8 Lovbestemt register
Etableringen av KPR og behandlingen av opplysninger i registeret må reguleres nærmere i forskrift. Departementet foreslår at forskriften hjemles i helseregisterloven § 11 om lovbestemte registre. Departementet foreslår derfor at KPR legges til i listen over registre i denne bestemmelsen. Denne lovendringen vil innebære at Kongen i statsråd vil kunne gi en eller flere forskrifter om behandling av opplysninger i KPR og at opplysninger med direkte personidentifiserende kjennetegn skal kunne behandles uten samtykke fra de registrerte.
I dette kapitlet gis det en nærmere begrunnelse for hvorfor KPR ikke kan etableres med hjemmel i et av de andre hjemmelsgrunnlagene i helseregisterloven (samtykke, reservasjonsrett eller uten direkte personidentifiserende kjennetegn).
Departementet mener at formålet med registeret ikke kan oppnås dersom all registrering og bruk av opplysningene gjøres avhengig av samtykke eller av at den enkelte skal kunne reservere seg. Rett til å reservere seg mot registering av enkelte opplysninger og mot bruk til enkelte formål skal imidlertid utredes og foreslås i arbeidet med forskrift.
Departementet mener at opplysningene i registeret må kunne knyttes til individer. Det er nødvendig med behandling av direkte personidentifiserende kjennetegn for å oppnå formålet med registeret. Bruk av direkte personidentifiserende kjennetegn er avgjørende særlig for å kunne følge pasientforløp mellom tjenestenivåene, blant annet ved at en kan sammenstille opplysninger mellom ulike registre. Det følger av dette at datasettet som skal innrapporteres til IPLOS, endres fra å være pseudonymt til å være kryptert. Alle opplysninger registrert i IPLOS før eventuell lovendring skal fremdeles være pseudonyme og endres ikke med dette forslaget.
Departementet foreslår i punkt 9.3.6 at opplysninger fra oppgjørssystemet for kontroll og utbetaling av helserefusjon (KUHR) skal inkluderes i KPR. Behandling av opplysninger for kontroll og utbetalingsformål skal samtidig hjemles i folketrygdloven som i dag. Når KUHR-dataene brukes til kontroll og utbetaling vil det være folketrygdlovens regler som gjelder. Når dataene skal brukes til andre formål, vil bruken reguleres av helseregisterloven og KPR-forskriftens bestemmelser om formål, innhold mv.
8.1 Høringsforslaget
I høringsnotatet foreslo departementet at KPR som helhet skulle hjemles i helseregisterloven § 11 som et lovbestemt register. Samtidig ble det foreslått at oppgjørssystemet i det nye registeret for kontroll og utbetaling av helserefusjon (KUHR), også skulle hjemles i pasientjournalloven § 11. Dette innebar at opplysninger i KPR skulle kunne registreres og brukes uten at det innhentes samtykke fra de registrerte. Departementet foreslo imidlertid at reservasjonsrett for enkelte datavariabler og for bruk av opplysningene til enkelte formål skal utrededes og vurderes i forskriftsarbeidet.
8.2 Høringsuttalelsene
Høringsuttalelser om lovgrunnlaget
Kreftforeningen fremhevet fordelen med å regulere KPR nærmere i forskrift:
Det er viktig med raskere beslutningsprosesser ved etablering av registre, herunder at nærmere reguleringer skjer gjennom forskrifter. Dette er en utvikling Kreftforeningen støtter. Vi er opptatt av at utviklingen innen helserett skjer raskt og at det samme må gjelde det juridiske rammeverket.
Datatilsynet uttalte derimot at et vedtak i Stortinget basert på høringsnotatet vil innebære en fullmakt til å etablere et register som lovgiver ikke kjenner rekkevidden av når det gjelder personvernkonsekvenser.
Høringsuttalelser om personidentifikasjon
Rusmisbrukernes interesseorganisasjon (RIO), Datatilsynet og Senter for medisinsk etikk ved UiO var kritiske til forslaget om at det skal kunne registreres direkte personidentifiserende kjennetegn i KPR.
Rusmisbrukernes interesseorganisasjon (RIO) mente at det ikke er vanskeligere å følge en og samme person opp gjennom årene om registeret og applikasjonen som skapes anvender pseudonymer:
Istedenfor å gjøre det nye registeret pseudonymt så velger man å kryptere IPLOS. Dette fører til at navn m.m blir synlig for de som har tilgang. […]
Det er et problem at her kan fullstendige opplysninger om personer komme på avveie. At dette er en komplisert prosess er det ingen tvil om. Men er det riktig å lage et så omfattende register på enklest mulig måte?
Datatilsynet mente at det ikke var godt nok begrunnet at KPR skal inneholde direkte personidentifiserende kjennetegn:
Datatilsynet ser det som positivt at departementet fremhever at krypteringen i det foreslåtte KPR skal innebære at fødselsnummer krypteres separat og oppbevares utilgjengelig og adskilt fra andre, ikke identifiserende data, jf. Innst. 193 L (2009–2010).
I valg av registerform savner Datatilsynet at forhold utover sikring av personopplysninger er drøftet. […] Datatilsynet [ser] spørsmålet om det er forsvarlig å samle et slikt omfattende datasett som her foreslås på statens hånd som det sentrale spørsmålet som må besvares. Statens kunnskap om innbyggerne innebærer en inngripen i innbyggernes personvern, og det foreslås her å gi lovhjemmel til et register med svært uklart omfang, sensitive personopplysninger og med en registerform som innebærer at identitet er kjent for den databehandlingsansvarlige. Etter Datatilsynets syn er det ikke gjort en forsvarlig vurdering hvor dette belyses.
I vurderingen belyser departementet utfordringene som følger dersom en velger en pseudonym registerform. Datatilsynet savner at man i notatet tar stilling til om andre registerformer basert på indirekte identifiserbare opplysninger kan ivareta formålet med registeret. Vi bemerker at vi forstår at de deler av det foreslåtte registeret som skal ivareta formålet til dagens KUHR naturlig etableres i direkte identifiserende form.
Senter for medisinsk etikk ved UiO syntes også å være kritisk til at opplysningene i KPR skulle være direkte personidentifiserbare, og påpekte at graden av personidentifikasjon ikke skal være større enn nødvendig for det aktuelle formålet. Senteret mente at kryptering ikke er tilstrekkelig, og at det ikke kan være en erstatning for pseudonymisering:
Departementet grunngir ikke på noe sted i notatet at man for et så bredt definert formål trenger direkte identifiserbare opplysninger om pasienter. For folkehelseformål er det tilstrekkelig med anonymiserte eller indirekte identifiserbare personopplysninger. For å følge pasientforløp, er indirekte identifiserbare personopplysninger tilstrekkelig, og pseudonymisering er da det egnede verktøyet. Departementet legger opp til at utlevering av personidentifiserende opplysninger ikke skal være større enn nødvendig, men dette er fundamentalt forskjellig fra å unnlate å behandle direkte personidentifiserende opplysninger. Skjønnsmessige utleveringsvurderinger vil fort kunne medføre overskridelser.
Departementet hevder at pseudonymisering er en juridisk kompliserende faktor […]. Det medfører ikke riktighet.
Kreftforeningen, Norsk sykepleierforbund (NSF), Senter for klinisk dokumentasjon og evaluering (SKDE), Senter for helse- og samfunn (Helsam) ved UiO, Folkehelseinstituttet Kunnskapssenteret og Norsk forening for farmakoepidemiologi støttet derimot departementets forslag om at registeret skal inneholde personidentifiserbare opplysninger. Flere ga uttrykk for sin støtte til at dataene lagres kryptert slik det gjøres i NPR og Hjerte- og karregisteret og ikke pseudonymt.
Kreftforeningen uttalte at direkte personidentifiserende data er en nødvendig forutsetning som i flere sammenhenger bidrar til å sikre registrenes fullstendighet, kvalitet og validitet.
Senter for klinisk dokumentasjon og evaluering (SKDE) la vekt på at personidentifikasjon vil være avgjørende for å kunne følge pasientforløp:
pasienter som skal identifiseres til et utvalg må kunne identifiseres slik at man er sikker på at man får med de rette pasientene. Også til dette formål vil personentydige data være avgjørende for å lykkes.
[…]
Dersom KPR skal kunne gi bedre og mer utfyllende kunnskap om helsetjenesten til de anførte ulike formål, er det en forutsetning at data foreligger i personentydig form. SKDE er derfor glad for at departementet i høringsnotatet går inn for at data fra IPLOS skal foreligge i personentydig kryptert form uten samtykke.
Norsk sykepleierforbund (NSF) støttet at kryptering benyttes fremfor pseudonymitet, og pekte på at det til forskningsformål er viktig at det er muligheter, både juridisk og teknisk, for å sammenstille opplysninger i KPR med opplysninger fra andre registre, eksempelvis NRP, Reseptregisteret mv.
Kunnskapssenteret var også enig i at KPR skal inneholde personidentifiserende data. Tilfredsstillende analyser og troverdige kvalitetsmål kan ifølge senteret bare unntaksvis baseres på anonymiserte og aggregerte data:
Dagens organisering av et personentydig NPR fungerer etter Kunnskapssenterets oppfatning godt. Det er viktig at KPR kan forvalte personentydige data og kobling med andre registre på en tilfredsstillende måte, bl.a. ved å kunne være nøkkelforvaltere for registre som opprettes ved utlevering av data uten direkte personidentifiserende kjennetegn. NPR kan i dag utlevere data fra folkeregisteret, og dette vil være viktig også for KPR.
Våre erfaringer med å koble pseudonymiserte data fra Reseptregisteret med helseopplysninger fra sykehus gjør at vi fraråder opprettelsen av KPR som et pseudonymt register.
Senter for helse- og samfunn (Helsam) ved UiO mente at dette var nødvendig for å sikre at registeret blir komplett, noe som i mange tilfeller er nødvendig å tjene formålene om styring, planlegging og evaluering.
Norsk forening for farmakoepidemiologi støttet at IPLOS-registeret endres fra å være pseudonymt til å være kryptert.
Erfaringer med «pseudonyme» registre viser at det gir tungvint saksbehandling, ulike tolkninger av regelverk og økt risiko for feil uten at personvernet er bedre ivaretatt i forhold til intern kryptering som i dag gjelder i de fleste sentrale helseregistre. For å oppnå formålet med Reseptregisteret er det avgjørende å legge til rette for kobling med andre sentrale helseregistre, slik som KPR.
Statistisk sentralbyrå kommenterte forslaget om å endre IPLOS fra å være et sentralt helseregister med pseudonymer som identifikator til et register med krypterte fødsels- og personnummer:
Etter vår vurdering vil en slik endring kunne gjøre det krevende å drive effektiv registerforvaltning og kvalitetsarbeid siden årgangene fra 2007 til et vedtak om endring blir fattet vanskelig kan sees i sammenheng med nyere årganger. Videre vil det være utfordrende å videreføre tidsserier på et kommunalt tjenesteområde det er stor interesse for i forskningsmiljøer så vel som blant sentrale helsemyndigheter. Det er derfor grunn til å reise spørsmål om en overgang fra pseudonymer til fødsels- og personnummer ikke vil tjene IPLOS-registerets formål, som bl.a. er gi grunnlag for planlegging og utvikling av helse- og omsorgstjenesten, gi grunnlag for forskning og gi grunnlag for utarbeiding av nasjonal, regional og lokal pleie- og omsorgsstatistikk.
Høringsinstanser som mente at det bør være krav om samtykke eller generell reservasjonsrett
Norges handikapforbund, Pensjonistforbundet, Fagforbundet, Rusmisbrukernes interesseorganisasjon (RIO), Legeforeningen og Senter for medisinsk etikk ved UiO var imot et KPR uten et generelt krav om samtykke eller en generell reservasjonsrett.
Norges handikapforbund, Pensjonistforbundet og Fagforbundet reagerte på at det skal tillates å registrere personlig og sensitiv informasjon om sosiale forhold, uten den enkeltes samtykke. Når registreringen skal kobles til andre registre, vil omfanget av registreringen oppleves som massiv overvåking.
Rusmisbrukernes interesseorganisasjon (RIO) mente at innsamling av opplysninger i noen tilfeller kan være nødvendig å gjøre uten samtykke, men «å gjøre det i en så omfattende og stor grad, samtidig som registeret kommer til å inneholde personlige opplysninger som beskrevet er uforståelig. Spesielt ettersom formålet med registeret er å føre statistikk og for forskning».
Senter for medisinsk etikk ved UiO mente at et personidentifiserbart KPR uten samtykke og reservasjonsrett ikke er i samsvar med forskningsetikkens grunnprinsipp om at hensynet og interessene til den enkelte skal ha forrang foran samfunnets og vitenskapens interesser:
Det er fravær av reservasjonsrett eller fravær av krav til samtykke som må begrunnes særskilt, slik at de eventuelle inngrep som foreslås i selvbestemmelsesrett over egne opplysninger spesifiseres særskilt (og ikke motsatt slik som i høringsnotatet).
[…]
Den samfunnsmessige nytten redegjøres for, men ikke personvernulempen. Det er således konkludert med at samfunnsnytten klart overstiger personvernulempen for den enkelte uten at det er nærmere vurdert hva som står på spill for enkeltmennesket. På høringsnotatets side 41 står det at personvernulempene for den enkelte vil være begrensede fordi mange av opplysningene allerede registreres i personidentifiserbare registre uten samtykke og dessuten vil sikkerheten være høy. Dette er ingen holdbar argumentasjon.
Legeforeningen mente at departementet ikke hadde sannsynliggjort at det er en risiko for svak registerkvalitet ved en reservasjonsmulighet:
Vi savner en grundigere analyse, og kan uansett ikke se at lovgivers krav til en særskilt begrunnelse er tilfredsstilt. En avskjæring av reservasjonsmulighet kan etter Legeforeningens syn for KPR i praksis bare begrunnes med at reservasjonsmulighet med tilstrekkelig grad av sannsynlighet vil svekke samlet datakvalitet i registeret.
Legeforeningen mener derfor at KPR bør være basert på presumert samtykke med reservasjonsrett. Det er ingen erfaringer som tilsier at et helseregister med et legitimt formål fører til et stort antall reservasjoner, eller at slike reservasjoner vil representere et så skjevt utvalg at det vil påvirke datakvalitet. Hvorvidt registeret blir for eks. 100% eller 99% komplett vil ikke i seg selv skape noen utfordringer med datakvalitet.
Høringsinstanser som mente at reservasjonsrett bør vurderes
Flere høringsinstanser mente at det vil være umulig, vanskelig eller ikke hensiktsmessig å stille et generelt krav om samtykke, men at reservasjonsrett bør vurderes for hele eller deler av registeret. Disse høringsinstansene ga dermed helt eller delvis sin støtte til departementets forslag.
Funksjonshemmedes fellesorganisasjon (FFO) mente at samtykke gir den beste form for medbestemmelse i hva egne pasientopplysninger skal brukes til. Dette vil gi mulighet for et informert valg om en ønsker at egne opplysninger skal registreres for et bestemt formål. Når det gjelder KPR kan imidlertid reservasjonsrett ifølge FFO kunne være et aktuelt virkemiddel:
Vi ser imidlertid det komplekse i å innhente informert samtykke fra alle som skal registreres. Problemet med samtykke er at det er umulig å få registeret til å bli komplett, og derigjennom svekkes som et overordnet register for den kommunale helse- og omsorgstjenesten. Vi har derfor forståelse for at samtykke blir lite hensiktsmessig i denne sammenheng. Når det så kommer til reservasjonsrett så mener FFO at dette er et mer aktuelt virkemiddel. Det vil alltid være noen som ønsker at egne helseopplysninger ikke skal registreres i noe register, og FFO mener derfor dette bør være mulig. Vi vil her vise til nasjonal kjernejournal som gi mulighet for reservasjon. Erfaringsmessig er det relativt få som reserverer seg mot at der registreres helseopplysninger om dem, og vi tror ikke reservasjonsretten vil utgjøre noen stor forskjell kontra det å ikke ha en reservasjonsrett. Det bør være en demokratisk rett å reservere seg mot å la seg registrere i dette registeret. FFO mener derfor at departementet må vurdere muligheten for en generell reservasjonsrett for dette registeret. Subsidiært mener vi at en reservasjon mot deler av registeret kan være en løsning, dersom det ikke er mulig å innføre full reservasjonsrett.
Landsforeningen for hjerte- og lungesyke (LHL) mente at opplysningene i KPR bør kunne behandles uten samtykke, men at det da bør være en generell reservasjonsrett:
LHL er enig at om tungtveiende samfunnsinteresser tilsier det, kan et register få personsensitive opplysninger uten at det foreligger samtykke. LHL mener det er tilfelle for dette registeret. LHL kan derfor støtte at innhenting av opplysninger til registeret kan skje uten samtykke fra den opplysningene gjelder. Vi viser til departementet sin begrunnelse og slutter oss til den.
Når registeret ikke er samtykkebasert, vil en reservasjonsrett være viktig. Det vil være ulike grunner til at noen reserverer seg. Uansett er det viktig at den enkelte blir hørt og respektert for et slikt standpunkt. LHL tror ikke en slik reservasjonsadgang vil bli så omfattende at formålet med registeret ikke oppfylles. Det foreligger derfor ikke tungtveiende samfunnsinteresser som tilsier at det ikke skal være reservasjonsadgang. LHL mener at reservasjonsadgangen må være generell og ikke kun omfatte enkelte datavariabler eller bruk av opplysninger til bestemte formål.
For å sikre befolkningens oppslutning om registeret, anbefalte KS at mulighet for reservasjonsrett mot registrering av enkeltopplysninger og/eller for bruk av opplysningene til enkelte formål vurderes i forskriftsarbeidet. Steinkjer kommune mente at det vil være meget uhensiktsmessig å kreve samtykke. Som hovedregel er det ifølge kommunen heller ikke ønskelig med reservasjonsrett da dette også fører til en seleksjon og et ikke komplett register.
Datatilsynet støttet «departementets forslag om å vurdere reservasjonsrett for enkelte typer datavariabler». Et eventuelt unntak fra kravet om samtykke kan ifølge tilsynet bare vurderes i lys av hvilke typer opplysninger som det skal være reservasjonsrett for:
En slik rett til reservasjon vil også ha stor betydning for vår vurdering av eventuelle ulemper for den enkeltes personvern. Departementet viser i høringen til et minimalitetsprinsipp i personvernretten, det vil si at det ikke skal behandles flere opplysninger enn det som er nødvendig for å nå formålet. Dette prinsippet gjelder også ved inkludering av data i KPR.
Med det ambisjonsnivået dette registeret anses å ha, vil vi legge til grunn at det uansett vil kunne behandles data som er nødvendige for formålet – uten samtykke. Men dette er det vanskelig å ta stilling til uten å vite hvilke typer opplysninger departementet ser for seg skulle være underlagt reservasjonsadgang.
Norsk sykepleierforbund (NSF) støttet at registeret ikke skal baseres på samtykke, men mente at reservasjonsrett for enkelte deler bør vurderes:
Dette på grunn av at dataene skal benyttes til utbetalinger, samt til styring av helsetjenesten som krever «kompletthet» i dataene. Det er ikke i høringsnotatet gitt en vurdering på hvilke data som må inngå for at registeret skal kunne være «komplett». NSF mener derfor at det i det videre arbeidet med utarbeiding av forskrift må utredes nærmere hva som ligger i at registerets «kompletthet», og at det etableres en avgrenset reservasjonsrett for registeret, spesielt med tanke på data som ikke er tvingende nødvendig for å oppnå formålet med registeret. I denne sammenheng må det må gjøres en nøye avveining av hvilke data dette gjelder.
Psykologforeningen mente at det er hensiktsmessig at registeret ikke baseres på samtykke, men reservasjonsrett. Foreningen viste til at en reservasjonsrett vil bli brukt i et såpass lite omfang at det neppe vil påvirke datakvaliteten i særlig grad. Her er det vanskelig å se hvordan den helsefaglige og samfunnsmessige nytten vil overstige personvernulempene ved manglende reservasjonsrett.
Helsedirektoratet mente at en reservasjonsrett for enkelte datavariabler eller opplysninger til bestemte formål, kan være relevante tiltak for bedre å kunne ivareta personvernet og styrke den enkeltes selvbestemmelsesrett:
En alternativ løsning kan være at det ikke er mulig å reservere seg mot registrering, men mot utlevering av direkte personidentifiserbare opplysninger. Registeret vil da kunne utlevere statistikk basert på et komplett utvalg, og denne statistikken vil også kunne brukes til å vurdere representativiteten til de personer som ikke har reservert seg og som dermed vil være grunnlaget for forskning og analyser basert på personidentifiserbare data. En slik bruk vil forutsette at det også må være mulig å koble sosiale og demografiske opplysninger til personer som har reservert seg mot utlevering, slik at forskere og analytikere også kan korrigere for sosiale og demografiske opplysninger i data som blir utlevert.
Kommunal- og moderniseringsdepartementet (KMD) mente at frivillighet bør tillegges stor vekt ved opprettelse av helseregistre, også når kvalitets- og forskningsinteresser gjør seg gjeldende:
KMD anser den enkeltes råderett over egne helseopplysninger som et viktig prinsipp, og det bør være forbeholdt unntaket at opplysninger registreres uten samtykke fra den enkelte. Dette gjør seg særlig gjeldende der opplysningene i tillegg er identifiserbare.
KMD mener derfor det er viktig med gode regler om reservasjon mot bruk og utlevering av opplysningene i registeret. Det er viktig med klar angivelse av hvilke typer opplysninger som skal registreres og formålet med registreringen. Videre må det i størst mulig grad være mulig å reservere seg mot deling, utlevering eller annen bruk av opplysninger i registeret, hvor bruken ikke direkte er grunnet i hensynet til den enkelte pasient/bruker. Også behovet for slik tilgang til opplysninger må godgjøres, dvs. det må utredes i hvilken grad det er nødvendig med tvungen tilgang til private helseopplysninger for formål som ikke kan knyttes direkte til den enkelte borger. Dette gjelder også for kobling av registeret mot andre registre, hvor det er særlig viktig å vise varsomhet. Det er videre viktig at god, intern tilgangskontroll sikres, slik at antallet personer/helsepersonell med tilgang til opplysningene reduseres til et minimum. KMD forutsetter at disse avveiningene vil bli grundig ivaretatt i utarbeidelsen av forskriften.
Også Kreftforeningen, Helsetilsynet, Senter for klinisk dokumentasjon og evaluering (SKDE), Vestre Viken HF, Norges optikerforbund og Fylkesmannen i Buskerud ga helt eller delvis sin støtte til forslaget om å etablere KPR uten samtykke, men at reservasjonsrett skal vurderes hele eller deler av registeret.
Høringsinstanser som mente at det ikke bør være krav om samtykke eller reservasjonsrett
Noen høringsinstanser mente at KPR ikke bør baseres på verken samtykke eller reservasjonsrett fordi registeret bør inneholde et fullstendig eller representativt datagrunnlag. Dette gjelder Kristiansand kommune, Norske ortoptisters forening, Forskningsgruppe for allmennmedisin ved Institutt for global helse og samfunnsmedisin, Universitetet i Bergen og Allmennmedisinsk forskningsenhet, Uni Research Helse og Nasjonalt kompetansesenter for legevaktmedisin, Helse Førde HF, Kunnskapssenteret, Folkehelseinstituttet og Institutt for helse og samfunn (Helsam)ved UiO.
Kreftforeningen uttalte at det i noen sammenhenger kan være gode grunner til å fravike hovedregelen om at registering må bygge på samtykke, og at manglende krav om samtykke er en nødvendig forutsetning som i flere sammenhenger bidrar til å sikre registrenes fullstendighet, kvalitet og validitet.
Kristiansand kommune mente at krav om samtykke eller reservasjonsrett kan føre til at datakvaliteten blir svak fordi registreringene i KPR ikke blir komplette:
Manglende kompletthet og skjevheter i deltagelsen kan gjøre kunnskapen vi får ut av registeret mangelfull. Dette kan få følger for kunnskapsgrunnlaget for kvalitetsforbedring av helsetjenestene og for pasientsikkerheten. Kristiansand kommune mener derfor at muligheten for å kunne reservere seg mot behandling av opplysninger i KPR bør være minimale, men personvernet må ivaretas.
Folkehelseinstituttet mente at KPR ikke bør baseres på samtykke eller reservasjonsrett:
For […] å oppnå de foreslåtte formålene med KPR er det etter vårt syn nødvendig med et begrenset, men komplett datagrunnlag om alle aktuelle pasienter, brukere og helse- og omsorgstjenester i kommunene. Datagrunnlaget må altså omfatte tilstrekkelige og relevante opplysninger om den enkelte pasient eller bruker og tjenesten for å gi pålitelig og nyttig kunnskap. Krav om samtykke til eller reservasjonsrett mot at helseopplysninger registreres vil medføre at datagrunnlaget ikke blir komplett og at det blir mindre valid.
Forskningsgruppe for allmennmedisin ved Institutt for global helse og samfunnsmedisin, Universitetet i Bergen og Allmennmedisinsk forskningsenhet, Uni Research Helse og Nasjonalt kompetansesenter for legevaktmedisin uttalte at innhenting av samtykke fra den enkelte ikke vil være praktisk mulig i helsetjenestene. I tillegg vil et slikt krav ifølge disse høringsinstansene kunne føre til frafall fra pasienter/brukere i et slikt omfang at registerets nytteverdi blir lav:
Mulighet for reservasjon vil også gi opphav til uakseptable skjevheter i et register. Det er ingen grunn til at samtykke skal innhentes for dette registeret, mens det ikke innhentes for Norsk Pasient Register (NPR). Som anført i høringsnotatet, vil dataene som innhentes bli svært godt sikret slik at personidentifiserbare opplysninger vil være tilgjengelig kun for et fåtall personer. Vi støtter derfor også at det ikke gis adgang til reservasjon. Kombinert med den store samfunnsmessige nytteverdien som et slikt register kan få, vil fordelene ved ikke å innhente samtykke være langt større enn ulempene for den enkelte.
Kunnskapssenteret mente, basert på lang erfaring med kvalitetsmåling i helsetjenesten, at grunnleggende registre som NPR og KPR ikke kan basert på frivillig rapportering.
Institutt for helse og samfunn (Helsam) ved UiO mente at det er avgjørende at KPR inneholder et representativt datagrunnlag og aller helst er fullstendig:
Dersom det baseres på samtykke eller at det åpnes for reservasjonsrett, er det all grunn til å forvente at registeret vil inneholde data som er ikke er representative. Det vil da ikke kunne fylle sin funksjon. Tvert imot, vil man kunne komme i situasjoner der det gjøres feilaktige slutninger på bakgrunn av analysene. Dette vil undergrave hensikten med KPR. Men samtidig ønsker vi å understreke at dersom registeret ikke baseres på samtykke eller åpner for reservasjonsrett, må begrunnelsene for at innholdet er nødvendig og til det beste for samfunnet, være gode.
Helsam ser seg enig med Departementet i at KPR, enten som del av Norsk pasientregister eller som separat register, bør bli personidentifiserbart uten krav om samtykke eller reservasjonsrett. Dette anses som nødvendig for å sikre at registeret blir komplett. Komplette registre er i mange tilfeller nødvendig for å tjene formålene om styring, planlegging og evaluering.
8.3 Departementets vurderinger og forslag
8.3.1 Lovbestemt helseregister etter helseregisterloven § 11
Departementet foreslår at KPR som helhet skal hjemles i helseregisterloven. Loven oppstiller særlige regler om behandling av helseopplysninger i helse- og omsorgsforvaltningen og i helse- og omsorgstjenestene. Loven oppstiller mer konkrete og strengere krav til blant annet taushetsplikt, forbud mot urettmessig tilegnelse av helseopplysninger, logg og innsyn i logg enn den generelle personopplysningsloven. Helsedirektoratet/HELFOs oppgaver knyttet til kontroll og utbetalinger i oppgjørssystemet KUHR, skal etter forslaget fortsatt hjemles i folketrygdloven. Se punkt 8.3.6.
Dette betyr ikke at alle data må være samlet på ett fysisk sted. Både KUHR-data og IPLOS-data kan inngå i KPR, uten at det hele nødvendigvis må samles i en felles database. Registerbegrepet er ikke en datateknisk definisjon, men et logisk begrep. Et helseregister kan bestå av flere delregistre. Opplysningene kan fysisk behandles på flere steder eller i ulike databaser med separate systemer. Det avgjørende er at det er en logisk sammenheng mellom opplysningene, grunnlaget for å registrere opplysningene og formålet med behandlingen av dem.
KPR kan etableres ved gjenbruk av data som allerede er samlet i KUHR og inkludering av IPLOS-registeret; innrapporteringsplikten, innmeldingsrutinene og databehandlingen kan i det vesentlige videreføres innen felles rammer. Dataelementer kan skjermes, og tilgang og utlevering kan reguleres og styres på en oversiktlig og forutsigbar måte.
Departementet foreslår at KPR som helhet skal hjemles i helseregisterloven § 11. Dette krever at bestemmelsen endres til også å omfatte KPR. Endringen betyr at Kongen i statsråd vil kunne gi en eller flere forskrifter om behandling av opplysninger i KPR og at opplysninger med personidentifiserende kjennetegn vil kunne behandles uten samtykke fra den registrerte.
Departementet mener at formålet med registeret ikke vil kunne nås dersom registeret skal baseres på de registrertes samtykke eller generell reservasjonsrett. Videre mener departementet at det er nødvendig med behandling av direkte personidentifiserende kjennetegn om pasienter og brukere. Departementet begrunner dette nærmere nedenfor. KPR kan dermed ikke etableres ved forskrift med hjemmel i et av de andre hjemmelsgrunnlagene i helseregisterloven (§ 9 og § 10 om registre basert på samtykke, reservasjonsrett eller uten direkte personidentifiserende kjennetegn). Av disse grunnene må Stortinget ta stilling til om registeret skal etableres (§ 11 om lovbestemte registre). Reservasjonsrett mot behandling av enkelte opplysninger og bruk til enkelte formål skal imidlertid utredes og foreslås i forskriftsarbeidet.
Datatilsynet uttalte i høringen at vedtak i Stortinget basert på høringsforslaget vil innebære en fullmakt til å etablere et register som lovgiver ikke kjenner rekkevidden av når det gjelder personvernkonsekvenser. Tilsynet mente derfor at registeret og forskriften må utformes nærmere før Stortinget kan gi lovhjemmel.
Departementet vil bemerke at å avvente den videre behandlingen av lovforslaget til alle spørsmål knyttet til registeret er ferdig utredet og til det er utarbeidet et forslag til forskrift, vil innebære at Stortinget også må ta stilling til selve forskriften. Departementet mener at dette ikke vil være i samsvar med helseregisterlovens system, som nylig er vedtatt av Stortinget. Det er heller ikke hensiktsmessig å etablere KPR på bakgrunn av detaljerte krav som bare kan endres gjennom lovvedtak.
Departementet viser til at lovens system er at Stortinget gir sin tilslutning til KPR gjennom lovvedtak, ved å gi Kongen i statsråd en hjemmel til å etablere registeret gjennom nærmere regler i forskrift. Stortinget skal samtidig ta stilling til de overordnede rammene for registeret. I denne lovproposisjonen har departementet derfor gjort rede for rammene for hvordan forskriftshjemmelen vil bli benyttet til å etablere KPR.
Adgangen til å gi forskrift vil også være rammet inn av vilkårene for etablering av helseregistre i forskrift som følger av helseregisterloven § 6 og § 8. Et sentralt vilkår her er at nytten av registeret må overstige personvernulempene, noe som vil være bestemmende for hvilke konkrete løsninger som skal og kan velges. I tillegg må registeret følge lovens alminnelige krav om kryptering, tilgangsstyring, innsyn, logg, informasjonssikkerhet osv. Disse rammene ble satt av Stortinget da helseregisterloven ble vedtatt i 2014.
Departementet viser til at mer detaljerte krav til registeret og løsningene innenfor disse rammene, må utvikles og utredes nærmere i forskriftsarbeidet. Forskriften og eventuelle senere forskriftsendringer vil bli sendt på bred høring. Dette vil gi en demokratisk prosess, som sikrer at personvernet og andre grunnleggende hensyn ivaretas.
Departementet er her enig med Kreftforeningen som i høringen påpekte at et formål med helseregisterloven og pasientjournalloven er at registrene skal gi fortløpende oppdatert, pålitelig og personvernmessig sikker kunnskap om befolkningens helsetilstand og kvalitet på behandling. Kreftforeningen mente at det er viktig med raskere beslutningsprosesser ved etablering av registre, ved at nærmere reguleringer skjer gjennom forskrifter.
Departementet vil legge til at det også må tas høyde for at det kan bli behov for å utvikle registeret over tid, i takt med nye utfordringer i de kommunale helse- og omsorgstjenestene, ny organisering eller ny teknologi. Dette kan gjelde hvilke opplysninger som skal kunne registreres, hva opplysningene skal kunne brukes til, tekniske og organisatoriske løsninger som skal sikre personvernet, osv.
8.3.2 Avveiningen mellom nytteverdi og personvernulemper
En vesentlig forutsetning for opprettelse av et helseregister er at man vurderer at registerets nytteverdi overstiger de personvernmessige ulempene. Før etablering av et helseregister må det derfor foretas en avveining mellom de formålene registeret skal ivareta, og de ulempene registeret representerer for personvernet til dem som vil bli registrert, det vil si en proporsjonalitetsvurdering.
Nytten for pasientgrupper og fellesskapet av et KPR vil være stor, gjennom bedret grunnlag for styring og planlegging, kvalitetsforbedring, beredskap og forskning, som igjen gir bedre og mer effektive helse- og omsorgstjenester. Og selv om den umiddelbare direkte nytten av et KPR for den enkelte registrerte kan oppfattes som liten, kan et KPR også ha umiddelbar betydning for pasienter og brukere. KPR kan gi informasjon om forskjeller i behandlingskvalitet mellom kommuner og bydeler, eller mellom ulike grupper av pasienter og brukere. Informasjon fra KPR vil således bidra til å styrke pasientens eller brukerens grunnlag for å velge tjenester ut fra kvalitetsindikatorer.
Departementet har merket seg at høringsinstansene var delt i spørsmålet om KPR skal baseres på samtykke eller generell reservasjonsrett. Norges handikapforbund, Rusmisbrukernes interesseorganisasjon (RIO), Pensjonistforbundet, Senter for medisinsk etikk ved UiO,Legeforeningen og Fagforbundet mente at de registrerte generelt bør samtykke eller ha mulighet til å reservere seg, og la avgjørende vekt på at behandling av opplysninger og manglende selvbestemmelsesrett oppleves som et inngrep i personvernet.
Andre høringsinstanser, blant andre Funksjonshemmedes fellesorganisasjon (FFO), Landsforeningen for hjerte- og lungesyke (LHL), Kreftforeningen, Helsetilsynet og Vestre Viken HF, mente at det vil være umulig, vanskelig eller ikke hensiktsmessig å stille et generelt krav om samtykke. Disse høringsinstansene mente imidlertid at reservasjonsrett bør vurderes for hele eller deler av registeret. Disse høringsinstansene la avgjørende vekt på nytten av registeret og betydningen av representative data av god kvalitet for å kunne oppnå formålet med registeret. Hensynet til de registrertes personvern kan ifølge disse høringsinstansene ivaretas gjennom kryptering, tilgangsstyring, logg, innsyn og andre tiltak.
Departementet erkjenner at registrering av helseopplysninger i store, sentrale registre kan oppleves som problematisk. Det er viktig å ta denne bekymringen på alvor, og at man finner løsninger som ivaretar pasientenes og brukernes personvern samtidig som deres behov for gode helse- og omsorgstjenester ivaretas på best mulig måte.
I hvilken grad etableringen av et register vil innebære personvernulemper for de registrerte beror ikke bare på samtykke og reservasjon, men også på registerets form, innhold og hvordan opplysningene behandles. Personvernulempen vil kunne øke med mengden opplysninger som sammenstilles, type opplysninger og hvor mange som får tilgang til opplysningene. Det vil derfor være grunn til å utvise forsiktighet ved behandling av opplysninger i registeret. Tiltak som gjennomføres for å begrense de negative konsekvensene registeret medfører for personvernet, vil være av betydning. Informasjonssikkerhet og regler om taushetsplikt, kryptering, tilgangsstyring og -kontroll, reservasjonsrett for enkelte typer opplysninger og andre former for personopplysningsvern er eksempler på tiltak som er viktige for å ivareta personvernet.
Departementet mener at nytteverdien av KPR vil overstige de personvernmessige ulempene. Både regelverk og tekniske og organisatoriske løsninger i KPR vil ivareta grunnleggende personvernhensyn og minimalisere risiko for uautorisert bruk av opplysningene. Se nærmere omtale i kapittel 10.
8.3.3 Samtykke
Departementet viser til at hovedregelen for etablering av helseregistre er samtykke. All behandling av helseopplysninger uten de registrertes samtykke representerer inngrep i personvernet og trenger en særskilt begrunnelse.
Data i KUHR og IPLOS behandles uten samtykke fra de registrerte. Departementet foreslår at dette videreføres når KUHR-data skal gjenbrukes i KPR og IPLOS-registeret skal inngå i KPR. Videre foreslår departementet at KPR som helhet ikke baseres på at de registrerte samtykker.
Helseregisterloven § 2 definerer samtykke som «en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av helseopplysninger om seg selv». At et samtykke er frivillig, innebærer at det avgis i fravær av svik, tvang eller trusler. At et samtykke er uttrykkelig, innebærer at den som avgir samtykket gjør det ved handling, muntlig utsagn eller skriftlig.
Informasjonskravet skal sette pasienten eller brukeren i stand til å ta en avgjørelse, basert på egne verdier og ønsker. For at en person skal kunne gi samtykke, må personen være samtykkekompetent.
Pasienter og brukere i kommunale helse- og omsorgstjenester er ofte i møte med ulike helsepersonell i ulike organisatoriske enheter, som ikke har tilgang til hverandres dokumentasjonssystemer. Mange pasienter og brukere, særlig pleietrengende, har redusert eller bortfalt samtykkekompetanse.
Det vil derfor være en omfattende oppgave å innhente samtykke fra den enkelte bruker eller pasient for registrering av opplysninger i KPR. Det vil måtte gis informasjon, pasientens eller brukerens samtykkekompetanse for dette formålet må vurderes etter nærmere fastsatte kriterier og samtykket dokumenteres. Dette innebærer en betydelig risiko for at ikke alle pasienter eller brukere blir spurt om å samtykke. Dernest er det sannsynlig at en betydelig andel av de spurte ikke samtykker, og at de som ikke kan eller vil samtykke, skiller seg fra øvrige, slik at frafallet blir skjevt.
Flere av høringsinstansene mente at KPR må baseres på samtykke fordi det vil være et stort inngrep i personvernet å samle inn opplysninger uten at den enkelte samtykker. Departementet er enig i at manglende selvbestemmelsesrett ved behandling av personopplysninger kan være et inngrep i personvernet. Departementet mener imidlertid at kryptering, tilgangsstyring, kontroll, innsynsrett, logging og andre tiltak vil begrense inngrepet i personvernet på en god måte. Kryptering og tilgangsstyring og kontroll vil avverge at opplysninger kommer på avveie og sikre at opplysningene bare brukes til det som er formålet med registeret. Tiltak som innsynsrett og logging vil bety at de registrerte vil kunne vite hvilke opplysninger som er lagret om dem, hva de brukes til og hvem som får se dem.
Flertallet av høringsinstansene mente imidlertid at KPR ikke kan baseres på samtykke. Flere av disse viste til at det er særlig viktig at et grunnleggende register som KPR har representative data. Blant disse var pasient- og brukerorganisasjoner som Funksjonshemmedes fellesorganisasjon (FFO) og Landsforeningen for hjerte- og lungesyke (LHL). Kreftforeningen uttalte at det i noen sammenhenger kan være gode grunner til å fravike hovedregelen om at registering må bygge på samtykke, og at fravær av samtykke er en nødvendig forutsetning som i flere sammenhenger bidrar til å sikre registrenes fullstendighet, kvalitet og validitet.
Departementet viser her også til forklaringen i høringsuttalelsen til Folkehelseinstituttet:
Et ikke-komplett datagrunnlag vil egne seg dårlig for planlegging, styring, finansiering og evaluering av kommunale helse- og omsorgstjenester. Frafallet ved krav om samtykke vil kunne bli betydelig og ikke tilfeldig statistisk fordelt i befolkningen; de som ikke samtykker vil ofte ha spesielle preferanser eller kjennetegn, det vil si at frafallet blir skjevt, og datagrunnlaget blir derved verken komplett eller valid.
[…]
Krav om samtykke eller reservasjonsrett medfører […] at datagrunnlaget blir mindre komplett og valid, og dette gir en betydelig utfordring for analyser og tolkning av resultater fra KPR. Det vil måtte gjøres en omfattende utredning av konsekvenser av frafallet for datakvaliteten. KPR basert på samtykke eller reservasjonsrett vil derfor ikke egne seg til det foreslåtte formålet.
Utgangspunktet for KPR er at registeret skal være et nøkkelregister for den kommunale helse- og omsorgstjenesten, på samme måte som NPR er for spesialisthelsetjenesten. NPR er ikke samtykkebasert. Departementet mener at samtykkespørsmålet bør vurderes likt når det gjelder KPR.
Som nevnt i punkt 8.3.1 skal KUHR-data og IPLOS-data inngå i KPR, uten at det hele nødvendigvis må samles i en felles database. KPR skal imidlertid åpne for og regulere behandling av dataene til KPR-formål. Se nærmere omtale i punkt 8.3.6 om KUHR.
Departementet mener at KPR ikke kan fungere som grunnlag for administrasjon, styring, finansiering og evaluering på en god måte dersom det baseres på samtykke fra de registrerte. Disse formålene forutsetter at registeret gir et riktig og helhetlig bilde av aktivitetene i de kommunale helse- og omsorgstjenestene, og at registeret har god kvalitet. Manglende kompletthet og skjevheter i deltagelsen kan gjøre kunnskapen vi får ut av registeret mangelfull, da selv små frafall i andel av alle pasientene og brukerne vil kunne påvirke resultatene og nytteverdien av registeret. At registeret kan eller vil få skjevt utvalg kan bety at det for eksempel fattes beslutninger på feilaktig grunnlag. Dette kan få følger for bruk og analyse av data til planlegging, styring, evaluering og kvalitetsforbedring av tjenestene og til beredskap.
8.3.4 Reservasjonsrett
Departementet har vurdert om reservasjonsrett kan være en løsning for å minske personverninngrepet som en behandling av opplysninger i KPR uten samtykke kan utgjøre. Kongen i statsråd kan gi forskrift om behandling av helseopplysninger i helseregistre der den registrerte har rett til å motsette seg behandlingen av helseopplysninger, jf. helseregisterloven § 10.
Både samtykke og reservasjonsrett vil gi de registrerte selvbestemmelse over opplysninger om seg selv. Det at opplysninger til KPR skal samles inn uten den registrertes samtykke er et inngrep i den enkeltes rett til selv å bestemme over opplysningene. En reservasjonsrett kan avhjelpe dette. Det fremgår av forarbeidene til helseregisterloven at et krav om samtykke og en reservasjonsrett likevel er av noe ulik karakter:
Mens et krav om samtykke innebærer at man uttrykkelig må godta behandling av helseopplysninger, krever bruk av reservasjonsretten at man uttrykkelig må motsette seg at egne helseopplysninger behandles. Krav om samtykke innebærer at det ikke kan registreres opplysninger om den enkelte før vedkommende uttrykkelig har samtykket til dette. En reservasjonsrett innebærer derimot at opplysninger om den enkelte kan bli registrert før den enkelte har hatt anledning til å reservere seg. (Prop. 72 L (2013–2014) punkt 18.4.2)
Legeforeningen mente at en generell reservasjonsrett ikke vil føre til et for stor frafall eller et skjevt utvalg som vil svekke datakvaliteten.
Departementet mener en generell reservasjonsrett vil innebære at registeret kan få for dårlig datakvalitet og dermed ikke god nok formålsoppnåelse. For noen problemstillinger vil selv et lite frafall som følge av reservasjonsretten kunne føre til alvorlige feil i datagrunnlaget. Det er grunn til å tro at pasienter og brukere som reserverer seg mot registrering har spesielle preferanser eller kjennetegn. Departementet viser her til vurderingene knyttet til samtykke.
Vurderingen av reservasjonsrett må også knyttes konkret til registerets formål og innretning. I KUHR og IPLOS er det i dag ikke lovbestemt reservasjonsrett. IPLOS dekker alle brukere av omsorgstjenester, og dette er viktig for at registeret fortsatt skal kunne ivareta formålet sitt om å gi grunnlag for kvalitetssikring, planlegging, utvikling og styring av tjenestene. KUHR inneholder alle opplysninger knyttet til oppgjør og refusjon fra blant annet allmennlegetjenesten. KUHR vil sammen med IPLOS være utgangspunktet for KPR som et register for de kommunale helse- og omsorgstjenestene.
KPR skal være et nøkkelregister for de kommunale helse- og omsorgstjenestene, på samme måte som NPR er for spesialisthelsetjenesten. NPR har ikke reservasjonsrett. For å kunne bruke KPR som et verktøy for å bedre samhandlingen mellom ulike forvaltingsnivåer og sikre pasienter og brukere gode tjenestetilbud, er det viktig at KPR og NPR er bygget over samme lest. Sammen med NPR, vil KPR gi viktig informasjon om pasientforløpet til pasienter med behov for helse- og omsorgstjenester før og etter utskrivning fra sykehus. Med generell reservasjonsrett vil KPR bli et dårligere verktøy for blant annet pasientsikkerhetsprogrammet, kvalitetsforbedring og analyser av (uønsket) variasjon i helse- og omsorgstjenestene. For at KPR skal kunne bli et godt verktøy til å nå målene om pasientens helsetjeneste, kan det derfor ikke være generell reservasjonsrett.
Departementet vil på denne bakgrunn ikke foreslå en generell reservasjonsrett for KPR. Departementet ønsker imidlertid at den enkelte registrerte gis størst mulig anledning til å bestemme over opplysninger om seg selv. Departementet foreslår derfor at reservasjonsrett for enkelte opplysninger og bruk av opplysningene til enkelte formål skal utredes nærmere i forskriftsarbeidet. Selv om KPR skal kunne etableres uten samtykke eller generell reservasjonsrett, følger det av helseregisterloven at reservasjonsrett likevel skal vurderes i forskriftsarbeidet. Det kan tenkes flere alternative ordninger knyttet til reservasjonsrett. Også innenfor et lovbestemt register må en se hen til formålet med behandlingen av opplysningene og vurdere hvordan forskriften skal kunne åpne for at de registrerte kan reservere seg mot registering av enkelte opplysninger og/eller bruk til enkelte formål. Departementet viser til at flertallet av høringsinstansene støttet en slik løsning. For å kunne ivareta formålet med KPR er departementet av den oppfatning det ikke kan være reservasjonsrett mot at opplysningstypene som i dag inngår i KUHR og IPLOS registreres. Når det gjelder de øvrige opplysningstypene som skal inngå i registeret, skal hovedregelen være reservasjonsrett. Hvilke opplysningstyper dette skal omfatte må utredes nærmere. Departementet vil legge frem forslag om dette i høringsnotatet om forskriften.
8.3.5 Direkte personidentifiserende kjennetegn
Kongen i statsråd kan med hjemmel i helseregisterloven § 9 bokstav b gi forskrift om behandling av opplysninger i helseregistre dersom opplysningene behandles uten at den databehandlingsansvarlige har tilgang til navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn.
Departementet foreslår at KPR skal inneholde helseopplysninger tilknyttet direkte personidentifiserende kjennetegn. Registeret kan dermed ikke hjemles i § 9, men må hjemles i § 11.
Opplysningene må kunne knyttes til individer
Senter for medisinsk etikk ved UiO mente at departementet ikke hadde grunngitt i høringsnotatet at det er nødvendig med direkte identifiserbare opplysninger om pasienter. Senteret konkluderer med at det for folkehelseformål er tilstrekkelig med anonymiserte eller indirekte identifiserbare personopplysninger. For å følge pasientforløp, er indirekte identifiserbare personopplysninger tilstrekkelig, og pseudonymisering er da det egnede verktøyet.
Departementet mener at opplysningene i registeret må kunne knyttes direkte til individer. Behandling av direkte personidentifiserende kjennetegn er nødvendig for å kunne følge pasientforløp mellom tjenestenivåene, blant annet ved at en kan sammenstille opplysninger mellom ulike registre. Det er derfor nødvendig med bruk av personidentifiserende kjennetegn for å oppnå formålet med registeret. Dette fikk støtte i høringen blant annet fra Kreftforeningen, Norsk sykepleierforbund (NSF), Folkehelseinstituttet, Senter for klinisk dokumentasjon og evaluering (SKDE), Senter for helse- og samfunn (Helsam) ved UiO, Kunnskapssenteret og Norsk forening for farmakoepidemiologi.
Muligheter for å kunne sammenstille opplysninger i KPR med opplysninger fra andre registre og datakilder er viktig, og vil bli regulert nærmere i forskriften. Ved sammenstilling av opplysninger fra KPR og NPR basert på bruk av fødselsnummer/D-nummer som koblingsnøkkel, kan man belyse pasientforløp mellom tjenestenivåene. Dette er særlig aktuelt for pasienter med sammensatte lidelser og behov, som trenger tjenester fra ulike tjenesteytere på ulike nivå. Det betyr at innholdet, IKT-arkitekturen, reglene om sammenstilling mv. må legge til rette for datasammenstillinger som kan gi bedre kunnskap om pasientforløp enn i dag. I denne sammenheng er det avgjørende at opplysningene er tilknyttet direkte personidentifiserende kjennetegn.
Hensynet til de registrertes integritet
Departementet har i sin vurdering tatt utgangspunkt i at kunnskap om innbyggerne kan innebære en inngripen i personvernet. Graden av personidentifikasjon skal derfor begrunnes og ikke være større enn nødvendig for det aktuelle formålet, jf. helseregisterloven § 6. Hvor inngripende tiltaket er vil avhenge av hva slags kunnskap det er tale om, hvorfor det gjøres og måten det gjøres på.
Datatilsynet mente i høringen at forhold utover sikring av personopplysninger må dras inn i denne vurderingen. Datatilsynet stilte spørsmålet om det er forsvarlig å samle et slikt omfattende datasett på statens hånd, og begrunner dette i at statens kunnskap om innbyggerne innebærer en inngripen i innbyggernes personvern. Datatilsynet er kritisk til at det foreslås at identiteten skal være kjent for den databehandlingsansvarlige, samtidig som det skal behandles sensitive personopplysninger og registerets omfang er uklart.
Departementet vil bemerke at forslaget om å etablere KPR som et register med direkte personidentifiserende kjennetegn, er basert på en helhetsvurdering der både spørsmålet om personidentifisering og sikring av opplysningene, og spørsmålet om registerets innhold og formål er trukket inn, se punkt 6.3.2. Helseregisterloven gir trygge rammer for myndighetenes bruk av opplysningene.
Departementet mener at hensynet til de registrertes integritet vil bli ivaretatt på en god måte selv om registeret inneholder direkte personidentifiserende kjennetegn.
Databehandlingsansvarliges tilgang til direkte personidentifiserende kjennetegn
Kongen i statsråd kan med hjemmel i helseregisterloven § 9 bokstav b gi forskrift om behandling av opplysninger i helseregistre dersom opplysningene behandles uten at den databehandlingsansvarlige har tilgang til navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn. Departementet mener det er nødvendig at den databehandlingsansvarlige har tilgang til direkte personidentifiserende kjennetegn.
Det er imidlertid en forutsetning at de direkte identifiserende kjennetegnene separeres fra de øvrige opplysningene og lagres kryptert. De som skal arbeide med dataene skal bare unntaksvis ha tilgang til de registrertes identitet. I tillegg oppstiller helseregisterloven andre tiltak som skal hindre uautorisert bruk av opplysningene, som krav om tilgangsstyring, logging, regulering av adgangen til utlevering av data fra registeret og taushetsplikt. Se nærmere om kryptering nedenfor og kapittel 10 om personvern, informasjonssikkerhet og IKT-arkitektur.
Etter helseregisterloven fra 2001 var etablering av pseudonyme helseregistre en måte å sikre personentydighet på, samtidig som den databehandlingsansvarlige ikke hadde tilgang til personidentifiserende kjennetegn.
Reseptbasert legemiddelregister (Reseptregisteret), ble etablert ved forskrift i 2004, og IPLOS-registeret ble etablert ved forskrift i 2007. Se beskrivelsen av IPLOS-registeret som pseudonymt register i punkt 2.3.
Folkehelseinstituttet er behandlingsansvarlig for Reseptregisteret, og Helsedirektoratet for IPLOS-registeret. Om erfaringene med driften av Reseptregisteret uttalte Folkehelseinstituttet følgende i høringen:
pseudonymisering gir økt risiko for feil fordi det er utfordringer tilknyttet kvalitetssikring av data i pseudonyme registre. Videre medfører pseudonymisering tungvint og meget tidkrevende saksbehandling ved tilrettelegging av data for analyser. Ved sammenstilling av data fra ulike kilder med et pseudonymt register, må alle datasettene behandles av forvalteren for det pseudonyme registeret før datasettet kan ferdigstilles og gjøres tilgjengelig for analyseformål. Videre finnes det per i dag ingen metode for å sammenstille data fra to pseudonyme registre, som IPLOS-registeret og Reseptregisteret. Disse faktorene bidrar samlet både til redusert integritet og tilgjengelighet på data, og til en høyere pris/kostnad pga. tidkrevende saksbehandling, noe som gjør at det blir vanskeligere å oppnå gode formål med pseudonyme registre.
Helsedirektoratet uttalte:
Det støttes at IPLOS-registeret etter lovfesting av KPR vil være en del av et større lovbestemt register etter helseregisterloven § 11. Det er viktig å ha et felles regelverk slik at man får en sterkere synergieffekt med andre registre og mulighet å følge pasient/brukerforløp.
Per i dag setter IPLOS-forskriften rammer og krav til anonymisering i forbindelse med utlevering av data ved registerkobling. Dette resulterer i at vi ikke i tilstrekkelig grad får ivaretatt datautleveringer (spesielt sammenstilte med andre registre) til forskning, som er en del av IPLOS-registerets formål.
Det er et viktig kriterium for pseudonyme helseregistre at ingen skal ha samtidig tilgang til identitet og helseopplysninger. Det er en utfordring ved pseudonyme registre at de bare i begrenset grad kan sammenstilles med data fra andre kilder for eksempel for å belyse helhetlige pasientforløp. Begrensningen ligger i at datamaterialet etter sammenstillingen må være er anonymt, med mindre den registrerte har samtykket til sammenstillingen. Hva pseudonymisering innebærer er omtalt under punkt 2.3.5. Departementets erfaring med denne ekstra sikkerhetsmekanismen er at den ikke har svart til forventningene. Registrene har ikke kunne nyttiggjøres på god nok måte. Utfordringene knyttet til pseudonyme registre er omtalt i Prop. 72 L (2013–2014) punkt 21.1.3 og punkt 21.3.1. For planlegging, styring, finansiering, evaluering og kvalitetsforbedring av tjenestene er det viktig å få frem systematiske sammenlikningsdata for behandlingsform, behandlingshyppighet og resultat. Gode og tilgjengelige data for pasientforløp mellom allmennleger, spesialisthelsetjenester og omsorgstjenestene er viktige for å følge opp og utvikle tjenestene og samhandlingsreformen videre. Å etablere KPR som et pseudonymt register, vil hemme bruken av KPR-data for sammenstilling med andre datakilder for slike analyseformål.
Et kommunalt helse- og omsorgstjenesteregister hvor datasettet er kryptert i samsvar med helseregisterloven § 21, vil gi en bedre og raskere dataflyt for å sikre planlegging, styring, finansiering, evaluering og kvalitetsforbedring av kommunale helse- og omsorgstjenester.
Kravene til kryptering vil, sammen med de andre kravene til informasjonssikkerhet, minimalisere risikoen for at opplysningene i KPR spres til uvedkommende. Hvis feil skulle inntreffe og indirekte identifiserbare opplysninger komme på avveie, vil det være like ressurskrevende å finne tilbake til enkeltindivider enten personidentiteten er kryptert eller pseudonymisert. Det kan for eksempel benyttes forskjellige krypteringsnøkler på forskjellige deler av data for å øke sikkerheten. Helseregisterloven stiller strenge krav for å sikre at registeropplysninger uansett skal håndteres på en god og sikker måte.
8.3.6 Kontroll og utbetaling hjemles i folketrygdloven
En sentral del av departementets forslag er å inkludere data fra oppgjørssystemet for kontroll og utbetaling av helserefusjon (KUHR) i det nye registeret. KUHR er et saksbehandlingssystem for behandling av refusjonssaker etter folketrygdloven. Oppgjørssystemet for kontroll og utbetaling av helserefusjon er i dag hjemlet i folketrygdloven kapittel 5. Databehandlingsansvaret og myndigheten etter disse reglene er delegert til Helsedirektoratet ved HELFO. Se nærmere om KUHR i punkt 2.2.
KUHR består av opplysninger knyttet til helsehjelp som er innmeldt fra helsetjenesten. KUHR inneholder også data fra spesialisthelsetjenesten. Dette er meldinger fra poliklinisk virksomhet i psykisk helsevern, avtalespesialister (psykologer), pasientreiser og private laboratorier og røntgeninstitutter.
HELFO fører kontroll og iverksetter tiltak for å forebygge og avdekke misbruk av velferdsordninger. Gjennomføringen av dette er regulert i folketrygdloven kapittel 21, 22 og 25, særlig § 21-4 flg. om innhenting av opplysninger og uttalelser mv., §§ 22-15 og 22-15 a om tilbakekreving av feilutbetalinger og § 25-6 om tap av retten til å praktisere for trygdens regning. HELFO benytter alle oppgjørsopplysningene for å kontrollere at utbetalingene er korrekte. Opplysningene brukes også til å kartlegge mønstre i brukeratferd, for å avdekke tilfeller hvor bruker for eksempel oppsøker forskjellige leger, forskjellige apotek mv., for å skjule uttak utover det som er nødvendig, jf. folketrygdloven § 5-1. Når det foreligger mistanke om straffbart misbruk av trygdens midler kan HELFO anmelde forholdet til påtalemyndigheten.
Departementet foreslo i høringsnotatet å hjemle denne delen av registeret, dvs. oppgavene knyttet til kontroll og utbetaling, i pasientjournalloven. Oppgavene knyttet til kontroll og utbetaling er innenfor rammen av pasientjournallovens formål og virkeområde, men er likevel ikke regulert av pasientjournalloven. Pasientjournalloven § 11 gjelder systemer for saksbehandling, administrasjon mv av helsehjelp. Kongen i statsråd kan gi forskrift om behandling av helseopplysninger for saksbehandling, administrasjon, oppgjør og gjennomføring av helsehjelp til enkeltpersoner. Taushetsplikt er ikke til hinder for behandlingen av opplysningene og de kan behandles uten samtykke fra pasienten. Pasientjournalloven har imidlertid ikke særskilte bestemmelser for saksbehandling, administrasjon eller oppgjør, og oppstiller noen særlige begrensninger knyttet til taushetsplikt og utlevering til påtalemyndigheten.
Formålet med KPR vil heller ikke dekke bruk av opplysningene til etterforskning av straffbare handlinger, som grunnlag for forsikringsavtaler, forsikringsoppgjør, arbeidsavtaler mv.
Dette er imidlertid ikke til hinder for at oppgjørssystemet kan benyttes på samme måte som i dag. Departementet legger til grunn at Helsedirektoratet ved HELFO skal beholde muligheten til å avdekke misbruk av trygdens midler innen rammen av folketrygdlovens bestemmelser.
Departementet foreslår derfor at KPR som sådan skal hjemles i helseregisterloven. Oppgavene knyttet til kontroll og utbetaling skal derimot fortsatt hjemles i folketrygdloven. Dataene vil fortsatt bli registrert gjennom oppgjørssystemet KUHR.
Det vil være bruken av dataene som bestemmer hvilke regler som skal gjelde. Det følger av helseregisterloven § 5 jf. personopplysningsloven § 5, at opplysningene skal brukes i samsvar med helseregisterloven med mindre annet er bestemt i lov. Slike regler har vi i folketrygdloven. Når dataene brukes til kontroll og utbetaling vil det være folketrygdlovens regler som gjelder. Folketrygdloven vil gi hjemmel til Helsedirektoratet ved HELFOs bruk av dataene til utbetalinger og kontroll. HELFO vil kunne kontrollere på samme måte som i dag.
Når KUHR-data derimot skal brukes til formål fastsatt i KPR-forskriften, vil bruken reguleres av helseregisterloven og den kommende forskriftens bestemmelser om formål, innhold mv. KPR som sådan skal ikke kunne brukes til å «etterforske» helsepersonell eller pasienter.
Hvordan dette løses rent teknisk bør ikke departementet regulere. Alt kan i prinsippet samles i en database, men det forutsetter klare skiller mellom oppgavene. Vi har gode erfaringer med tilgangsstyring i helseregistre, for eksempel NPR.
Departementet foreslår at det lovfestes at Helsedirektoratet plikter å utlevere opplysninger fra KUHR til KPR og at utleveringen skal kunne skje uten hinder av taushetsplikt. Dette er begrunnet i at opplysningene er taushetsbelagte slik at utlevering krever lovhjemmel. En slik hjemmel vil være en forutsetning for at KUHR-data skal kunne inngå i KPR.
Departementet foreslår videre at det lovfestes en hjemmel til å gi forskrift med nærmere bestemmelser om behandling av opplysningene i saker etter kapittel 5. Det kan være behov for forskriftsbestemmelser også om informasjonssikkerhet osv. ved bruk av KUHR-data til kontroll og utbetaling. Blant annet kan det bli behov for å gi bestemmelser om informasjonssikkerhet og internkontroll. Det også bli behov for bestemmelser om utlevering av opplysninger til KPR. Hvorvidt disse bestemmelsene skal tas inn i en egen forskrift eller i KPR-forskriften, har departementet ikke tatt stilling til.