kravet om intern kryptering er å forstå som et minimumskrav om at direkte personidentifiserende kjennetegn skal lagres i en form som innebærer at de ikke kan leses eller rekonstrueres av uvedkommende. Det er også nødvendig at direkte personidentifiserende kjennetegn kan behandles i ukryptert form når dette er nødvendig for å ivareta registerets formål. Vi er tilfreds med at minimumskravet ansees som oppfylt både dersom direkte personidentifiserende kjennetegn blir kryptert separat og dersom slike kjennetegn blir kryptert sammen med andre registeropplysninger. Sistnevnte ivaretar helseregistre med papirbasert innrapportering og eldre struktur som vanskeliggjør separat kryptering.”
FFO (Funksjonshemmedes fellesorganisasjon) støttar ikkje forslaget om å flytta kravet om kryptert lagring frå helseregisterlova § 8 tredje ledd til § 16. FFO uttalte mellom anna:
”FFO legger til grunn at kravet som Stortinget satte om intern kryptering av helseregistre, ikke er et alminnelig sikkerhetskrav, men et krav om registerform. FFO deler derfor Datatilsynets oppfatning av at intern kryptering innebærer at de aktuelle registrene skal føres med en alternativ, kryptert identitet og at direkte personidentifiserende kjennetegn som navn og fødselsnummer, skal skilles fra andre registeropplysninger og krypteres separat.”
Bioteknologinemnda meiner at helseregisterlova § 8 tredje ledd ikkje bør endrast, og at spørsmålet om kryptering har mykje å seia for dei sentrale helseregistra. Bioteknologinemnda uttalte mellom anna:
”Bioteknologinemnda har i sin uttalelse i forbindelse med høringen til Gode helseregistre – bedre helse av 25.03.2010 tilrådd at de sentrale helseregistrene burde krypteres av en utenforstående tredjepart som ikke har noe med den daglige driften av registrene å gjøre. Dette øker datasikkerheten ved registeret, skaper tillit og fjerner enhver tvil om konfidensialitet og upartiskhet. Dette er fremdeles nemndas standpunkt for hvordan standarden bør være for de sentrale personidentifiserbare registrene uten samtykke.”
Helse Bergen HF uttalte:
”Helse Bergen HF finn det uheldig at lovtolkar og tilsynsorganet har hatt ulike oppfatningar om tolkinga av § 8, tredje ledd. Det er derfor bra at lovforståinga no er presisert frå departementet si side og at denne kjem tydeleg fram av lova. Å flytte teksten om krav til kryptering til § 16, som omhandlar informasjonstryggleik generelt, tydeleggjer nettopp dette. Helse Bergen HF meiner likevel at ein av omsyn til personvernet generelt bør vurdere å krevje at direkte personidentifiserande kjenneteikn blir kryptert separat frå dei andre opplysningane i samband med utarbeiding av nye forskrifter ved etablering av framtidige sentrale register.”
Kreftregisteret uttalte:
”Videre støtter Kreftregisteret de foreslåtte endringer i helseregisterloven § 8 tredje ledd, og at kravet om intern kryptering flyttes fra lovens § 8 til § 16. Dette vil tydeliggjøre kravet om tilfredsstillende informasjonssikkerhet, og at den interne krypteringen må ses i sammenheng med den totale informasjonssikkerheten.”
Helsedirektoratet støttar ikkje framlegget i høyringsnotatet. Direktoratet uttalte mellom anna følgjande:
”Kravet til intern kryptering av identitet, dvs at personidentifiserende kjennetegn skal lagres kryptert i sentrale registre, jf. helseregisterloven § 8 tredje ledd, er viktig for å ivareta den registrertes personvern. Det er derfor viktig at kravet fremgår tydelig av lovverket. Kravet til kryptering av identitet for sentrale registre kommer etter vår oppfatning klarere fram hvis bestemmelsen blir stående i § 8. Det vil derfor etter vår mening gi en dårligere løsning å flytte kravet til intern kryptering av personidentifiserende kjennetegn fra § 8 tredje ledd, til § 16, nytt andre ledd.
I følge ordlyden i § 8 er det direkte personidentifiserende kjennetegn som skal lagres kryptert i registrene, noe som taler for at det er de identifiserende kjennetegn som skal lagres kryptert. Hlsregl. § 16 stiller krav til informasjonssikkerheten i form av krav om konfidensialitet, integritet, kvalitet og tilgjengelighet ved behandlingen av helseopplysninger. Dette er generelle krav som skal ivareta en sikker behandling av helseopplysninger, og stiller seg dermed annerledes enn kravet til kryptering av identitet, som kun gjelder for de sentrale helseregistrene hjemlet i § 8 tredje ledd.”
Datatilsynet tek til etterretning at departementet har ei anna lovtolking enn tilsynet. Datatilsynet trur usemja i stor grad kjem av at departementet har eit anna syn på kva tolkingsbidrag lovforarbeid og anna forhistorie til helseregisterlova gir for det aktuelle rettsspørsmålet. Datatilsynet uttalte mellom anna følgjande:
”Etter Datatilsynets vurdering medfører forslaget til lovendringer en klar endring av gjeldende rett. Datatilsynet har tidligere redegjort for personvernkonsekvensene ved en slik lovfortolkning. Det er blant annet pekt på at dette reduserer verdien av et personvernfremmende tiltak til å bli et alminnelig sikkerhetstiltak.
Datatilsynet påpeker imidlertid at det er positivt at departementet synes å dele tilsynets vurdering av innholdet i internkrypteringskravet for enkelte av de sentrale helseregistrene opprettet med hjemmel i helseregisterloven § 8 tredje ledd. Det er også positivt at departementet mener det bør være et langsiktig mål for eksisterende helseregistre å skille mellom direkte identifiserende kjennetegn og andre helseopplysninger. Datatilsynet savner imidlertid mer tydelige og forpliktende uttalelser på når man kan forvente at et slikt skille skal være implementert i registrene.”
KITH (Kompetansesenter for IT i helse- og sosialsektoren) støttar ikkje forslaget i høyringsnotatet. KITH uttalte mellom anna følgjande:
”Framfor å etablere en tolking av begrepet kryptert identitet som etter vår mening ikke fremmer personvernet, foreslår vi heller at departementet ber Stortinget om hjemmel til å kunne gi en tidsavgrenset dispensasjon fra kravet om at direkte personidentifiserende kjennetegn skal lagres kryptert i registrene.”
Den norske legeforening er ikkje einig i lovforståinga som er lagt til grunn i høyringsnotatet. Legeforeningen uttaler:
”Legeforeningen er opptatt av kryptering ved at registrerte helseopplysninger skilles fra registrerte personidentifiserende kjennetegn som et viktig virkemiddel for å styrke personvernet -og dermed grunnlaget for registre. Vi ser det som avgjørende at befolkningen har tillit til registrene som grunnlag for å avlevere informasjon. Det er derfor ønskelig at et slikt prinsipp blir lagt til grunn for sentrale helseregistre, noe som vil gi en høyere terskel for misbruk, samtidig som konsekvensene ved en lekkasje ikke blir fullt så omfattende.
[…]
Det foreslås at bestemmelsen i gjeldende helseregisterlov § 8 tredje ledd flyttes til § 16. Legeforeningen har ikke innvendinger mot dette. Det må imidlertid med denne endringen ikke skapes noen tvil om at kryptering er et aktuelt personverntiltak også for andre registre som ikke er opplistet i § 8 tredje ledd. (Viktig at det ikke kan skapes et inntrykk av at ny § 16 annet ledd gir noen uttømmende opplisting av registre der kryptering skal benyttes.)
Vi er for øvrig enig i prinsippet om at "Det er den totale informasjons-tryggleiken som er avgjerande for om kravet om "tilfredsstillende informasjonssikkerhet" etter helseregisterlova § 16 er oppfylt.”
5.4 Departementet sine vurderingar og framlegg
5.4.1 Kravet om kryptert lagring
Kravet om at "direkte personidentifiserende kjennetegn skal lagres kryptert i registrene" vart teke inn i helseregisterlova da Stortinget behandla lovforslaget om Norsk pasientregister, jf. Ot.prp. nr. 49 (2005–2006) og Innst. O. nr. 40 (2006–2007). Kravet vart altså ikkje foreslått i lovproposisjonen og er derfor ikkje omtalt der. I innstillinga er det heller ikkje i detalj gjort greie for innhaldet i kravet. Mindretalet i helse- og omsorgskomitéen representerte partia som hadde fleirtal på Stortinget, og forslaget frå mindretalet i komitéen samsvarar med lovvedtaket i Stortinget, jf. Innst. O. nr. 40 (2006–2007) og Besl. O. nr. 52 (2006–2007).
Departementet er av den oppfatning at kravet om kryptert lagring er eit tryggingskrav og ikkje eit krav om registerform. Departementet viser til Innst. O. nr. 40 (2006–2007) s. 7 der mindretalet i helse- og omsorgskomitéen skreiv følgjande: "Disse medlemmer vil ikke etablere en ny registerform". Forslaget frå mindretalet i helse- og omsorgskomitéen samsvarar som nemnt med lovvedtaket i Stortinget. Slik departementet vurderer det, står likevel kryptert lagring i ei særstilling ved at det er eit konkret, lovfesta tryggingstiltak.
Departementet meiner at kravet om at "direkte personidentifiserende kjennetegn skal lagres kryptert i registrene", må forståast som eit krav om at slike kjenneteikn skal lagrast i ei form som inneber at dei ikkje kan lesast eller rekonstruerast av uvedkomande, eller sagt på ein annan måte, at slike kjenneteikn skal lagrast i ei form som inneber at dei er uforståelege for uvedkomande. Det må leggjast til grunn at det med "direkte personidentifiserende kjennetegn" i første rekkje er meint namn og fødselsnummer, men dersom aktuelle register inneheld andre direkte personidentifiserande kjenneteikn, som for eksempel D-nummer, tilseier ordlyden at også desse skal lagrast krypterte. D-nummer er, som nemnt under punkt 5.1.2, eit personeintydig nummer som i enkelte tilfelle blir tildelt i staden for fødselsnummer.
Det at direkte identifiserande kjenneteikn skal lagrast i kryptert form, må etter departementet si vurdering vera eit minimumskrav. Kravet må seiast å vera oppfylt dersom direkte personidentifiserande kjenneteikn blir krypterte og lagra – anten separat eller saman med andre registeropplysningar. Slik departementet forstår helseregisterlova § 8 tredje ledd, inneber ikkje kravet om kryptert lagring at direkte personidentifiserande kjenneteikn må skiljast frå andre registeropplysningar og krypterast separat.
Helseregisterlova § 8 tredje ledd legg ikkje nærmare føringar for korleis krypteringa skal gjennomførast. Etter departementet si vurdering er ikkje paragrafen til hinder for at det kan nyttast løysingar som er tilpassa formål og behov for dei ulike registra. Departementet har tidlegare uttalt at krypteringa skal gjerast ved hjelp av ein algoritme eller andre metodar som gir like god tryggleik, men har ikkje funne det formålstenleg å stilla konkrete krav til kva krypteringsteknikkar, algoritmar eller type nøklar som skal nyttast. Grunnen til dette er mellom anna at krypteringsløysingar som vil vera eigna for eitt register, ikkje nødvendigvis er det for eit anna.
Fleire sentrale helseregister har per i dag papirbasert innrapportering og ein IKT-arkitektur som gjer det vanskeleg å skilja ut direkte personidentifiserande kjenneteikn og kryptera desse separat. I praksis inneber kravet om kryptert lagring at innhaldet i desse registra må krypterast under eitt. Dersom alle opplysningar i registra blir lagra i kryptert form, vil også direkte personidentifiserande kjenneteikn vera lagra krypterte.
Etter helseregisterlova sitt system er lagring av helseopplysningar ei form for ”behandling av helseopplysninger”. Behandling av helseopplysningar er i helseregisterlova § 2 nr. 5 definert som ”enhver formålsbestemt bruk av helseopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter”. Etter ordlyden § 8 tredje ledd må det leggjast til grunn at kravet om kryptering berre gjeld ved lagring, og ikkje ved anna behandling av helseopplysningar i dei aktuelle registra.
Det går fram av helseregisterlova § 8 tredje ledd at namn, fødselsnummer og andre direkte personidentifiserande kjenneteikn kan behandlast utan samtykke frå den registrerte "i den utstrekning det er nødvendig" for å nå formålet med kvart enkelt register. Det må derfor leggjast til grunn at behandling av direkte personidentifiserande kjenneteikn i dekryptert form kan skje i den grad dette er nødvendig for å nå formålet med kvart enkelt register. Dette inneber at direkte personidentifiserande kjenneteikn skal lagrast krypterte i registra når dei ikkje er gjenstand for andre former for behandling. Korleis dette kan gjerast i dei ulike registra, kjem an på IKT-arkitekturen i kvart enkelt register.
Kryptert lagring er eit av fleire tryggingstiltak som registra skal gjennomføra, men er ikkje tilstrekkjeleg aleine. Helseregisterlova § 8 tredje ledd må sjåast i samanheng med § 16 i lova, som føreset at det blir nytta tryggingstiltak og løysingar som er tilpassa formål og behov for dei ulike registra. Som eksempel på andre tryggingstiltak viser vi til krav om autorisering og autentisering for tilgang til datamaskinar og databaseserverar der registeropplysningar er lagra, og adgangskontroll til lokale der registeropplysningar blir behandla. Føresegna må også sjåast i samanheng med § 13, som tilseier at det kan gjevast tilgang til opplysningar i den grad det er nødvendig for arbeidet til vedkomande og i samsvar med gjeldande føresegner om teieplikt. Det skal vera system for tilgangsstyring i registra for å sikra at tilgang berre blir gitt til medarbeidarar som har eit tenestebehov for å behandla direkte personidentifiserande kjenneteikn for at dei skal kunna utføra arbeidsoppgåvene sine.
Helseregisterlova § 8 tredje ledd seier ikkje noko om kven som skal utføra krypteringa. Det er likevel klart at det er dei databehandlingsansvarlege som har ansvaret for at behandlinga av helseopplysningar i helseregistra er i samsvar med gjeldande regelverk. I Innst. O. nr. 40 (2006–2007) uttalte mindretalet i helse- og omsorgskomitéen følgjande i samband med kravet om kryptert lagring: "Det vil si at personidentifikasjon kan dekrypteres ved hjelp av en nøkkel som finnes internt i registeret". Dette viser at føresetnaden frå mindretalet i komitéen var at krypteringa ville skje internt. Slik departementet vurderer det, tilseier dette at den databehandlingsansvarlege sjølv skal stå føre kryptering og dekryptering for kvart enkelt register. Som tidlegare nemnt representerte mindretalet i helse- og omsorgskomitéen partia som hadde fleirtal på Stortinget.
5.4.2 Forholdet mellom kravet om kryptert lagring og helseregisterlova § 16
For helseregister som er omfatta av kravet om kryptert lagring, jf. helseregisterlova § 8 tredje ledd, er kryptert lagring av direkte personidentifiserande kjenneteikn eit av fleire tryggingstiltak som må vera gjennomført for at registra skal vera i tråd med gjeldande regelverk. Kryptert lagring står likevel i ei særstilling ved at det er eit konkret, lovfesta tryggingstiltak.
Det følgjer av helseregisterlova § 16 at den databehandlingsansvarlege og eventuelle databehandlarar gjennom planlagde og systematiske tiltak skal syta for "tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, kvalitet og tilgjengelighet ved behandling av helseopplysninger". Det er den totale informasjonstryggleiken som er avgjerande for om kravet om "tilfredsstillende informasjonssikkerhet" etter helseregisterlova § 16 er oppfylt.
Kryptert lagring vil saman med andre tryggingstiltak vera med på å redusera risikoen for at uønskte hendingar fører til at helseopplysningar med direkte personidentifiserande kjenneteikn blir tilgjengelege for uvedkomande. Kryptert lagring må derfor takast med når den totale informasjonstryggleiken blir vurdert.
Det er eit krav at direkte personidentifiserande kjenneteikn skal lagrast krypterte i registra også i dei tilfella den databehandlingsansvarlege sine risikovurderingar tilseier at informasjonstryggleiken ville vera tilfredsstillande utan slik lagring.
Mens kravet om tilfredsstillande informasjonstryggleik etter helseregisterlova § 16 er generelt, er kravet om kryptert lagring avgrensa til å gjelda for ni av registra som er namngjevne i helseregisterlova § 8 tredje ledd: Dødsårsaksregisteret, Kreftregisteret, Medisinsk fødselsregister, Meldingssystem for smittsame sjukdomar, Det sentrale tuberkuloseregisteret, System for vaksinasjonskontroll (SYSVAK), Forsvarets helseregister, Norsk pasientregister og Nasjonalt register over hjarte- og karlidingar. Kryptert lagring er like fullt eit tryggingstiltak som må sjåast i samanheng med den totale informasjonstryggleiken i desse registra, og som derfor må takast med i vurderinga når det skal vurderast om informasjonstryggleiken er tilfredsstillande.
Departementet foreslo i høyringsnotatet å flytta kravet om kryptert lagring frå helseregisterlova § 8 tredje ledd til eit nytt andre ledd i § 16. Dette høver best når ein tek omsyn til korleis helseregisterlova elles er bygd opp. Fleire høyringsinstansar støtta forslaget om ei slik endring, men det kom også innspel frå høyringsinstansar som stilte spørsmål om ei slik endring er formålstenleg.
Som det er gjort greie for i punkt 5.4.1, er kravet om kryptert lagring eit tryggingskrav og ikkje et krav om registerform. Departementet meiner derfor at det bør gå fram av lova at kravet om kryptert lagring må sjåast i samanheng med den totale informasjonstryggleiken og takast med i vurderinga av om denne er tilfredsstillande. Slik departementet ser det, vil dette gå fram tydelegare dersom kravet om kryptert lagring blir flytta frå helseregisterlova § 8 til § 16. Der finst dei generelle føresegnene om sikring av konfidensialitet, integritet, kvalitet og tilgjenge ved behandling av helseopplysningar. Rett nok stiller helseregisterlova § 16 generelle krav til informasjonstryggleiken for å oppnå sikker behandling av helseopplysningar, mens kravet om kryptert lagring berre gjeld for sentrale helseregister med heimel § 8 tredje ledd. Departementet meiner likevel at det vil vera formålstenleg å flytta kravet om kryptert lagring til § 16, og held derfor fast ved forslaget i høyringsnotatet.
Forslaget til nytt andre ledd i § 16 gir ei uttømmande liste over register der direkte personidentifiserande kjenneteikn etter lova skal lagrast krypterte. Dette er likevel ikkje til hinder for at kryptert lagring av slike kjenneteikn blir teken i bruk som eit informasjonstryggingstiltak i andre helseregister. Departementet meiner likevel at det må haldast fast ved at det er den totale informasjonstryggleiken som er avgjerande for om det generelle kravet om "tilfredsstillende informasjonssikkerhet" etter helseregisterlova § 16 er oppfylt.
5.4.3 Om krypteringsløysingar ut over det som helseregisterlova krev
Kravet om kryptert lagring er ikkje til hinder for at ein i forskriftene for registra kan gå lenger i å stilla krav til krypteringsløysingar enn helseregisterlova § 8 tredje ledd. Den databehandlingsansvarlege kan også stilla strengare krav til krypteringsløysingar enn lova.
I register der det i forskrift ikkje er stilt krav utover det som følgjer av helseregisterlova § 8 tredje ledd, meiner departementet at dei databehandlingsansvarlege er nærmast til å vurdera om, og eventuelt korleis, krypteringsløysingar utover minstekravet i lova skal gjennomførast. Slik departementet ser det, bør denne vurderinga skje som ein del av den databehandlingsansvarlege sitt totale informasjonstryggingsarbeid. Departementet viser i den samanhengen til § 2-1 i personopplysningsforskrifta. Der er det presisert at tryggingstiltaka skal samsvara med kor sannsynleg eit tryggingsbrot kan vera, og med dei konsekvensar det kan ha. Dei konkrete risikovurderingane er det den databehandlingsansvarlege sjølv som må gjera.
Det er eit mål at eksisterande sentrale helseregister skal få ein ny og meir fleksibel IKT-arkitektur, og at papirbaserte meldingssystem skal erstattast av elektroniske løysningar. Gjennom Nasjonalt helseregisterprosjekt er det derfor sett i gang et omfattande arbeid med å modernisera dei sentrale helseregistra. Moderne IKT-arkitektur vil gi betre funksjonalitet og gjera det mogleg å ta i bruk nye verkemiddel for å styrkja informasjonstryggleiken ved behandling av helseopplysningar i registra. Ein ny og fleksibel IKT-arkitektur vil mellom anna gjera det mogleg å skilja mellom direkte personidentifiserande kjenneteikn og andre opplysningar i helseregister som per i dag har ein IKT-arkitektur som inneber at dette ikkje er mogleg. Sjølv om det ikkje er eit krav etter helseregisterlova at direkte personidentifiserande kjenneteikn skal krypterast separat, meiner departementet at det bør vera eit mål på lengre sikt å skilja mellom direkte personidentifiserande kjenneteikn og andre opplysningar i helseregistra. Ved eventuell etablering av nye helseregister vil ikkje gammal IKT-arkitektur avgrensa kva verkemiddel som kan takast i bruk for å vareta informasjonstryggleiken i registra. Ved etablering av nye register vil det derfor bli vurdert regulert i forskrift at direkte personidentifiserande kjenneteikn skal krypterast separat. Hjarte- og karregisterforskrifta er eit døme på at det i forskrift er stilt strengare krav enn det som følgjer av lova. I § 4-3 er det slått fast at direkte personidentifiserande kjenneteikn, som fødselsnummer og D-nummer, skal lagrast krypterte og ikkje saman med andre registeropplysningar, og at berre spesielt autoriserte personar som har behov for det i arbeidet, skal ha tilgang til ukrypterte opplysningar.