9 Personvernkonsekvenser av forslagene
9.1 Generelt
De foreslåtte endringene vil innebære et inngrep i de registrertes rett til privatliv etter EMK artikkel 8 nr. 1. Retten er imidlertid ikke absolutt, og på gitte vilkår kan det gjøres inngrep i den. Det kan gjøres inngrep i retten til privatliv når det er i samsvar med loven og det er nødvendig i et demokratisk samfunn, for eksempel for å beskytte helse. Det stilles krav om klar lovhjemmel og proporsjonalitet (forholdsmessighet). Rettssikkerhetskrav skal tilgodeses, inkludert kravet til presisjon i bestemmelsen slik at inngrepet er forutsigbart.
Når det gjøres inngrep i borgernes privatliv, har borgerne rett til vern om sine personopplysninger (personopplysningsvern). En vurdering av personvernkonsekvenser omfatter ikke bare en vurdering av konsekvensene for de registrertes rett til personopplysningsvern. Vurderingen skal også omfatte hvilke konsekvenser behandlingen av personopplysninger kan ha for andre rettigheter og friheter som en fysisk person har etter Den europeiske unions pakt om grunnleggende rettigheter (EU Charteret) og EMK, se personvernforordningen artikkel 35.
Retten til privatliv, herunder retten til personvern, må avveies mot retten til helsehjelp. Retten til helsehjelp etter internasjonale konvensjoner er omtalt i punkt 2.2.2.1.
Reglene om taushetsplikt er et viktig virkemiddel for å ivareta pasientenes konfidensialitet samt opprettholde pasientenes tillit til helsepersonell og til helsetjenesten. Når det gjøres unntak fra reglene om taushetsplikt, kan det utfordre pasientenes tillit til helsepersonell og helsetjenesten.
Departementet mener behandlingen av opplysninger i henhold til forslagene er nødvendige og forholdsmessige. Departementet viser til at formålene med forslagene er å sikre forsvarlige helsetjenester til befolkningen, samt at adgangen til å gripe inn i privatlivet er begrenset av strenge rammer.
Departementet mener at ved å legge til rette for læring, samarbeid og mer utstrakt bruk av beslutningsstøtteverktøy i helsetjenesten, kan helsehjelpen som ytes i tjenesten få enda bedre kvalitet. Det samme gjelder for det foreslåtte registeret over tolkede genetiske varianter, som skal bidra til bedre diagnostisering og dermed økt pasientsikkerhet. Forslagene vil dermed være viktige bidrag for å sikre pasientene forsvarlig helsehjelp, og bidra til å oppfylle Norges forpliktelser etter ØSK artikkel 12.
Departementet mener videre at behandling av opplysninger i samsvar med bestemmelsene vil være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger. Dette begrunnes nærmere i det følgende.
9.2 Adgang til å gjøre oppslag i pasientjournaler for ytelse av helsehjelp til annen pasient
Forslaget som åpner for at nærmere bestemte leger og tannleger kan gjøre oppslag i journalen til en tidligere pasient for så å dele kunnskapen med lege eller tannlege som trenger opplysningene i en konkret behandlingssituasjon, se kapittel 4, er et slikt tilfelle som kan føre til at opplysninger om pasienter blir delt med flere og at pasientene opplever det som et tillitsbrudd. Forslaget vil kunne føre til at det gjøres noen flere oppslag i pasienters journaler.
Departementet foreslår imidlertid flere tiltak for å begrense ulempene for pasientene.
For det første er bestemmelsen foreslått begrenset ved at det både må anmodes om opplysninger, og at det begrenses hvem som kan anmode om opplysninger, og hvem som kan besvare anmodningen. Departementet foreslår at det kun er leger og tannleger som kan anmode om opplysningene og kun et begrenset antall leger og tannleger som kan vurdere anmodningen. Virksomhetens ledelse har ikke behov for innsyn i opplysningene. Ledelsens oppgave er å bestemme hvilke personer, funksjoner eller roller som skal utføre oppgaven og sørge for rutiner slik at oppgaven kan ivaretas på en helse- og personvernfaglig forsvarlig måte. Dette vil begrense risikoen for urettmessige tilegnelse av taushetsbelagte opplysninger.
For det andre skal det ikke tilgjengeliggjøres navn eller andre personentydige kjennetegn på pasienten med mindre dette er helt nødvendig, slik at det vil være vanskelig for mottakeren å vite hvem pasienten er. Det kan også kun deles opplysninger som er nødvendige for å yte helsehjelp i et konkret behandlingsforløp, slik at opplysningene for eksempel ikke kan utleveres til kvalitetsregistre eller lignende.
Pasientene gis også mulighet til å motsette seg deling av taushetsbelagte opplysninger.
9.3 Deling av opplysninger i helsefaglige arbeidsfellesskap
Forslaget om deling i helsefaglig arbeidsfellesskap, se kapittel 5, kan også oppleves som et tillitsbrudd for pasientene. Departementet foreslår derfor tiltak for å begrense de negative konsekvensene en slik deling kan ha for pasientene. Helsepersonellet kan for eksempel ikke gjøre oppslag i pasientjournalen for å underbygge eller friske opp egen kunnskap på dette grunnlaget, opplysningene skal så langt som mulig gis uten individualiserende kjennetegn og opplysningene kan kun deles med helsepersonell i samme helsefaglige arbeidsfellesskap. Videre kan opplysninger ikke deles for andre formål enn de som er oppgitt i bestemmelsen.
Det er også foreslått at pasientene skal ha en adgang til å motsette seg deling av opplysningene. Pasienter har i dag en adgang til å motsette seg deling av taushetsbelagte opplysninger mellom samarbeidende personell, etter helsepersonelloven § 25. Det følger naturlig av dette at retten til å motsette seg deling av opplysninger skal gjelde tilsvarende for adgangen til å dele opplysninger i helsefaglige arbeidsfellesskap.
Departementet mener at disse tiltakene til sammen begrenser personvernkonsekvensene for pasientene.
9.4 Oppslag i journal for undervisningsformål
Departementet foreslår i kapittel 6 en begrenset adgang til å gjøre oppslag i journal for å kunne vurdere om en pasients helseopplysninger egner seg for undervisning. Det er her viktig å presisere at opplysningene kun vil bli tilgjengeliggjort for helsepersonell som har taushetsplikt.
Bruk av taushetsbelagte opplysninger i undervisning vil fortsatt kreve et annet unntak fra taushetsplikten. Når helsepersonellet har funnet pasientopplysninger som passer, kan helsepersonellet for eksempel be pasienten om samtykke til å bruke hans eller hennes helseopplysninger i undervisningen, eller anonymisere opplysningene før de blir brukt i undervisningen.
Bestemmelsen er meget begrenset. For det første er det kun leger og tannleger som etter forslaget vil kunne benytte en slik tilgang. Begrunnelsen for dette er ikke at annet helsepersonell ikke kan ha behov for å lese pasienters journaler, begrensningen er satt av hensyn til den enkelte pasients personopplysningsvern. En annen begrensing er at en lege eller tannlege bare kan gjøre oppslag om en pasient som er eller har vært tilknyttet sykehusavdelingen eller tannklinikken hvor legen eller tannlegen er ansatt.
For det tredje er det kun relevante og nødvendige opplysninger for å finne opplysninger som egner seg i undervisningen, det kan gjøres oppslag i. Urettmessig tilegnelse av taushetsbelagte opplysninger («snoking») er, og vil fortsatt være, ulovlig og straffbart.
Tilgjengeliggjøring av opplysninger etter denne bestemmelsen skal også dokumenteres. Krav til loggføring følger allerede av pasientjournalforskriften § 14. For å tydeliggjøre viktigheten av god oversikt over tilgjengeliggjøring av opplysninger for undervisningsformål, foreslår departementet at det reguleres i lovbestemmelsen at den dataansvarlige minst skal dokumentere informasjon om følgende:
identiteten og den organisatoriske tilhørigheten til den som får helseopplysningene har blitt gjort tilgjengelige for
grunnlaget for tilgjengeliggjøringen
tidsperioden for tilgjengeliggjøringen
hvilke opplysninger som blir tilgjengeliggjort.
Hvilke opplysninger som er tilgjengeliggjort er taushetsbelagte opplysninger, og kan ikke fremgå av en generell oversikt over virksomhetens bruk av bestemmelsen.
Departementet mener at disse tiltakene i stor grad begrenser personvernkonsekvensene for pasientene.
9.5 Utvikling og bruk av verktøy for beslutningsstøtte
Forslaget om adgang til å dispensere fra taushetsplikten for at opplysninger kan brukes i klinisk beslutningsstøtteverktøy, er en viktig presisering som vil muliggjøre utvikling og bruk av verktøy som er basert på kunstig intelligens i helsetjenesten. Se omtale i kapittel 7.
Bruk av slike verktøy har et stort potensiale i helse- og omsorgstjenesten, både når det gjelder effektivisering og likere fordeling av helse- og omsorgstjenester. Det finnes imidlertid flere utfordringer ved bruk av systemer med kunstig intelligens, og en av dem er risikoen for at opplysningene som er brukt i trening av algoritmen ikke er representative for området systemet skal brukes på. Derfor er det viktig at det også kan brukes helseopplysninger om norske pasienter for trening og tilpassing av algoritmer. Dette vil bidra til forsvarlige systemer, noe som er avgjørende når systemene skal brukes i helse- og omsorgstjenesten.
Forslaget åpner også for at taushetsbelagte opplysninger om tidligere pasienter kan inngå i beslutningsgrunnlaget for behandling av en ny pasient, også i et beslutningsstøtteverktøy. Departementet legger til grunn at dataansvarlig har vurdert systemene som tas i bruk som forsvarlige og at de oppfyller kravene i annet regelverk, som for eksempel personvernforordningen.
Dynamiske systemer vil fortsette å lære av helseopplysningene de får om nye pasienter. Helseopplysninger om pasientene vil i ulik grad bli lagret i systemene. I de fleste tilfeller vil det være uten direkte identifiserende opplysninger, men likevel slik at det ofte er helseopplysninger. Det kan oppleves som nytt og uvant for pasientene, og det kan ha negative følger for pasientenes tillit til helsepersonell og helsetjenesten. Samtidig er det viktig å påpeke at dette er tilfellet for helsepersonell i dag: De bruker kunnskap de har opparbeidet seg for å gi forsvarlig helsehjelp til nye pasienter. Forskjellen er at i beslutningsstøtteverktøy er det et datasystem som lærer, husker og anvender kunnskapen.
Dataansvarlig ved bruk av ny teknologi må gjennomføre en vurdering av personvernkonsekvenser (DPIA) etter personvernforordningen artikkel 35.
9.6 Behandlingsrettet helseregister med tolkede genetiske varianter
Forslaget om å opprette et behandlingsrettet helseregister med tolkede genetiske varianter, se kapittel 8, er viktig for å legge til rette for bedre diagnostisering og økt pasientsikkerhet. Pasienter kan likevel oppleve det som inngripende at genetiske opplysninger registreres flere steder enn i pasientjournalen, fordi opplysningene kan gi informasjon om opphav, nåværende og fremtidig helse. I tillegg vil opplysningene være tilgjengelige for flere personer enn kun for helsepersonell i virksomheten der opplysningene er samlet inn. Sistnevnte ville også vært tilfelle ved et behandlingsrettet helseregister etter pasientjournalloven § 9, men med herværende forslag vil registeret komme i tillegg til pasientens journal.
Departementet foreslår imidlertid flere tiltak for å avhjelpe personvernkonsekvensene.
For det første skal ikke opplysningene i registeret registreres sammen med direkte identifiserende opplysninger, som navn eller fødselsnummer. Registrering av opplysningene sammen med en pseudonymisert personidentifikator eller avidentifiserte opplysninger, innebærer at en ikke kan søke etter opplysninger i registeret ved hjelp av den registrertes fødselsnummer, og ved tilegnelse av opplysninger i registeret får en ikke samtidig kjennskap til hvilken pasient det dreier seg opp, uten å kjenne til tilleggsopplysninger om pasienten. Dette bidrar til å lempe på de negative personvernkonsekvensene av forslaget.
Det er også noen andre grunnleggende prinsipper for behandling av personopplysninger i personvernforordningen artikkel 5 som kan bli utfordret, blant annet prinsippene om dataminimering og riktighet. Det genetiske fagfeltet er i rask utvikling, og ønsker om nye opplysninger i registeret kan lede til at det registreres opplysninger som ikke umiddelbart kan anses å være relevante og nødvendige for å oppnå registerets formål, men som kan tenkes å bli det nær fremtid, etter hvert som en erverver ny kunnskap. Dette kommer særlig på spissen når flere virksomheter skal samarbeide om registeret og ønsker innflytelse på innholdet. Når flere virksomheter samarbeider og skal levere helseopplysninger til registeret, kan det også være utfordrende å sikre at opplysningene er oppdaterte og korrekte.
Et tiltak for å avhjelpe dette er at det skal forskriftsfestes hvilke opplysninger som skal inngå i registeret og at det ikke kan registreres flere opplysninger i registeret, enn hva som allerede i dag kan registreres i pasientens journal. Pasientene gis rett til å motsette seg behandling av opplysningene i registeret, og det skal gis nødvendig informasjon om denne rettigheten. Det innebærer også at pasientene kan kreve at allerede registrerte opplysninger slettes. Dette er et viktig tiltak for å ivareta de registrertes personvernrettigheter.
Et annet viktig tiltak for å ivareta de registrertes tillit, er at opplysningene i registeret sikres i samsvar med kravene til informasjonssikkerhet i personvernforordningen og pasientjournalloven § 22. God identitetsforvaltning og tilgangsstyring er avgjørende for å ivareta lovpålagte forpliktelser knyttet til personvern og informasjonssikkerhet. Både dataansvarlig og eventuelle databehandlere må ha egnede tekniske og organisatoriske tiltak for å sikre opplysningenes konfidensialitet, integritet og tilgjengelighet. Disse tiltakene skal være tilpasset risikonivået.
Den eller de dataansvarlige må også gjennomføre en vurdering av personvernkonsekvenser (DPIA) etter personvernforordningen artikkel 35, og registeret må oppfylle prinsippene om innebygd personvern og personvern som standardinnstilling i artikkel 25.
Departementet mener at tiltakene som er beskrevet her medfører at personvernkonsekvensene er redusert til et akseptabelt nivå og at forslagenes inngrep overfor den enkelte er forholdsmessig, jf. EMK artikkel 8 nr. 2.