Del 3
Departementets vurderinger
10 Nye løsninger for tilgjengeliggjøring
Departementet fremmer i denne proposisjonen forslag til lovendringer for å kunne etablere nye, tryggere og mer effektive løsninger som skal redusere ressursbruken ved tilgjengeliggjøring av helsedata og frigjøre ressurser til forskning og andre legitime formål. Lovendringene som foreslås tilsvarer i all hovedsak høringsforslaget. Departementet viser til at forslagene i hovedsak fikk støtte i høringen, men flere høringsinstanser pekte på vanskelige personvernspørsmål. Det er imidlertid gjort justeringer i lovteksten etter høringen.
10.1 Dagens løsninger
I dagens system er det komplisert og tidkrevende å få utlevert helsedata for bruk til helseanalyser, forskning, kvalitetsforbedring, planlegging, styring mv. på en trygg og sikker måte. Det er mye som tyder på at det nasjonale fortrinnet med gode helsedata ikke utnyttes godt nok. Dagens løsning er nærmere beskrevet i kapittel 5.
Utfordringene har vært grundig diskutert og dokumentert i en årrekke. Forskere har tatt opp problemet i debatter, kronikker og innlegg, og utfordringene er beskrevet i flere rapporter og utredninger. Det har vært oppmerksomhet rundt juridiske, organisatoriske og tekniske barrierer som gjør det unødig tungvint å få tilgang til data og å koble data mellom ulike kilder. Utfordringene var et tema allerede i NOU 1997: 26 Tilgang til helseregistre, da det ble påpekt at analysemulighetene som ligger i å samordne data i de ulike helseregistrene ble utnyttet alt for dårlig og at det var tungvint og tidkrevende å få oversikt på nasjonalt eller regionalt nivå.
Helsedatautvalget pekte i rapporten Et nytt system for enklere og sikrere tilgang til helsedata fra 2017 på utfordringene for de som søker om å få helsedata for sekundærbruk (se oppsummeringen i denne proposisjonen punkt 7.2). Departementet legger til grunn utvalgets beskrivelse av utfordringene, med henvisning til at denne beskrivelsen i all hovedsak har fått tilslutning i høringene av utvalgets rapport og av departementets høringsnotat.
Dagens organisering av forvaltningen og den rettslige reguleringen av helsedata medfører at det er mange aktører som må trekkes inn i hvert enkelt prosjekt for å vurdere tilgjengeliggjøringen, enten det er de samme opplysningene fra ett register eller opplysninger fra ulike registre. Brukeren må sende flere søknader og forholde seg til flere aktører. Dette medvirker til at det blir komplisert og tidkrevende å få utlevert helsedata, særlig i sammensatte prosjekter som trenger data fra flere dataansvarlige. Aktørbildet kan også bidra til å skape uklarhet, kompleksitet og uforutsigbarhet for den som søker tilgang til helsedata.
Det er derfor også gjerne flere aktører som vurderer de samme spørsmålene i tilknytning til samme prosjekt. Disse kommer i noen tilfeller til ulike konklusjoner, i en del tilfeller fordi de tolker reglene ulikt. Helseopplysningene er også rettslig regulert på forskjellige måter fra register til register. Dette kan bidra til uklarhet, kompleksitet, uklarhet om hvem som er rett myndighet, lang saksbehandling og inkonsistente avgjørelser.
I en brukerundersøkelse gjennomført av Helsedataprogrammet i 2017 oppga respondentene at gjennomsnittlig saksbehandlingstid for hele søknadsprosessen ved søknader om sammenstilte data er 17 måneder fra søknaden ble sendt første gang til opplysningene blir utlevert (se punkt 5.1.3 om faktisk utleveringstid). Det er alle stegene i søknadsprosessen som tar tid, inkludert dialog som følger av feil og mangler i søknadsgrunnlaget. Det er stor variasjon i utleveringstid mellom de ulike registrene.
Reseptregisteret er et av de viktigste og mest brukte registrene. Siden opplysningene i dette registeret er lagret pseudonymt med koblingsnøkkelen hos Statistisk sentralbyrå som pseudonymforvalter, er det vanskelig å få tak i og nyttiggjøre seg dataene. Dette gjelder særlig ved sammenstillinger med opplysninger fra andre registre.
Et annet aspekt med dagens system er knyttet til måten opplysningene blir tilgjengeliggjort på. Systemet baserer seg i all hovedsak på utlevering av personidentifiserende opplysninger til søkerne. Dette forutsetter at hver mottaker av data etablerer egne systemer og rutiner for å ivareta kravene til informasjonssikkerhet og personvern. Dette kan, sammen med begrensede ressurser til å føre offentlig tilsyn med behandling av helseopplysninger, bidra til svak kontroll med bruk av eksisterende datasett.
Informasjonssikkerhet og innbyggernes personvern står sterkt i dagens lovverk og i etablert praksis ved helseregisterforvaltningen i Norge. Innbyggerne har likevel begrenset mulighet til raskt og enkelt å få tilgang til egne helseopplysninger, samtidig som samtykkedialogen ofte er lite effektiv for forskere og helseregistre, og uoversiktlig for innbyggere. De registrerte kan ha problemer med å få oversikt over hvor det er lagret opplysninger om dem, hva som er lagret, hva de blir brukt til og hvem som bruker dem. Dette følger særlig av at opplysningene er spredt på ulike registre og dataansvarlige. Den registrerte må vite hvem disse er og sende flere innsynsbegjæringer. Det kan ta lang tid å få svar på innsynsbegjæringer etter helseregisterloven, ikke minst fordi det kan være arbeidskrevende for den dataansvarlige å finne frem til opplysningene.
I en innbyggerundersøkelse gjennomført av Helsedataprogrammet i 2019 var det 77 prosent som sa at de hadde liten eller ingen kjennskap til helseregistre. Uten kunnskap om hvilke instanser som oppbevarer helseopplysninger, er det følgelig vanskelig å vite i hvilken grad deres personlige helseopplysninger er gjenstand for sekundærbruk til samfunnsnyttige formål. Personidentifiserbare opplysninger blir i tillegg behandlet av et betydelig antall personer ansatt ved ulike registervirksomheter, forskningsinstitusjoner, behandlingsvirksomheter og offentlige etater, noe innbyggeren selv ikke har oversikt over.
10.2 Mål og prinsipper i en ny løsning
10.2.1 Økt og enklere tilgjengeliggjøring
Det er et mål at de store investeringene i helseregistre og andre helsedata skal føre til økt brukt av helsedata til forskning og andre legitime formål som er viktige for pasientene og helse- og omsorgstjenesten.
OECD vedtok i 2016 Recommendation of the Council on Health Data Governance. Effektiv tilgjengeliggjøring av helsedata til sekundærbruk er et sentralt formål ved rekommandasjonen. OECD anbefaler at staten
establish and implement a national health data governance framework to encourage the availability and use of personal health data to serve healthrelated public interest purposes while promoting the protection of privacy, personal health data and data security.
Riksrevisjonen har påpekt at mange helseregistre har data som blir lite brukt, og anbefaler at forvaltere av helseregistre legger til rette for økt bruk av registrene ved å gjøre dem mer tilgjengelige (Riksrevisjonens rapport Undersøkelse av helseregistre som virkemiddel for å nå helsepolitiske mål, 2018).
Fordeler ved tilgjengeliggjøring og sammenstilling av helseopplysninger omtales også i fortalen til personvernforordningen (punkt 157):
Ved å koble sammen opplysninger fra forskjellige registre kan forskere oppnå ny og svært verdifull kunnskap om utbredte sykdomstilstander som hjerte- og karsykdommer, kreft og depresjon. På grunnlag av registre kan forskningsresultater forbedres, ettersom registrene omfatter større befolkningsgrupper. Innen samfunnsvitenskap gjør registerforskning det mulig for forskere å få viktig kunnskap om den langsiktige sammenhengen mellom en rekke sosiale forhold, f.eks. arbeidsløshet og utdanning, og andre livsvilkår. Forskningsresultater oppnådd gjennom registerforskning gir omfattende kunnskap av høy kvalitet som kan danne grunnlaget for utformingen og gjennomføringen av en kunnskapsbasert politikk, forbedre livskvaliteten til en rekke mennesker og gjøre sosialtjenester mer effektive. For å fremme vitenskapelig forskning kan personopplysninger behandles for formål knyttet til vitenskapelig forskning, med forbehold for nødvendige vilkår og garantier fastsatt i unionsretten eller i medlemsstatenes nasjonale rett.
Departementet viser til regjeringens politiske plattform fra 17. januar 2019 der det står at regjeringen vil «(l)egge til rette for bedre utnyttelse av Norges samlede helsedata for å utvikle bedre og mer treffsikre helsetjenester, innenfor rammen av godt personvern og god datasikkerhet.» Videre vil regjeringen «(e)tablere Helseanalyseplattformen for å effektivisere og forenkle tilgangen til helsedata, samtidig som personvern og sikkerhet styrkes.»
Regjeringen har i Meld. St. 18 (2018–2019) Helsenæringen – Sammen om verdiskaping og bedre tjenester sagt at den vil
etablere en helseanalyseplattform for å effektivisere og forenkle tilgangen til helsedata til forskning og analyse samtidig som personvernet styrkes, herunder gjøre det mulig å benytte helsedata mer aktivt i utviklingsforløpet til legemidler og medisinsk teknologi.
I høringen var det bred enighet om behovet for å utnytte helsedataene bedre. Kreftforeningen viser til en undersøkelse fra 2018 i foreningens eget brukerpanel med pasienter, pårørende og etterlatte. Undersøkelsen viste ifølge foreningen at de fleste er positive til at egne helseopplysninger brukes til forskning, så lenge personvernet ivaretas:
Norske pasienter bidrar altså mer enn gjerne med data om seg selv, men forventer samtidig at dataene som samles inn blir benyttet til samfunnets beste. Dette viser også innbyggerundersøkelsen, der over 90 prosent av respondentene svarer at de mener det er viktig at helseopplysninger blir brukt til forbedring av helsetjenesten. Helsedata er en ressurs som kan redde liv og Kreftforeningen applauderer at det nå legges bedre til rette for å utnytte denne ressursen.
For å få til dette, bør det gjøres endringer slik at søknadsprosessen blir enklere og raskere for forskere og andre som trenger å bruke helseopplysningene. Søknadsbehandlingen skal være åpen og forutsigbar for søkeren. Vilkårene for å få opplysningene bør være enklere og mer åpne enn i dag. Søknadsprosessene bør så langt som mulig baseres på et prinsipp om én postkasse – én søknad. Samme spørsmål bør ikke vurderes av flere aktører i tilknytning til samme prosjekt. Dette er unødig ressurskrevende og byråkratisk, og gir liten gevinst for personvern og informasjonssikkerhet.
Et annet viktig prinsipp som må ivaretas er likebehandling mellom søkere; ulik tilgang til helsedata må være begrunnet i hensyn som prosjektets karakter, helseopplysningenes omfang og sensitivitet, grad av personidentifikasjon, informasjonssikkerhet osv. Reglene for de ulike helseregistrene bør forenkles, og ulikheter i reglene som ikke er begrunnet i slike hensyn bør harmoniseres.
Departementet mener at også næringsliv, innovatører m.fl. (private og kommersielle aktører) skal kunne få tilgang til helsedata på samme vilkår som offentlige aktører. Høringsinstansene var delt i dette spørsmålet. Se nærmere i punkt 12.5.9.4 om mottakerne av opplysningene fra helseanalyseplattformen og punkt 12.5.12 om betaling for tilgjengeliggjøring.
10.2.2 Trygg og sikker tilgjengeliggjøring. Personvern
Det er samtidig like viktig at personvernet ivaretas. Tilgjengeliggjøringen av helseopplysninger må skje på en trygg og sikker måte. Nye tekniske og organisatoriske løsninger for lagring og tilgjengeliggjøring bør tas i bruk for å sikre opplysningene på en bedre måte enn i dag. Lagring og spredning av personidentifiserbare helseopplysninger må begrenses til bare det som er nødvendig ut fra formålet med bruken. Nye løsninger kan samtidig legge bedre til rette for at de registrerte på en enkel måte skal kunne ivareta sine rettigheter ved informasjon, innsyn, administrasjon av samtykker osv.
I høringen uttaler Datatilsynet, Legeforeningen, Helsedirektoratet, Institutt for offentlig rett ved Universitetet i Oslo og De nasjonale forskningsetiske komiteene at personvernkonsekvensene av forslagene i høringsnotatet ikke var godt nok utredet og vurdert, ble fremstilt på feil måte, var underkommunisert eller ble tillagt for liten vekt.
Blant annet etterlyses det mer konkrete redegjørelser for risiko og konsekvenser av de foreslåtte løsningene. Høringsinstansene peker særlig på konsekvensene av at løsningene innebærer at store mengder opplysninger skal fysisk lagres på samme plattform og at beslutningsmyndigheten samles på én hånd. De mener at det i realiteten er tale om å etablere et nytt stort register. Videre er de kritiske til at det skal overføres kopier av opplysninger fra helseregistrene til plattformen og mener at dette er i strid med prinsippet om dataminimering. De mener at løsningen som foreslås innebærer at det vil være en stor datastrøm mellom helseregistrene og plattformen. Disse høringsinstansene påpeker at dette i seg selv utgjør en forhøyet risiko. Videre legger de vekt på at løsningen vil føre til økt bruk av helsedata, noe som innebærer større datastrøm og at flere opplysninger faktisk vil bli delt.
Gode innbyggertjenester fremheves som positivt av høringsinstansene. Men Datatilsynet mener at dette ikke kan reparere de ulempene løsningene innebærer for de registrerte. Legeforeningen er bekymret for befolkningens tillit til helsepersonell, og mener at det er en fare for at økt bruk av helsedata og bedre kunnskap i befolkningen om dette, kan føre til at pasienter blir tilbakeholdne med å gi fra seg opplysninger til helsepersonell i forbindelse med helsehjelp. Det pekes også på at departementet i høringsnotatet ikke hadde problematisert risikoen knyttet til cyberkriminalitet, fremmede makter osv.
I lys av dette gjør departementet i denne lovproposisjonen nærmere og mer konkret rede for både risikofaktorene som forslagene innebærer og de personvernfremmende tiltakene som Direktoratet for e-helse arbeider med som en del av den nasjonale løsningen for tilgjengeliggjøring av helsedata. Departementet har i lovproposisjonen utdypet vurderingene som var i høringsnotatet. Se særlig punkt 12.5.2 om personvernkonsekvensene knyttet til helseanalyseplattformen og Helsedataservice. Disse utdypingene har imidlertid ikke gitt grunnlag for å endre lovforslaget i forhold til det som ble foreslått i høringsnotatet.
Datatilsynet hevder at forslagene innebærer en betydelig utvidet bruk og bruk til nye formål. Tilsynet mener blant annet at økt bruk av opplysninger fra helseregistre i seg selv innebærer en relevant økning av risikoen, selv om opplysningene skal brukes til de formålene de er samlet inn for. Videre er tilsynet kritiske til det de mener er en betydelig utvidelse av de rettslige rammene for deling av helsedata sammenliknet med gjeldende regler. Datatilsynet peker også på risikoen for formålsutglidning, ikke bare i forhold til gjeldende rammer, men også et press mot å åpne for nye formål som en følge av at opplysningene er samlet og er teknisk lett tilgjengelige.
Departementet presiserer at de foreslåtte endringene ikke skal åpne for at helseopplysninger skal kunne brukes til nye formål eller i strid med samtykke eller reservasjoner. Forslaget innebærer ikke en betydelig utvidelse av de rettslige rammene for deling av helseopplysninger. Formålet er derimot å effektivisere delingen innenfor disse rammene og i samsvar med de formålene som opplysningene er samlet inn for. All bruk skal være innenfor formålsbegrensningene i helseregisterloven og registerforskriftene. Se om de rettslige rammene i punkt 11.4.5.1.
11 Vilkår for tilgjengeliggjøring og sammenstilling
Departementet foreslår i dette kapitlet nye bestemmelser i helseregisterloven § 19 til § 19 h som skal regulere adgangen til å tilgjengeliggjøre og sammenstille helseopplysninger fra helseregistre. Departementet foreslår samtidig at bestemmelsene om dispensasjon fra taushetsplikten for helseopplysninger, harmoniseres og samordnes med vilkårene for tilgjengeliggjøring.
Begrepene tilgjengeliggjøring og sammenstilling er forklart i punkt 2.5 og 2.6.
De foreslåtte vilkårene er en presisering og synliggjøring av de vilkårene og momentene som i dag enten skal tillegges vekt etter personvernforordningen, helseregisterloven, helseforskningsloven og registerforskriftene, eller som faktisk blir tillagt vekt av de dataansvarlige når de vurderer søknader om tilgjengeliggjøring. Departementet har også lagt vekt på at samme spørsmål ikke bør vurderes av flere aktører i tilknytning til samme prosjekt.
Lovendringen skal bidra til større forutsigbarhet for de som søker om å få opplysningene og mer likebehandling mellom søkerne, samtidig som søknader om tilgjengeliggjøring vil kunne behandles tilstrekkelig effektivt. Endringen skal samtidig bidra til ivaretakelse av informasjonssikkerhet og personvern ved tilgjengeliggjøring
Reglene skal gjelde for alle helseopplysninger i helseregistre som omfattes av helseregisterloven. Reglene vil rette seg mot dataansvarlige som tar stilling til søknader om tilgjengeliggjøring og sammenstilling av helseopplysninger fra helseregistre. Dette vil i utgangspunktet være registerforvalterne. Departementet foreslår imidlertid i kapittel 12 at ansvaret for tilgjengeliggjøring fra visse helseregistre skal overføres til en nasjonal tilgangsforvalter, Helsedataservice. Vilkårene for tilgjengeliggjøringen vil da være de samme for Helsedataservice som for registerforvalterne.
Disse reglene vil ikke regulere hvordan opplysningene skal tilgjengeliggjøres. Måten tilgjengeliggjøringen skjer på vil avhenge særlig av de tekniske løsningene hos den dataansvarlige og hos mottakeren. Det følger av personvernforordningen og helseregisterloven at informasjonssikkerheten uansett må ivaretas (opplysningenes konfidensialitet osv.).
Lovforslaget gjelder heller ikke spørsmålet om mottakerens (forskerens/brukerens) behandling av opplysningene er lovlig. Dette vil følge av de alminnelige reglene om behandlingen av helseopplysninger, jf. helseregisterloven § 6, personvernforordningen artikkel 5, helseforskningsloven § 33 mv. Departementet presiserer at dette er mottakerens eget ansvar, og at den dataansvarliges behandling av søknaden om tilgjengeliggjøring ikke skal frita fra eller erstatte ansvar for mottakeren.
Departementet har vurdert om det fortsatt er behov for en ekstern forhåndskontroll av forskningsetikken ved registerstudier. Departementet vil ikke i denne omgang foreslå å oppheve kravet om den regionale komiteen for medisinsk og helsefaglig forskningsetikk (REK) sin forskningsetiske vurdering ved registerstudier. Dette bør heller vurderes når Helsedataservice er etablert og vi har fått erfaringer med hvordan den nye nasjonale løsningen fungerer.
Departementet foreslår ingen endringer med hensyn til tilgjengeliggjøring av opplysninger til utlandet. Dette skal reguleres av de samme reglene som i dag (se punkt 11.1.7).
11.1 Gjeldende rett
Generelle vilkår for tilgjengeliggjøring og sammenstilling av helseopplysninger til sekundærformål følger av EUs personvernforordning og helseregisterloven, mens det er fastsatt konkrete vilkår i forskriftene for de ulike helseregistrene. I tillegg er reglene om taushetsplikt avgjørende for å kunne tilgjengeliggjøre helseopplysninger. Det gjøres rede for disse reglene i det følgende.
11.1.1 Personvernforordningen. Alminnelige vilkår for behandling
Tilgjengeliggjøring og sammenstilling av helseopplysninger er en form for behandling av personopplysninger etter personvernforordningen artikkel 4 nr. 2. Forordningen har ikke regulert spesifikt adgangen til å tilgjengeliggjøre og sammenstille. Dette følger i stedet av forordningens generelle krav som gjelder ved all behandling.
Alminnelige vilkår for behandling følger av artikkel 5. Denne artikkelen angir de grunnleggende vilkårene for den dataansvarliges adgang til å behandle helseopplysninger og andre personopplysninger: a) lovlighet, rettferdighet og åpenhet, b) formålsbegrensning, c) dataminimering, d) riktighet, e) lagringsbegrensning og f) integritet og konfidensialitet. Disse prinsippene skal legges til grunn ved all tilgjengeliggjøring og sammenstilling av helseopplysninger. Nedenfor gjøres det nærmere rede for de prinsippene som er mest relevante ved tilgjengeliggjøring.
Det vil også være andre vilkår i forordningen, lover eller forskrifter som må oppfylles ved tilgjengeliggjøring og sammenstilling. Særlig viktige er artikkel 12, 13 og 14 om de registrertes rett til informasjon og innsyn, artikkel 30 om protokoll over behandlingsaktiviteter, artikkel 32 om sikkerhet ved behandlingen jf. helseregisterloven § 21 om informasjonssikkerhet, artikkel 35 om vurdering av personvernkonsekvenser og artikkel 36 om forhåndsdrøfting med Datatilsynet. Disse kravene omtales ikke nærmere her.
11.1.1.1 Lovlighet (rettslig grunnlag), rettferdighet og åpenhet
Opplysningene skal behandles på en lovlig, rettferdig og åpen måte overfor den registrerte. Her omtales kravet om lovlighet.
At behandlingen er lovlig innebærer blant annet at den har rettslig grunnlag, jf. artikkel 6 og 9. Den dataansvarlige må med andre ord ha et rettslig grunnlag for å kunne tilgjengeliggjøre eller sammenstille opplysninger fra registeret. Enkelt forklart vil tilgjengeliggjøring eller sammenstilling av helseopplysninger ha rettslig grunnlag dersom behandlingen er basert på samtykke, lov, forskrift eller dispensasjon fra taushetsplikten. Det gjøres nærmere rede for reglene om dette i det følgende.
For at tilgjengeliggjøring av helseopplysninger skal ha rettslig grunnlag, må følgende vilkår være oppfylt:
Tilgjengeliggjøringen omfattes av et av behandlingsgrunnlagene i forordningen artikkel 6 nr. 1.
Tilgjengeliggjøringen omfattes av et av unntakene fra forbudet mot behandling av særlige kategorier av personopplysninger (blant annet helseopplysninger) i artikkel 9 nr. 2.
For tilgjengeliggjøring som ikke er basert på samtykke, vil det etter forordningen også ofte være nødvendig med supplerende rettsgrunnlag i nasjonal rett, jf. artikkel 6 nr. 3 og artikkel 9 nr. 2 bokstav g, h, i eller j.
Samtykke gir behandlingsgrunnlag etter artikkel 6 nr. 1 bokstav a, og vil også gi adgang til tilgjengeliggjøring av helseopplysninger etter artikkel 9 nr. 2 bokstav a. Dersom opplysningene behandles med grunnlag i de registrertes samtykke, er det i dag ikke særlige regler om hva som skal vurderes ved tilgjengeliggjøringen. Adgangen til å tilgjengeliggjøre opplysninger følger da av en fortolkning av samtykket og den dataansvarliges generelle plikt til å sørge for opplysningenes tilgjengelighet, konfidensialitet og integritet.
Når det gjelder helseregistre som ikke er basert på samtykke, er det mest aktuelle behandlingsgrunnlaget å finne i artikkel 6 nr.1 bokstav e om behandling som er nødvendig for å utføre en oppgave i allmennhetens interesse. Slik behandling må også ha et supplerende rettsgrunnlag i norsk rett, jf. artikkel 6 nr. 3. I tillegg må det være adgang til å behandle opplysningene etter en av unntaksbestemmelsene i artikkel 9 nr. 2 om særlige kategorier av personopplysninger.
I Prop. 56 LS (2017–2018) punkt 32.2 legges det til grunn at gjeldende bestemmelser i helselovene gir supplerende rettsgrunnlag for ikke-samtykkebasert behandling av helseopplysninger og unntak fra forbudet mot behandling av særlige kategorier av personopplysninger for de formålene som omfattes. Registerforskriftene gir supplerende rettsgrunnlag for tilgjengeliggjøring og sammenstilling etter nærmere vilkår. Et annet eksempel er Helsedirektoratets eller REKs (den regionale komiteen for medisinsk og helsefaglig forskningsetikk) lovhjemlede vedtak om dispensasjon eller unntak fra taushetsplikten etter den gjeldende helsepersonelloven §§ 29 eller 29 b, helseregisterloven § 20 og helseforskningsloven § 35.
11.1.1.2 Formålsbegrensning
Kravet om formålsbegrensning har stor betydning for hvilke opplysninger som kan tilgjengeliggjøres. Det følger av dette kravet at opplysningene bare kan brukes for spesifikke, uttrykkelig angitte og berettigede formål. Mottakeren må angi formålet på en så konkret og avgrenset måte at det fremstår som klart hva behandlingen skal tjene til.
Mottakerens formål må igjen være innenfor formålet som opplysningene ble innsamlet for. For helseregistrene med hjemmel i helseregisterloven §§ 9, 10 og 11 vil formålet være uttrykkelig angitt i forskriften, jf. § 8 fjerde ledd bokstav a. Dersom forskriften hjemler flere registre, slik som for eksempel forskriften om befolkningsbaserte helseundersøkelser, skal formålet for den enkelte undersøkelse presiseres av den dataansvarlige. Opplysningene kan ikke viderebehandles på en måte som er uforenlig med registerets formål. Viderebehandling for arkivformål, forskning eller statistikk anses imidlertid ikke som uforenlig med de opprinnelige formålene. Helseregisterlovens generelle formål i § 1 setter en ytre grense for hvilke formål opplysningene kan brukes til. Se også punkt 11.4.5.1 om formålsbegrensning.
Opplysningene kan likevel brukes til andre formål dersom den registrerte samtykker, så fremt dette ikke er begrenset i lov eller forskrift. For eksempel har vi flere forskriftsbestemmelser om at opplysningene ikke skal kunne brukes i forsikringsøyemed, selv om den registrerte samtykker. Lovbestemmelser kan også åpne for nye eller endrede formål, se for eksempel helseforskningsloven § 15 andre ledd.
11.1.1.3 Dataminimering
Prinsippet om dataminimering begrenser hvilke og hvor mange opplysninger som kan tilgjengeliggjøres. Prinsippet omtales gjerne som et forbud mot behandling av såkalt overskuddsinformasjon, altså helseopplysninger som ikke er nødvendige for å nå formålet. Prinsippet om dataminimering begrenser hvilke og hvor mange opplysninger som kan tilgjengeliggjøres. Opplysningene som tilgjengeliggjøres skal være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for. Dette innebærer både at det ikke skal tilgjengeliggjøres flere opplysninger om hver registrert enn det som er nødvendig, og at det heller ikke skal behandles opplysninger om flere personer enn det som er nødvendig. Se nærmere om dataminimering i punkt 11.4.5.5 og 11.4.5.6.
11.1.1.4 Integritet og konfidensialitet
Artikkel 5 fastsetter også et prinsipp om opplysningenes integritet og konfidensialitet ved behandlingen. Den dataansvarlige skal sørge for tilstrekkelig sikring av opplysningene. Dette innebærer blant annet sikring mot uautorisert eller ulovlig innsyn i og behandling av opplysningene. Den dataansvarlige må derfor vurdere mottakerens håndtering av opplysningene og hvordan opplysningene skal tilgjengeliggjøres. Se punkt 11.4.5.7 om informasjonssikkerhet hos mottakeren og punkt 11.4.7 om å pålegge særlige tiltak for å verne de registrertes interesser.
11.1.1.5 Lagringsbegrensning
Opplysningene skal lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålet. Begrenset lagringstid kan være et særlig og egnet tiltak for å verne de registrertes rettigheter og interesser. Den dataansvarlige kan stille vilkår om dette ved tilgjengeliggjøring. Se punkt 11.4.7 om å pålegge særlige tiltak for å verne de registrertes interesser.
11.1.2 Lovfestede vilkår (helseregisterloven)
11.1.2.1 Alminnelige vilkår for å behandle helseopplysninger (helseregisterloven § 6)
Helseregisterloven § 6 første ledd sier at helseopplysninger skal behandles i samsvar med prinsippene for behandling i personvernforordningen artikkel 5. Se om disse prinsippene i punkt 11.1.1.
Helseregisterloven § 6 andre ledd fastslår at graden av personidentifikasjon ikke skal være større enn nødvendig ut fra formålet med behandlingen av opplysningene. Dette kravet er en konkretisering av prinsippet om dataminimering i forordningens artikkel 5. Det må vurderes om formålet kan oppnås med indirekte identifiserbare eller anonymiserte opplysninger, eller med færre variabler. Behovet for variabler i datasettet skal vurderes konkret ut fra formålet. Dersom fødselsnummer eller andre direkte personidentifiserende kjennetegn skal brukes, må personidentifisering være nødvendig ut fra formålet med behandlingen.
Det følger av dette at opplysninger om helseforhold i utgangspunktet skal tilgjengeliggjøres anonymt. Der hvor det ut fra mottakerens formål likevel er nødvendig at opplysningene ikke er anonyme, kan personidentifiserbare opplysninger tilgjengeliggjøres. Dersom det ikke er nødvendig ut fra formålet å behandle direkte personidentifiserende kjennetegn, skal disse fjernes fra datasettet.
11.1.2.2 Sammenstilling av helseopplysninger etter helseregisterloven § 19
Helseregisterloven § 19 gir hjemmel til å gi forskrifter om sammenstilling av helseopplysninger i helseregistre innsamlet etter § 13 om innmelding av helseopplysninger til helseregistre. Sammenstilling kan tillates for opplysninger i helseregistre etablert med hjemmel i §§ 8 til 12, dvs. de forskriftsregulerte helseregistrene. Forskriftshjemmelen omfatter dermed alle helseregistre hjemlet i forskrift etter helseregisterloven. Dette gjelder for eksempel sammenstilling av opplysninger i Norsk pasientregister, Kommunalt pasient- og brukerregister, Medisinsk fødselsregister, Dødsårsaksregisteret, medisinske kvalitetsregistre og befolkningsbaserte helseundersøkelser. Forskriftene for alle de nevnte registrene har regler om sammenstilling med andre helseregistre.
I forskriftene kan det også gis bestemmelser om sammenstilling med Folkeregisteret og med andre registre enn de som er regulert i forskrift med hjemmel i helseregisterloven. For eksempel har forskriftene om Norsk pasientregister, Kommunalt pasient- og brukerregister, Hjerte- og karregisteret og medisinske kvalitetsregistre bestemmelser om sammenstilling med sosioøkonomiske data fra registre i Statistisk sentralbyrå (SSB).
Sammenstillingen vil være en ny behandling som vil være underlagt de alminnelige vilkårene for behandling av helseopplysninger, se punkt 11.1.2.1. Sammenstilling i samsvar med forskrifter gitt i medhold av § 19, vil ha rettslig grunnlag etter forordningen artikkel 6 og 9. Lovbestemmelsen gir i seg selv ikke supplerende rettsgrunnlag; det er forskriften som gir slikt grunnlag. At sammenstillingen er forskriftsregulert, er derfor en forutsetning for at sammenstilling skal kunne skje med grunnlag i § 19. Registerets formålsangivelse setter også en skranke for hvilke sammenstillinger som lovlig kan gjennomføres.
Bestemmelsen åpner for at helseregisteropplysninger kan overføres fra et register til et annet for å gjennomføre sammenstillingen. Dette kan skje uten hensyn til taushetsplikt. Sammenstillingen skal gjøres av den dataansvarlige for et av registrene eller en virksomhet som departementet bestemmer. Dette er for å sikre opplysningene ved at sammenstillingen skjer i kontrollerte former.
I § 19 tredje ledd presiseres det at forskrifter med hjemmel i bestemmelsen ikke regulerer uttømmende adgangen til å sammenstille helseopplysninger. Sammenstillinger av helseopplysninger ut over det som følger av forskriftene, kan (bare) skje når dette er tillatt etter personvernforordningen, personopplysningsloven eller andre lover. Et slikt annet grunnlag for sammenstilling vil i praksis gjerne være samtykke. Dermed kan for eksempel opplysninger i forskningsprosjekter (som baseres på forskningsdeltakernes samtykke), sammenstilles med opplysninger i Norsk pasientregister uten konkrete lov- eller forskriftsregler som uttrykkelig tillater dette. Forutsetningen er at samtykket omfatter sammenstilling med disse registrene.
11.1.3 Taushetsplikten. Unntak og dispensasjon
Taushetsplikten og helseopplysningenes konfidensialitet er grunnleggende prinsipper i helsevesenet. De som søker helsehjelp skal være trygge på at opplysningene om dem og deres helse ikke spres til uvedkommende. Dette er avgjørende for befolkningens tillit til helsepersonell og helsevesenet.
Samtidig er det nødvendig at opplysningene gjøres tilgjengelige, ikke bare for å gi helsehjelp til den som opplysningene gjelder, men også for å kunne sikre, forbedre og styre helsetjenestene ved statistikk, forskning mv. Pasienten kan samtykke til at opplysningene brukes til andre formål enn helsehjelp til pasienten selv. Det er også fastsatt regler om unntak og dispensasjon fra taushetsplikten i helseregisterloven, helsepersonelloven og helseforskningsloven som gjelder dersom det ikke er innhentet samtykke. Disse reglene har avgjørende betydning for adgangen til å tilgjengeliggjøre helseopplysninger for sekundærbruk. Dersom det er gjort unntak eller gitt dispensasjon fra taushetsplikten, vil den dataansvarlige også ha adgang og supplerende rettsgrunnlag til å tilgjengeliggjøre opplysningene. Videre vil mottakeren ha rettslig grunnlag for sin behandling. Dette står ikke uttrykkelig i loven, men er lagt til grunn i lovens forarbeider (Prop. 56 LS (2017–2018) punkt 32.3).
11.1.3.1 Taushetsplikten (helseregisterloven § 17 og § 18, jf. helsepersonelloven §§ 21 flg.)
Alle som behandler helseopplysninger etter helseregisterloven, har taushetsplikt etter helseregisterloven § 17 og § 18 som viser til helsepersonelloven §§ 21 flg. om taushetsplikt. Personell som behandler helseopplysninger, og som i utgangspunktet ikke ville være underlagt helsepersonellovens taushetsplikt, vil også ha taushetsplikt etter denne bestemmelsen. Også andre enn dem som behandler opplysningene etter helseregisterloven og som får adgang eller kjennskap til helseopplysninger fra et helseregister, har samme taushetsplikt. Taushetsplikten gjelder derfor også for forskere, statistikere, merkantilt personale, dataanalytikere, databehandlere m.v.
Taushetsplikten omfatter en passiv plikt til å tie og en aktiv plikt til å hindre at andre får kjennskap til opplysningene. Plikten gjelder overfor alle andre enn den opplysningen knytter seg til. Dette gjelder også overfor andre som er underlagt taushetsplikt.
Taushetsbelagte opplysninger kan derfor ikke fritt kommuniseres selv om også mottakeren av opplysningene har taushetsplikt. Taushetsplikten innebærer at utlevering eller annen tilgjengeliggjøring av helseopplysninger må ha samtykke fra den opplysningene gjelder eller hjemmel i lov, eventuelt unntak eller dispensasjon fra taushetsplikten.
Anonyme opplysninger kan ikke knyttes til en enkeltperson og er derfor ikke helseopplysninger i lovens forstand, jf. § 2 bokstav a. Slike opplysninger er dermed heller ikke omfattet av lovens taushetsplikt og kan tilgjengeliggjøres uten særlig hjemmel.
11.1.3.2 Dispensasjon fra taushetsplikten etter helsepersonelloven § 29 og § 29 b
Helsepersonelloven § 29 b gjelder tilgjengeliggjøring av opplysninger til helseanalyser, kvalitetssikring, administrasjon, planlegging eller styring av helse- og omsorgstjenesten. Departementet «kan bestemme at helseopplysninger kan eller skal gis til [slik] bruk». Dispensasjon kan bare gis dersom behandlingen av opplysningene er av vesentlig interesse for samfunnet og hensynet til pasientens integritet og velferd er ivaretatt. Graden av personidentifikasjon skal ikke være større enn nødvendig for det aktuelle formålet. Kun i særskilte tilfeller kan det gis tillatelse til bruk av direkte personidentifiserbare opplysninger som for eksempel navn eller fødselsnummer. Dispensasjonsmyndigheten er delegert til Helsedirektoratet.
Helsepersonelloven § 29 gjelder tilgjengeliggjøring av helseopplysninger til forskning. Myndigheten til å dispensere er i loven lagt til departementet, men er overført til den regionale komiteen for medisinsk og helsefaglig forskningsetikk (REK). REK «kan bestemme at opplysninger kan eller skal gis til bruk i forskning». Bestemmelsen eller forarbeidene sier ellers ikke noe om når det kan gis dispensasjon. Vurderingen er i praksis basert på de samme vurderingstemaene som er lovregulert i § 29 b og helseregisterloven § 20.
11.1.3.3 Dispensasjon fra taushetsplikten etter helseforskningsloven § 35
Helseforskningsloven § 35 har også en regel om dispensasjon fra taushetsplikten:
Den regionale komiteen for medisinsk og helsefaglig forskningsetikk kan bestemme at helseopplysninger kan eller skal gis fra helsepersonell til bruk i forskning, og at det kan skje uten hinder av taushetsplikt. Det samme gjelder opplysninger innsamlet i helse- og omsorgstjenesten. Dette kan bare skje dersom slik forskning er av vesentlig interesse for samfunnet og hensynet til deltakernes velferd og integritet er ivaretatt. Den regionale komiteen for medisinsk og helsefaglig forskningsetikk kan sette vilkår for bruken, blant annet for å verne de registrertes grunnleggende rettigheter og interesser.
11.1.3.4 Unntak fra taushetsplikten for indirekte identifiserbare helseopplysninger (helseregisterloven § 20)
Helseregisterloven § 20 regulerer adgangen til tilgjengeliggjøring av indirekte identifiserbare helseopplysninger fra helseregistre. Bestemmelsen gjør unntak fra reglene om taushetsplikt, slik at det ikke er nødvendig med samtykke fra de registrerte eller å søke dispensasjon fra taushetsplikten.
Det er registerforvalteren (den dataansvarlige) som beslutter om opplysningene kan tilgjengeliggjøres eller ikke. I praksis er dette for eksempel Folkehelseinstituttet eller Helsedirektoratet.
Bestemmelsen gir den dataansvarlige behandlingsgrunnlag og supplerende rettsgrunnlag for tilgjengeliggjøringen – i samsvar med forordningen artikkel 6 nr. 1 bokstav e jf. nr. 3, og tilstrekkelig unntak fra forbudet mot behandling av særlige kategorier opplysninger etter artikkel 9 nr. 2 bokstav g, h, i eller j (avhengig av hva mottakeren skal bruke opplysningene til). Tilgjengeliggjøringen vil også gi mottakeren supplerende rettsgrunnlag. Datasett som består av sammenstilte helseopplysninger fra flere lovbestemte registre, kan med hjemmel i § 20 tilgjengeliggjøres av en av de dataansvarlige for et lovbestemt register.
Dette unntaket fra taushetsplikten gjelder bare helseopplysninger i lovbestemte registre som er etablert med hjemmel i § 11. Slike registre er for eksempel Norsk Pasientregister eller Kreftregisteret. Bestemmelsen gjelder dermed for eksempel ikke befolkningsbaserte helseundersøkelser eller andre samtykkebaserte registre etablert med grunnlag i forskrift etter § 9. Sammenstilte datasett som inneholder opplysninger fra andre registre enn de lovbestemte, kan derfor ikke utleveres i medhold av helseregisterloven § 20.
Videre gjelder unntaket bare tilgjengeliggjøring av indirekte identifiserbare helseopplysninger. Unntaket gjelder også bare dersom opplysningene skal brukes til forskning, helseanalyser, eller kvalitetssikring, administrasjon, planlegging eller styring av helse- og omsorgstjenesten. Bestemmelsen har dermed de samme formålsbegrensningene som dispensasjonshjemlene i helsepersonelloven §§ 29 og 29 b.
Tilgjengeliggjøringen skal baseres på en konkret vurdering. Opplysningene kan bare tilgjengeliggjøres dersom følgende vilkår er oppfylt:
behandlingen av opplysningene er av vesentlig interesse for samfunnet
hensynet til pasientens integritet og konfidensialitet er ivaretatt
behandlingen er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn
Et vesentlig element i vurderingen er en avveining av samfunnsnytten opp mot personvernulempene for den enkelte. Hensynene bak taushetsplikten og pasientens rett til vern mot spredning av opplysninger skal veie tungt. Det er ulike sikkerhetsbehov knyttet til ulike datasett. Den dataansvarlige må vurdere risikoen for identifisering og misbruk. I vurderingen må det også blant annet legges vekt på antallet personer som får innsyn i de opplysningene som er tilgjengeliggjort. Se nærmere om § 20 i Prop. 72 L (2013–2014) punkt 21.3.2 og kommentarene til § 20 i kapittel 24.
Den dataansvarlige må videre vurdere hvilke opplysninger som er nødvendige for å oppfylle formålet med søknaden, og at dette er et formål som ligger innenfor registerets eget formål.
Den dataansvarlige kan stille vilkår for å verne de registrertes grunnleggende rettigheter og interesser. Dette er en gjennomføring av personvernforordningens artikkel 9 nr. 2 om «nødvendige garantier for den registrertes grunnleggende rettigheter og interesser» som en forutsetning for behandling til visse formål og artikkel 89 om nødvendige garantier «for å sikre den registrertes rettigheter og friheter» ved bruk av opplysninger til statistikk-, arkiv- eller forskningsformål. Det skal fastsettes de vilkårene som er nødvendige på bakgrunn av en konkret vurdering av risikoen. Aktuelle vilkår kan være krav til oppbevaring av opplysningene, krav om at opplysningene skal slettes etter en bestemt tid mv.
Tilgjengeliggjøringen må også vurderes i lys av de kravene artikkel 6 og artikkel 9 stiller for behandling av personopplysninger. For eksempel kan det tenkes at kravet om proporsjonalitet vil sette en grense for hva slags eller hvor omfattende behandling som kan forankres i helseregisterloven § 20. Dette henger sammen med at beslutningen om tilgjengeliggjøring vil gi mottakeren supplerende rettsgrunnlag for sin behandling av opplysningene. Det er imidlertid ikke meningen at den dataansvarlige skal gjøre en tilsvarende omfattende vurdering som Datatilsynet gjorde etter de opphevede konsesjonsreglene.
11.1.4 Forskningsetiske vurderinger
Det er et krav om forhåndsgodkjenning fra en av de regionale komiteene for medisinsk og helsefaglig forskningsetikk (REK), for å kunne behandle helseopplysninger i medisinsk og helsefaglig forskning, jf. helseforskningsloven § 9 og § 33. REK skal foreta en forskningsetisk vurdering av søknaden, jf. § 10. Se nærmere om REKs forskningsetiske vurderinger i punkt 11.4.8.1.
11.1.5 Forskriftsfestede vilkår
Forskrifter gitt med hjemmel i helseregisterloven §§ 8 til 11 har bestemmelser om vilkårene for å tilgjengeliggjøre og sammenstille, forholdet til taushetsplikten, adgangen til å ta betalt og krav om oversikt over tilgjengeliggjøring. Forskriftene henviser til, og stiller strengere og mer konkrete krav, enn de generelle reglene om behandling i personvernforordningen og helseregisterloven. Forskriftene gir de dataansvarlige supplerende rettsgrunnlag for tilgjengeliggjøring og sammenstilling.
Reglene om tilgjengeliggjøring og sammenstilling varierer mellom forskriftene. Ulikhetene er dels innholdsmessige og dels språklige. Blant annet er det varierende hvorvidt forskriftene viser til de alminnelige vilkårene for behandling av personopplysninger. Disse vilkårene gjelder imidlertid uavhengig av om det er vist til dem i forskriften eller ikke. Det vil føre for langt å gjøre rede for alle reglene og variasjonene mellom dem her i denne proposisjonen. I stedet beskrives enkelte av de mest sentrale forskriftene som eksempler på ulike reguleringer som stiller strengere eller mer konkrete krav enn forordningen og helseregisterloven.
11.1.5.1 Lovbestemte helseregistre
I hjerte- og karregisterforskriften fra 2011 er det fastsatt at opplysninger som hovedregel skal avidentifiseres før de tilgjengeliggjøres. Med avidentifiserte opplysninger menes «helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysninger som tidligere ble fjernet», jf. hjerte- og karregisterforskriften § 1-5.
I § 3-1 er det fastsatt at Folkehelseinstituttet etter søknad skal tilgjengeliggjøre nødvendige og relevante avidentifiserte opplysninger for uttrykkelig angitt formål innenfor registerets formål, dersom det er ubetenkelig ut fra etiske hensyn og mottakeren kun skal behandle avidentifiserte opplysninger. Liknende bestemmelser gjelder også for de øvrige lovbestemte registrene, med unntak av Kommunalt pasient- og brukerregister fra 2017 som er det nyeste registeret.
Opplysninger i registeret kan sammenstilles med opplysninger i Folkeregisteret, sosioøkonomiske data fra registre i Statistisk sentralbyrå og andre lovbestemte helseregistre. Opplysninger kan sammenstilles for uttrykkelig angitte formål som er innenfor registrenes formål, dersom det er ubetenkelig ut fra etiske hensyn og mottakeren bare skal behandle avidentifiserte opplysninger, jf. § 3-2. Sammenstilte helseopplysninger kan ikke lagres før fødselsnummer er slettet eller kryptert. Direkte personidentifiserende opplysninger som mottas, skal slettes så snart sammenstillingen er ferdig.
Den dataansvarlige kan stille vilkår som er nødvendige for å begrense ulempene behandlingen ellers ville fått for de registrerte, jf. hjerte- og karregisterforskriften § 3-2.
Det fremgår av § 3-3 at hjerte- og karregisterforskriften ikke regulerer uttømmende adgangen til å behandle opplysningene. Det presiseres der at den dataansvarlige vil kunne tilgjengeliggjøre personidentifiserende opplysninger dersom det er adgang til å behandle opplysningene også etter den registrertes samtykke, etter vedtak om dispensasjon fra taushetsplikten eller på andre grunnlag i samsvar med reglene om taushetsplikt og personvernforordningen artikkel 6 og 9.
I kommunalt pasient- og brukerregisterforskriften § 4-1 er det presisert at helseopplysninger skal behandles i samsvar med personvernforordningen, personopplysningsloven og de alminnelige vilkårene i helseregisterloven § 6 og reglene om taushetsplikt. Videre presiseres det at opplysningene bare kan behandles til formål som fastsatt i § 1-1 med mindre annet følger av lov eller etter samtykke fra den registrerte. Den dataansvarlige kan tilgjengeliggjøre direkte og indirekte identifiserbare helseopplysninger i samsvar med lovreglene om taushetsplikt. Det presiseres at opplysningene bare kan tilgjengeliggjøres dersom det ikke strider mot registerets formål, det er ubetenkelig ut fra etiske hensyn og mottakeren kan godtgjøre at mottakerens egen behandling oppfyller vilkårene i personvernforordningen artikkel 6 og 9. Helseopplysninger i Kommunalt pasient- og brukerregister kan sammenstilles med opplysninger i andre forskriftsregulerte helseregistre, med Folkeregisteret og med sosioøkonomiske opplysninger i andre offentlige registre (jf. § 4-2).
Siden noen av opplysningene i Kommunalt pasient- og brukerregister behandles med en rett for de registrerte til å motsette seg behandlingen (reservasjonsrett), er tilgjengeliggjøringen betinget av at den registrerte ikke har benyttet seg av denne retten. Når det gjelder sammenstilling med opplysninger fra samtykkebaserte registre, forutsettes det tilsvarende at dette er innenfor den registrertes samtykke.
I motsetning til hjerte- og karregisterforskriften, sier kommunalt pasient- og brukerregisterforskriften ikke noe om hvorvidt adgangen til å tilgjengeliggjøre og sammenstille er uttømmende regulert i forskriften. Forskriften har heller ingen bestemmelse om den dataansvarliges adgang til å stille vilkår ved tilgjengeliggjøring.
Forskriftene om de lovbestemte registrene har også presiseringer om at helseopplysninger ikke kan gjøres tilgjengelig for påtalemyndighetene eller brukes i forsikringsøyemed eller av arbeidsgivere selv om den registrerte samtykker.
Videre har forskriftene bestemmelser om frister for behandling av søknader om tilgjengeliggjøring, om oversikt over tilgjengeliggjøringen og om betaling for tilgjengeliggjøringen. I tillegg til språklige forskjeller er det også noen variasjoner blant annet med hensyn til fristenes lengde og lagringstid for oversiktene.
11.1.5.2 Pseudonyme helseregistre
Reseptregisteret er et pseudonymt helseregister hjemlet i helseregisterloven § 9 bokstav b. At registeret er pseudonymt betyr at identiteten til de registrerte er erstattet med en kryptert identitet, et pseudonym.
Den dataansvarlige kan tilgjengeliggjøre opplysninger til bruk for formål som ligger innenfor Reseptregisterets formål, jf. § 1-3. Alle opplysninger som tilgjengeliggjøres skal slettes straks prosjektet er avsluttet. Opplysningene kan ikke gjøres tilgjengelige dersom det er en begrunnet risiko for at opplysningene vil benyttes på en etisk uforsvarlig måte. Den dataansvarlige kan sette vilkår for tilgjengeliggjøringen.
Opplysninger i Reseptregisteret kan sammenstilles med opplysninger i Dødsårsaksregisteret, Medisinsk fødselsregister, Kreftregisteret, Meldingssystemet for smittsomme sykdommer, Det sentrale tuberkuloseregisteret, System for vaksinasjonskontroll og Hjerte- og karregisteret, jf. § 5-3. Sammenstillingen må utføres slik at enkeltpersoner ikke kan gjenkjennes ved hjelp av de sammenstilte opplysningene. Det presiseres at opplysningene ellers bare kan sammenstilles med andre opplysninger dersom sammenstillingen er i samsvar med taushetsplikten og det er adgang til sammenstilling etter personvernforordningen artikkel 6 og 9. Henvisningen her til forordningen innebærer at forskriftens regler om adgang til å sammenstille ikke er uttømmende. Opplysninger kan også sammenstilles i andre tilfeller dersom dette har annet grunnlag, for eksempel dispensasjon fra taushetsplikten.
Forskrift om pseudonymt register for individbasert helse- og omsorgsstatistikk (IPLOS) fra 2006, har liknende bestemmelser.
Se nærmere om pseudonymisering og Reseptregisteret i kapittel 13.
11.1.5.3 Befolkningsbaserte helseundersøkelser
Forskrift om befolkningsbaserte helseundersøkelser ble fastsatt i 2018. Siden behandlingen av opplysningene i befolkningsbaserte helseundersøkelser er basert på de registrertes samtykke, er reglene om tilgjengeliggjøring og sammenstilling enklere enn i de andre forskriftene. Det er fastsatt i forskriften at den dataansvarlige skal behandle opplysninger innsamlet i befolkningsbaserte helseundersøkelser i samsvar med prinsippene for å behandle helseopplysninger i personvernforordningen artikkel 5. Helseopplysninger innsamlet i undersøkelsen kan gjøres tilgjengelige og sammenstilles med andre opplysninger dersom dette er innenfor rammene av samtykket og undersøkelsens formål. Resultatet av behandlingen skal ikke ha større grad av personidentifikasjon enn det som er nødvendig for det aktuelle formålet.
Den dataansvarlige kan sammenstille opplysninger eller tilrettelegge dem på andre måter før tilgjengeliggjøring. Mottakeren må kunne vise til hvilke bestemmelser i personvernforordningen artikkel 6 og artikkel 9 og eventuelt lov eller forskrift, som gir mottakeren adgang til å behandle opplysningene. Den dataansvarlige kan stille vilkår for tilgjengeliggjøringen, inkludert vilkår om at opplysninger skal tilbakeføres til undersøkelsen. Selv om deltakeren samtykker, kan helseopplysninger innsamlet i undersøkelsen ikke gjøres tilgjengelige for påtalemyndighetene eller brukes i forsikringsøyemed eller av arbeidsgivere.
11.1.5.4 Medisinske kvalitetsregistre
Forskriften fra 2019 om medisinske kvalitetsregistre regulerer samtykke- og reservasjonsrettsbaserte registre. Det presiseres at opplysningene skal behandles i samsvar med personvernforordningen, personopplysningsloven og de alminnelige vilkårene i helseregisterloven § 6 og reglene om taushetsplikt. Opplysningene kan bare behandles til formål som er innenfor registerets formål, med mindre annet følger av lov eller av samtykke fra den registrerte.
Opplysningene kan tilgjengeliggjøres etter den registrertes samtykke, etter vedtak om dispensasjon fra taushetsplikten, eller på andre grunnlag i samsvar med reglene om taushetsplikt og personvernforordningen artikkel 6 og 9. Den dataansvarlige kan stille vilkår for tilgjengeliggjøringen. Helseopplysninger kan ikke gjøres tilgjengelige for påtalemyndighetene eller brukes i forsikringsøyemed eller av arbeidsgivere selv om den registrerte samtykker.
Opplysningene kan sammenstilles med opplysninger i andre forskriftsregulerte helseregistre, med opplysninger i Folkeregisteret og med sosioøkonomiske opplysninger i andre offentlige registre. Resultatet av behandlingen skal ikke inneholde større grad av personidentifikasjon enn det som er nødvendig for det aktuelle formålet
11.1.6 Andre hensyn som blir tillagt vekt i praksis
I praksis stiller de dataansvarlige også andre vilkår eller legger vekt på andre hensyn enn dem som fremgår av forordning, lov og forskrift. Det sentrale for de dataansvarlige er å unngå at opplysningene misbrukes eller kommer på avveie, og å sikre at søkeren ikke får flere opplysninger enn det som er nødvendig for prosjektet. Et av vurderingstemaene er om mottakeren har en dokumentert evne til å håndtere dataene på en sikker måte og at opplysningene bare vil bli benyttet til de angitte formålene. Uavhengig av hva som står i lov og forskrift, gjøres det også en sjekk av mottakerens rettslige grunnlag. Noen ganger stiller den dataansvarlige krav om at søker har vurdert personvernkonsekvensene (DPIA, jf. personvernforordningen artikkel 35).
11.1.7 Overføring av opplysninger til utlandet
Helseopplysninger i de norske helseregistrene er av stor interesse for forskere i andre land. Flere av helseregistrene overfører derfor opplysninger til andre land. Dette har de adgang til dersom mottakerens bruk er innenfor formålet til registeret, og den dataansvarlige har rettslig grunnlag for å utlevere opplysningene i samsvar med helseregisterloven § 6 jf. personvernforordningen artikkel 6 og 9.
Helseregisterloven har ikke bestemmelser som regulerer eller hindrer behandling av helseopplysninger på tvers av landegrensene. Spørsmålet om dispensasjon eller unntak fra taushetsplikten når opplysninger skal utleveres til forskere eller andre i utlandet, avgjøres etter reglene i helsepersonelloven, helseregisterloven og helseforskningsloven.
Adgangen til å overføre helseopplysninger til utlandet reguleres ellers av personvernforordningen. Prinsippet er at personopplysninger bare kan overføres til stater som sikrer en forsvarlig behandling av opplysningene. Reglene er ulike avhengig av om opplysningene overføres til EU/EØS eller til land utenfor EU/EØS (tredjeland). Det gjelder ingen særlige begrensninger med hensyn til å tilgjengeliggjøre opplysninger mellom EU/EØS-stater, utover de alminnelige vilkårene som også gjelder ved tilgjengeliggjøring til virksomheter i Norge. Overføring til tredjestater (utenfor EU/EØS) reguleres av artiklene 44 til 50. Opplysningene kan overføres på grunnlag av en beslutning fra Kommisjonen etter artikkel 45 om mottakerstatens beskyttelsesnivå. Dersom opplysningene skal overføres til et land der det ikke foreligger en slik beslutning, skal mottakerne gi nødvendige garantier etter artikkel 46 for å sikre personvernet.
11.2 Forslaget i høringsnotatet
Departementet foreslo i høringen at følgende vilkår for tilgjengeliggjøring av direkte og indirekte personidentifiserbare helseopplysninger lovfestes i helseregisterloven:
Opplysningene skal brukes til statistikk, helseanalyser, forskning, kvalitetsforbedring, planlegging, styring og beredskap for å fremme helse, forebygge sykdom og skade og gi bedre helse- og omsorgstjenester.
Opplysningene skal brukes til et uttrykkelig angitt formål som er innenfor registerets formål.
Tilgjengeliggjøringen skal være i samsvar med taushetsplikten ved at den registrerte har samtykket eller ved at tilgjengeliggjøringen omfattes av unntak eller dispensasjon fra taushetsplikten.
Mottakeren må kunne godtgjøre at egen behandling har rettslig grunnlag etter personvernforordningen artikkel 6 og 9.
Bruken må være innenfor den registrertes samtykke, i de tilfeller der samtykke er innhentet.
Den registrerte må ikke ha motsatt seg tilgjengeliggjøringen, i de tilfeller der den registrerte har en rett til å motsette seg dette.
Det skal ikke tilgjengeliggjøres flere opplysninger enn det som er nødvendig for formålet med mottakerens behandling.
Opplysningene skal tilgjengeliggjøres uten navn, fødselsnummer eller andre direkte personentydige kjennetegn, med mindre særlige grunner gjør det nødvendig for mottakeren å få opplysningene med slike kjennetegn.
Mottakeren må dokumentere hvordan hensynet til informasjonssikkerheten (opplysningenes konfidensialitet, integritet mv.) skal ivaretas.
Ved medisinsk og helsefaglig forskning må mottakeren ha fått forhåndsgodkjenning fra den regionale komitéen for medisinsk og helsefaglig forskningsetikk (REK).
Departementet foreslo også en ny bestemmelse i helseregisterloven som skal erstatte gjeldende regler om sammenstilling og gi direkte hjemmel til sammenstilling.
Departementet foreslo videre å samordne reglene om unntak og dispensasjon fra taushetsplikten i helseregisterloven, helsepersonelloven og helseforskningsloven.
Departementet foreslo i tillegg bestemmelser i helseregisterloven om plikt til å utarbeide statistikk, unntak fra offentlighetsloven, saksbehandlingsfrister, betaling og oversikt over tilgjengeliggjøring av opplysninger fra helseregistre.
11.3 Høringsinstansenes syn
11.3.1 Samlede, enhetlige og lovfestede regler
Høringsinstansene er positive til forslaget om å samle og harmonisere vilkårene for tilgjengeliggjøring og sammenstilling. Det anses som en forbedring både å flytte reguleringene fra forskrift til lov, å harmonisere vilkårene og å regulere vilkårene uttømmende i loven.
11.3.2 Vilkår
Høringsinstansene gir også i all hovedsak sin støtte til de vilkårene som ble foreslått lovfestet. Noen høringsinstanser ønsker en nærmere avklaring av hvor inngående den dataansvarlige/ Helsedataservice skal vurdere mottakers rettslige grunnlag, informasjonssikkerhet, innhenting av samtykke mv.
Helse Bergen HF uttaler at det er bra at det ikke reguleres hvordan opplysningene skal tilgjengeliggjøres. Fagforbundet mener derimot at det er viktig at sekundærbruk av helseopplysninger skjer i svært betryggende former og at det derfor bør lovreguleres hvordan opplysningene skal tilgjengeliggjøres.
11.3.3 Sammenstilling
Departementets forslag om en bestemmelse som skal gi hjemmel til å sammenstille opplysninger fra ulike helseregistre får støtte fra Folkehelseinstituttet, Forskningsrådet, Legemiddelverket, St Olavs hospital HF, Helse Midt-Norge RHF, Helse Vest RHF og Legemiddelindustrien.
Datatilsynet og Helsedirektoratet mener at den foreslåtte endringen vil åpne for sammenstillinger mellom flere registre enn i dag og at dette vil innebære en betydelig utvidelse av adgangen til å behandle helseopplysninger.
Forskningsrådet og Forskningsinstituttenes Fellesarena (FFA) støtter forslaget om å ikke lovfeste et krav om sletting av sammenstilte datasett. Forskningsrådet uttaler at sletting kan hindre etterprøvbarheten, dokumentasjon, gjentakende kvalitetssikring og gjenbruk av sammenstillingene. Datatilsynet er imot at sammenstilte data skal kunne oppbevares for kontrollformål, og mener at det fortsatt bør være plikt til å slette datasettet når sammenstillingen er gjennomført. Helsedirektoratet mener at det ikke er nødvendig å ta vare på sammenstilte datasett (med helseopplysninger/skarpe data) for å dokumentere grunnlaget for utarbeidet statistikk. Så lenge kildene til opplysningene bevares vil det ifølge direktoratet være tilstrekkelig å ta vare på algoritmene for uttrekket av de dataene som er sammenstilt (dvs. selve oppskriften).
11.3.4 Statistikk
I høringsnotatet ble det foreslått at lovbestemte registre (Norsk pasientregister, Kommunalt pasient- og brukerregister, Kreftregisteret mv.) skal ha plikt til å utarbeide statistikker. Helsedirektoratet viser til det viktige samfunnsoppdraget helseregistrene har, og mener at alle registre som er hjemlet i helseregisterloven bør ha plikt til å utarbeide og offentliggjøre statistikk. Helse Vest RHF mener at registre som får kvalitetssikrede data gjennom Helsedataprogrammet må ha plikt til å offentligjøre statistikk. Registre som er små i den forstand at de blir lite brukt, har lite ressurser til å forvalte sitt eget register og bør derimot ikke ha plikt til å utarbeide statistikk. En stor andel av medisinske kvalitetsregistre i helseforetak er små og vil ikke ha ressurser til å publisere statistikk.
Helsedirektoratet mener også at helseregistre av eget tiltak bør kunne utarbeide statistikker med opplysninger sammenstilt fra flere registre, slik som etter gjeldende regler.
KS og Oslo kommune er kritiske til at reglene gir rom for å avgrense den statistikken som publiseres til et minimum, dersom registrene samtidig skal kunne avvise søknader om statistikk av ressurshensyn. Dette vil medføre at kommunene ikke vil få tilgang til nødvendig statistikk, for eksempel om vaksinasjonsdata.
Datatilsynet og Helsedirektoratet mener at forslaget om at det skal være adgang til å gjøre de sammenstillingene som er nødvendige for å få frem statistikken, vil innebære en betydelig utvidelse av adgangen til å behandle helseopplysninger. Datatilsynet, Helsedirektoratet og Folkehelseinstituttet mener at retten til å få utarbeidet statistikk må avgrenses tydelig til bruk bare innenfor registerets formål og eventuelle samtykker eller reservasjoner.
Norsk journalistlag og Norsk Presseforbund reagerer sterkt på forslaget om at innsynsretten til anonyme opplysninger skulle reguleres uttømmende i helseregisterloven, slik at det ikke lenger skal kunne søkes om innsyn etter offentlighetsloven.
11.3.5 REKs forskningsetiske vurdering og forhåndsgodkjenning
Følgende høringsinstanser støtter forslaget om å videreføre kravet om REKs forskningsetiske vurdering og forhåndsgodkjenning: Sykepleierforbundet, Finnmarkssykehuset HF, Tekna, Funksjonshemmedes Fellesorganisasjon FFO, Norges teknisk-naturvitenskapelige universitet (NTNU), Sintef, Norges Farmaceutiske Forening, Akershus Universitetssykehus HF, KS og Oslo kommune.
Kreftregisteret, Oslo Universitetssykehus HF og Norce mener derimot at kravet bør avvikles. Hvis departementet velger å gi kompetanse for fritak fra taushetsplikten til Helsedataservice, foreslår NEM- og REK-komiteene at den forskningsetiske vurderingen også gjøres der. Forskningsinstituttet Norce mener at den forskningsetiske vurderingen bør kunne ivaretas av Helsedataservice.
11.4 Departementets vurdering
11.4.1 Behov for lovregulering
11.4.1.1 Harmoniserte og lovfestede regler
Departementet mener at det er behov for å harmonisere og lovfeste vilkårene for tilgjengeliggjøring og sammenstilling.
Departementet viser til at vilkårene i dag er ulike og spredt på mange forskrifter. Disse ulikhetene gjelder både innhold og lovteknikk. Forskjellene mellom registerforskriftene fremstår som tilfeldige og synes ikke alltid å være begrunnet i reelle forskjeller mellom registrene. Disse ulikhetene har blant annet sammenheng med at forskriftene er fastsatt til ulike tider. Noen av forskriftene er fastsatt ikke bare før personvernforordningen fra 2018, men også før helseregisterloven fra 2014.
Formålet med reglene har uansett vært å sikre personvernet og særlig konfidensialiteten. Resultatet er imidlertid ikke alltid at løsningen ivaretar personvernet på en hensiktsmessig måte. I flere tilfeller vil personvernet kunne ivaretas vel så godt eller bedre på andre måter. Selv om reglene gjør det vanskelig å få tilgjengeliggjort opplysningene, betyr ikke dette nødvendigvis at reglene hindrer at opplysningene spres til uvedkommende. Samtidig kan reglene føre til at de som har behov for opplysningene ikke får dem eller ikke får dem i tide.
Forskriftsreglene om tilgjengeliggjøring og sammenstilling er mange, detaljerte og kompliserte. Det er også forhold som i praksis tillegges vekt av registerforvalterne når de vurderer tilgjengeliggjøring, uten at dette følger av uttrykkelige krav fastsatt i forordningen, lov eller forskrift. Det er også ulik praksis hos de ulike dataansvarlige.
I tillegg har vi fått en situasjon der vilkårene følger av flere regelnivåer (forordning, lov og forskrift), noe som skaper en kompleks og uoversiktlig rettskildesituasjon. Det er ofte vanskelig å finne ut og å forstå hvilke regler som gjelder i et konkret tilfelle.
På denne bakgrunn ser departementet et behov for å flytte vilkårene fra forskriftene, og regulere dem samlet i helseregisterloven. Videre er det behov for å harmonisere og forenkle reglene. Samtidig bør vilkårene tilpasses det nye rettslige bakteppet som gjelder som følge av helseregisterloven fra 2014 og personvernforordningen fra 2018. Reglene vil på denne måten bli mer tilgjengelige. Dette vil bidra til større forutsigbarhet for de som søker om å få opplysningene og mer likebehandling mellom søkerne.
Forslaget om å samle, harmonisere og lovfeste vilkårene for tilgjengeliggjøring får støtte av høringsinstansene.
Datatilsynet
støtter forslaget om å samle bestemmelser som regulerer utlevering og kobling av data fra forskriftsregulerte helseregistre. Gjennom vår erfaring med saksbehandling av konsesjoner, har vi opplevd vanskeligheter knyttet til forskjeller i ordlyd og utforming av forskrifter som kanskje har vært ubegrunnede. Vi mener også at det kan medføre stor effektiviseringsgevinst å harmonisere regelverket for bruk av data fra helseregistre. Utilsiktede forskjeller kan ha vært medvirkende årsak til det som beskrives som en sendrektig og ineffektiv forvaltning av helsedata.
Vi vil imidlertid presisere at det ikke automatisk kan legges til grunn at alle forskjeller er utilsiktede, og vi savner en mer detaljert vurdering av hvorvidt forskjellene har en reell årsak eller om det skyldes tilfeldigheter. Eventuell motstrid må klargjøres og det må undersøkes om den er reell eller kun semantisk.
Direktoratet for e-helse uttaler:
Dagens situasjon med vilkår spredt i de ulike registerforskriftene, og i tillegg vilkår som ikke er nedfelt, gir liten forutsigbarhet for forskere og andre brukere av helsedata. Felles vilkår er et godt tiltak som vil skape mer åpenhet og større grad av likebehandling av søknader, og det vil bidra til mer enhetlig tolkning av regelverket. Felles vilkår vil også gjøre det enklere å samle de juridiske vurderingene i Helsedataservice.
Fagforbundet mener at lovfesting av vilkårene
vil gjøre behandlingen enklere. Det er nyttig at vilkårene framkommer direkte av lovteksten, både rent praktisk for den enkelte som skal sette seg inn i reglene, men også fordi man ikke risikerer variasjon mellom lovtekst og ulike forskrifter.
Universitetet i Oslo mener at lovfesting «vil bidra til en forutsigelig saksbehandling med felles krav for alle registrene».
Departementet foreslår på denne bakgrunn nye regler i helseregisterloven om vilkår for tilgjengeliggjøring og sammenstilling. De nye lovreglene skal erstatte forskriftsbestemmelser om det samme. Behovet for å videreføre enkelte særregler for noen registre som skal supplere lovbestemmelsene, vil bli vurdert i forskriftsarbeidet.
11.4.1.2 Presisering av de generelle kravene til behandling
Et formål med nærmere lovbestemte vilkår for tilgjengeliggjøring er også å presisere og konkretisere vilkårene som følger av de generelle reglene i forordningen artikkel 5 og helseregisterloven § 6. Formålet er å gi et vern mot at helseopplysninger tilflyter uvedkommende. Departementet viser til at det er tale om sensitive opplysninger og i mange tilfeller store mengder opplysninger om hver registrert og/eller om mange registrerte. Etter forordningen artikkel 9 nr. 4 har staten adgang til å opprettholde eller innføre ytterligere vilkår med hensyn til behandling av helseopplysninger.
11.4.1.3 Supplerende rettsgrunnlag
Etter personvernforordningen artikkel 6 og 9 er det nødvendig med et supplerende rettsgrunnlag for behandling av helseopplysninger, dersom behandlingen ikke har behandlingsgrunnlag i samtykke. Lovbestemmelsene om tilgjengeliggjøring og sammenstilling vil på samme måte som dagens forskriftsbestemmelser, gi den dataansvarlige (registerforvalteren eller Helsedataservice) et supplerende rettsgrunnlag.
11.4.2 Hensyn som må ivaretas. Konfidensialitet og tilgjengelighet
Departementet har ved utformingen av forslaget til lovregler om tilgjengeliggjøring, lagt til grunn at både hensynet til konfidensialitet og hensynet til tilgjengelighet må ivaretas og balanseres.
Behovet for å unngå at opplysningene spres til uvedkommende taler for strenge og omfattende vilkår for tilgjengeliggjøring. Taushetsplikten betyr at uvedkommende ikke skal få adgang eller kjennskap til opplysninger om folks legems- eller sykdomsforhold eller andre personlige forhold. Taushetsplikten skal verne om pasientens integritet, sikre befolkningens tillit til helsepersonell og helse- og omsorgstjenesten og sikre kvalitet i helse- og omsorgstjenesten. Diskresjon og fortrolighet mellom pasient og helsepersonell, og pasienters tillit til at opplysninger som gis i forbindelse med helsehjelp ikke benyttes i andre sammenhenger eller utleveres til uvedkommende, er grunnleggende for tillitsforholdet mellom behandlere/helse- og omsorgstjenesten og pasienten.
Personvern er imidlertid mer enn hensynet til konfidensialitet, og krever at flere hensyn ivaretas. Like viktig er det at vilkårene ikke blir så strenge at de som har et legitimt behov for opplysningene ikke får tak i dem eller at det tar for lang tid eller krever for mye ressurser å få tak i opplysningene.
Reglene må derfor utformes slik at opplysninger kan gjøres tilgjengelige for rett person til rett tid. Departementet legger vekt på at det er et mål at innsamlede opplysninger faktisk blir brukt til forskning osv. Det er ikke mulig å eliminere enhver risiko ved tilgjengeliggjøring, uten at det samtidig også blir for vanskelig å få tak i opplysningene. Vilkårene må ikke være så strenge at de blir et hinder for legitim og ønsket bruk av opplysningene. Risikoen er at vi mister verdifull kunnskap.
11.4.3 Hvem som skal vurdere om vilkårene er oppfylt
Det er et mål for departementet å redusere antall aktører ved vurderingen av ett og samme prosjekt. I dag er det slik at flere aktører ofte vurderer det samme og eventuelt kommer til ulike konklusjoner. For eksempel kan ivaretakelse av opplysningenes konfidensialitet og integritet bli vurdert både av Helsedirektoratet eller den regionale komiteen for medisinsk og helsefaglig forskningsetikk (REK) i forbindelse med dispensasjon fra taushetsplikten og av de dataansvarlige for hvert register i forbindelse med vilkårene for tilgjengeliggjøring.
Departementet mener at det først og fremst bør være Helsedataservice som vurderer og er ansvarlig for om vilkårene for tilgjengeliggjøring foreligger. Se om Helsedataservice sin tilgangsforvaltning i punkt 12.5.9. Kun dersom beslutninger om tilgjengeliggjøring fra det aktuelle registeret ikke er overført til Helsedataservice, bør vilkårene vurderes av den dataansvarlige for registeret.
Folkehelseinstituttet er
enig i departementets overordnede mål om at samme forhold ved søknaden ikke skal vurderes av flere instanser. Samtidig mener vi at det kan være utfordrende for Helsedataservice å gjøre en reell vurdering av forhold som f.eks. dataminimering for datakilder som ikke ennå inngår i helseanalyseplattformen.
Helsedirektoratet mener at «involvering av flere aktører kan ha en verdi, og har sett at slik involvering har bidratt til at enkeltsaker har fått korrekt utfall».
Departementet mener at dagens løsning med flere aktører som vurderer søknaden ikke nødvendigvis gir bedre personvern. Departementet viser videre til at løsningen har klare ulemper i form av tid- og ressursbruk. Det er også en uklar rettslig situasjon med dobbeltreguleringer der like eller liknende vilkår fremgår av ulike bestemmelser.
Helsedataservice vil kunne gjøre en forsvarlig vurdering av om vilkårene for tilgjengeliggjøring er oppfylt. Departementet viser også til at Helsedataservice vil kunne rådføre seg med registerforvalterne i kompliserte enkeltsaker, og at REK fremdeles skal vurdere forskningsetikken (se punkt 12.5.9.1).
11.4.4 Enkeltutlevering eller flere utleveringer etter søknad
Departementet foreslår at lovens vilkår skal gjelde enkeltutleveringer etter søknad. Departementet mener at loven også bør gi adgang til å søke om flere (eller periodiske) utleveringer. Mottakeren kan ha behov for regelmessige utleveringer til analyseformål. Et helseforetak kan for eksempel ha behov for å planlegge og styre samhandlingen mellom nivåene i pasientforløpet. En del analyser kan gjøres med egne data fra Norsk pasientregister. Nye og bedre analyser vil kunne gjøres dersom de også kan bruke kommunale data.
11.4.5 Lovfestede vilkår for tilgjengeliggjøring av helseopplysninger
Departementet foreslår at følgende vilkår for tilgjengeliggjøring av direkte og indirekte personidentifiserbare helseopplysninger lovfestes i helseregisterloven § 19 a:
Opplysningene skal brukes til et uttrykkelig angitt formål som er innenfor registerets formål.
Tilgjengeliggjøringen skal være i samsvar med taushetsplikten ved at den registrerte har samtykket eller ved at tilgjengeliggjøringen omfattes av unntak eller dispensasjon fra taushetsplikten.
Mottakeren må kunne godtgjøre at egen behandling vil ha rettslig grunnlag etter personvernforordningen artikkel 6 og 9.
Bruken må være innenfor den registrertes samtykke, i de tilfeller der samtykke er innhentet.
Den registrerte må ikke ha motsatt seg tilgjengeliggjøringen, i de tilfeller der den registrerte har en rett til å motsette seg dette.
Det skal ikke tilgjengeliggjøres flere opplysninger enn det som er nødvendig for formålet med mottakerens behandling.
Opplysningene skal tilgjengeliggjøres uten navn, fødselsnummer eller andre direkte personentydige kjennetegn, med mindre særlige grunner gjør det nødvendig for mottakeren å få opplysningene med slike kjennetegn.
Mottakeren må gjøre rede for hvilke egnede tekniske og organisatoriske tiltak som skal settes i verk for å ivareta informasjonssikkerheten (opplysningenes konfidensialitet, integritet mv.).
Tilgjengeliggjøringen er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn.
Ved medisinsk og helsefaglig forskning må mottakeren ha fått forhåndsgodkjenning fra den regionale komitéen for medisinsk og helsefaglig forskningsetikk (REK).
Departementet mener at de lovfestede vilkårene som foreslås vil bidra til ivaretakelse av informasjonssikkerhet og personvern ved tilgjengeliggjøring, samtidig som søknader om tilgjengeliggjøring vil kunne behandles tilstrekkelig effektivt. Vilkårene som foreslås lovfestet er en presisering og synliggjøring av de vilkårene og momentene som i dag enten skal tillegges vekt etter personvernforordningen, helseregisterloven, helseforskningsloven og registerforskriftene, eller som faktisk blir tillagt vekt av de dataansvarlige når de vurderer søknader om tilgjengeliggjøring. Selv om dette er en omfattende liste som også har vilkår som ikke fremgår av enkelte gjeldende forskrifter, er det derfor likevel ikke tale om noen reell skjerping av vilkårene.
Datatilsynet mener at vurderingene av mottakeren i det omfanget som forslaget legger opp til, kan gi et inntrykk av at behandlingen er forhåndsgodkjent.
Departementet presiserer at det ikke er tale om noen forhåndsgodkjenning slik som konsesjoner fra Datatilsynet etter tidligere regler. Selv om den dataansvarlige må vurdere forhold hos mottakeren og mottakerens behandling av opplysningene, vil tilgjengeliggjøringen ikke frita mottakeren for ansvar for tilstrekkelig rettslig grunnlag, informasjonssikkerheten osv.
I praksis må det imidlertid være en grense for hvor inngående vurderingen av forholdene hos mottakeren kan være. Departementet viser til at personvernforordningens system er at ansvaret for om behandlingen er lovlig og i samsvar med forordningens krav, ligger på den dataansvarlige (mottakeren). Dette ansvaret ligger ikke hos den som tilgjengeliggjør opplysningene. Dersom ansvaret for vurderingene skulle plasseres hos den som tilgjengeliggjør opplysningene, ville en i realiteten ha videreført en form for forhåndsgodkjenning. Det kan derfor ikke være slik at den dataansvarlige skal gjennomføre forskningsetiske vurderinger på samme måte som REK. Heller ikke kan den dataansvarlige som vurderer en søknad om tilgjengeliggjøring ha plikt til å vurdere om mottakeren har plikt til og eventuelt gjennomført en vurdering av personvernkonsekvensene etter forordningen artikkel 35.
Departementet drøfter de foreslåtte vilkårene nærmere i det følgende.
11.4.5.1 Mottakerens formål med behandlingen
Departementet foreslår en presisering i loven om at opplysningene bare skal kunne tilgjengeliggjøres dersom de skal brukes til et uttrykkelig angitt formål, jf. forordningen artikkel 5. Det presiseres også at formålet må være innenfor det aktuelle registerets formål. Det enkelte registerets formål må tolkes i lys av helseregisterlovens formål og virkeområde i § 1 og § 3.
Opplysningene skal som i dag bare kunne brukes til helserettede formål og ikke for eksempel i rent kommersielle formål. En annen sak er det om for eksempel et legemiddelfirma ønsker å bruke dataene til forskning ved utvikling av legemidler. Dette vil være innenfor formålet. Se også punkt 12.5.9.4 om mottakerne av opplysninger fra helseanalyseplattformen.
11.4.5.2 I samsvar med taushetsplikten
Departementet foreslår at det presiseres at tilgjengeliggjøringen må være i samsvar med taushetsplikten. Det forklares i lovteksten at dette betyr at den registrerte enten har samtykket eller at det er gjort unntak eller gitt dispensasjon fra taushetsplikten. Se punkt 11.4.6 om unntak og dispensasjon fra taushetsplikten.
11.4.5.3 Mottakerens rettslige grunnlag
Departementet foreslår at det lovfestes et krav om at mottakeren godtgjør at behandlingen har rettslig grunnlag etter forordningen artikkel 6 og 9. Se punkt 11.1.1.1 om kravet til rettslig grunnlag. Varianter av et slikt krav er fastsatt i noen av forskriftene. Og om det ikke står uttrykkelig i forskriften, så legges det i praksis ofte til grunn av den dataansvarlige som et vilkår for tilgjengeliggjøring. Departementet kan også vise til Prop. 56 LS (2017–2018) punkt 11.1.5.2 om rettslig grunnlag der det står at «den [dataansvarlige] som mottar personopplysningene som utleveres, må påvise et behandlingsgrunnlag etter artikkel 6 nr. 1».
Forslaget innebærer at søkeren må vise til hvilket behandlingsgrunnlag i forordningen artikkel 6 nr. 1 som behandlingen baseres på. Videre må søkeren vise til hvilket alternativ i artikkel 9 nr. 2 som åpner for behandling av helseopplysningene. Dersom behandlingen ikke er basert på samtykke, vil det som regel også være nødvendig med et supplerende rettsgrunnlag i lov eller forskrift, for eksempel dispensasjon fra taushetsplikten. Det vil da være tilstrekkelig å bekrefte og stadfeste hvilken artikkel og eventuelt lov eller forskrift som utgjør det rettslige grunnlaget. Det skal ikke kreves nærmere beskrivelse eller drøfting av grunnlaget.
Søkeren kan eventuelt vise til at det er innhentet samtykke og oversende samtykketekst og informasjonsskriv, men trenger ikke å oversende dokumentasjon for de enkelte samtykkene. Den dataansvarlige skal ikke gjøre en inngående vurdering av innholdet i samtykket og om samtykket dekker behandlingen. Men dersom det er klart at samtykket ikke er tilstrekkelig, må den dataansvarlige kunne avslå å tilgjengeliggjøre opplysningene, jf. vilkåret om at tilgjengeliggjøringen ikke må være ubetenkelig av etiske hensyn.
Departementet presiserer at det uansett er mottakeren som har ansvaret for at behandlingen har tilstrekkelig rettslig grunnlag, for eksempel at samtykket er dekkende for behandlingen.
11.4.5.4 Den registrertes selvbestemmelse (samtykke og reservasjoner)
Flere helseregistre er basert på at den registrerte har samtykket eller at den registrerte har rett til å motsette seg behandlingen (reservasjonsrett). Den registrerte har på denne måten en selvbestemmelsesrett. Departementet legger til grunn at eventuelle samtykker og reservasjoner må respekteres og mener at dette bør fremgå tydelig av loven.
Et sentralt vilkår må derfor være at mottakerens bruk av opplysningene er innenfor eventuelle samtykker. Dette følger av artikkel 5. Den registrerte må heller ikke ha motsatt seg tilgjengeliggjøringen, i de tilfeller der den registrerte har en rett til å motsette seg dette. En slik reservasjonsrett gjelder for eksempel dersom opplysninger i Kommunalt pasient- og brukerregister skal brukes til forskning, jf. forskriften § 2-2 andre ledd.
11.4.5.5 Ikke flere opplysninger enn det som er nødvendig
Departementet foreslår at det lovfestes et krav om det ikke skal tilgjengeliggjøres flere opplysninger enn det som er nødvendig for formålet med mottakerens behandling. Det er mottakeren som må begrunne at opplysningene det søkes om er nødvendige, og ikke den dataansvarlige som må begrunne det motsatte. Det samme følger av prinsippet om dataminimering i artikkel 5. Dette var tidligere presisert i helseregisterloven § 6. Det er imidlertid et så viktig prinsipp ved all tilgjengeliggjøring at det bør presiseres i den nye bestemmelsen.
11.4.5.6 Graden av personidentifikasjon
Det følger også av prinsippet om dataminimering at graden av personidentifikasjon ikke skal være større enn nødvendig for det aktuelle formålet. Dette er også presisert i helseregisterloven § 6 om alminnelige vilkår for å behandle helseopplysninger og i gjeldende helsepersonellov § 29 b om dispensasjon fra taushetsplikten. Departementet viser til at det er særlig viktig ved tilgjengeliggjøring at graden av personidentifikasjon og muligheten til å identifisere enkeltpersoner reduseres så mye som mulig. Siden dette allerede er regulert i helseregisterloven § 6, foreslår departementet ikke å ta dette inn i den nye helseregisterloven § 19 a.
Det følger av dette kravet at helsedata i utgangspunktet skal tilgjengeliggjøres anonymt. Departementet foreslår at det presiseres i loven at helseopplysninger – som er personidentifiserbare – som hovedregel skal tilgjengeliggjøres uten navn, fødselsnummer eller andre direkte personentydige kjennetegn. Og videre presiseres det at helseopplysninger bare skal kunne tilgjengeliggjøres med personentydige kjennetegn dersom særlige grunner gjør det nødvendig.
Direkte personidentifiserende opplysninger
Dette betyr at dersom det ikke er nødvendig ut fra formålet å behandle direkte personentydige kjennetegn, skal disse fjernes fra datasettet. I praksis er det svært sjelden at det er nødvendig for mottakeren å få personentydige kjennetegn. Det kan være nødvendig for eksempel i de tilfellene der en forsker har en populasjon som hun har innhentet samtykke fra og kjenner identiteten til. Hvis hun trenger å koble på data fra registrene til data hun har samlet inn selv direkte fra personene så vil det være nødvendig å bruke personnummer som koblingsnøkkel.
Direkte personentydige kjennetegn som for eksempel navn eller fødselsnummer skal etter forslaget bare kunne tilgjengeliggjøres dersom særlige grunner gjør det nødvendig. Et eksempel hvor det ofte kan være nødvendig med personentydige kjennetegn er dersom opplysninger fra et lovbestemt helseregister skal kobles til pasientjournaler. I slike tilfeller kan det ofte være hensiktsmessig at fødselsnummeret brukes som koblingsnøkkel. Ved tilgjengeliggjøring av sammenstillinger med direkte personidentifiserbare opplysninger kan det eventuelt samtidig settes krav om at disse opplysningene skal slettes når sammenstillingen er gjennomført, eller etter et bestemt antall år slik at krav til etterprøvbarhet eller dokumentasjon blir ivaretatt. I tillegg kan det være nødvendig å gruppere variabler, slik at muligheten for bakveisidentifikasjon blir minst mulig.
Avidentifisering
Departementet foreslår at forskriftenes regler om avidentifiserte opplysninger ikke tas inn i lovreglene om tilgjengeliggjøring. Med avidentifiserte opplysninger menes «helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysninger som tidligere ble fjernet», jf. for eksempel hjerte- og karregisterforskriften § 1-5. Denne definisjonen sto tidligere i helseregisterloven 2001, men ble ikke videreført i den nye helseregisterloven fra 2014 (Prop. 72 L (2013–2014) punkt 21.2.1).
Dette er opplysninger uten direkte personentydige kjennetegn. Man kan imidlertid finne tilbake til hvem opplysningene gjelder ved hjelp av en «nøkkel» eller en kode. Opplysningene regnes ikke som anonyme fordi identifikasjon vil være mulig så lenge koblingsnøkkelen/ koden eksisterer.
Begrepet avidentifiserte helseopplysninger har vært kritisert. Definisjonen sier ikke noe om omfanget eller karakteren av opplysningene tilknyttet hver person. I praksis har det vist seg at avidentifiserte helseopplysninger ikke har vært så nyttige i bruk som forutsatt da reglene ble fastsatt. Dette fordi en gjennom sammenstilling av flere enkeltopplysninger raskt kan få så mange opplysninger om et enkeltindivid at vedkommende likevel vil kunne identifiseres.
Det vanskelige skillet gjelder altså vurderingen av om et datasett er anonymt, eller om det er indirekte identifiserbart ved at de registrerte kan identifiseres gjennom variablene i datasettet. Det er også en praktisk utfordring å vurdere om et sluttprodukt er anonymt når det foretas koblinger med flere ulike registre. I Prop. 72 L (2013–2014) ble det vist til at det samlet sett brukes store ressurser i ulike instanser for å vurdere om det på bakgrunn av variablene er sannsynlig at enkeltindivider kan identifiseres indirekte eller ikke.
Departementet viser til at forslaget får støtte i høringen. Norsk sykepleierforbund uttaler at de
støtter departementets vurdering med hensyn til at reglene om avidentifiserte opplysninger ikke tas inn i lovreglene om tilgjengeliggjøring og at dette tas ut av registerforskriftene. Dette er vanskelig å gjennomføre i praksis og unødig kompliserende begrepsbruk.
Begrunnelsen for kravet om avidentifisering var å legge til rette for bruk av data med minst mulig personvernrisiko. Departementet mener at det samme følger av at graden av personidentifikasjon ikke skal være større enn nødvendig. Det vises også til at de nyeste registerforskriftene (forskriften om kommunalt pasient- og brukerregister og forskriften om medisinske kvalitetsregistre), ikke har krav om avidentifisering.
11.4.5.7 Informasjonssikkerhet hos mottakeren (konfidensialitet og integritet)
Mottakeren har plikt til å sørge for informasjonssikkerheten når opplysningene mottas. Opplysningenes konfidensialitet, integritet og tilgjengelighet er sentrale elementer i informasjonssikkerheten etter helseregisterloven § 21 og forordningen artikkel 32. Kravet om konfidensialitet innebærer at opplysningene må være sikret mot at uvedkommende får kjennskap til dem. Tiltak for å sikre konfidensialitet kan være av både organisatorisk og teknisk art. Med integritet menes beskyttelse mot utilsiktede endringer av opplysningene. Informasjonsinnholdet skal være korrekt, relevant, oppdatert og fullstendig. Opplysningene skal sikres mot utilsiktede endringer.
Departementet foreslår at mottakeren skal gjøre rede for hvilke egnede tekniske og organisatoriske tiltak som skal settes i verk for å ivareta informasjonssikkerheten. Mottakeren skal ha en dokumentert evne til å håndtere dataene på en sikker måte.
Det skal være mulig å etablere en ordning med autorisasjon av mottakere slik at det ikke blir nødvendig å legge frem denne dokumentasjonen i hver søknad. Dersom mottakeren er autorisert vil vilkåret kunne anses som oppfylt. Autorisering av brukere kan særlig være aktuelt i forbindelse med helseanalyseplattformen. Videre vil det ikke være samme behov for en vurdering av informasjonssikkerheten hos mottakeren dersom det bare skal gis tilgang i et lukket driftssikkert datarom på helseanalyseplattformen, uten at brukeren skal kunne ta med seg ut personidentifiserende opplysninger. Se også punkt 12.5.9.1 og 12.5.9.5 om Helsedataservice sin vurdering av om vilkårene for tilgjengeliggjøring er oppfylt og om tilgang i et sikkert og lukket analyserom.
Dette betyr ikke at den dataansvarlige som gir fra seg opplysningene skal få ansvar for informasjonssikkerheten hos mottakeren. Dette er uansett mottakerens ansvar. Kravet om at informasjonssikkerhetstiltakene skal beskrives, vil imidlertid gjøre det mulig å forhindre at opplysninger leveres ut til mottakere som ikke er seriøse, jf. vilkåret om at tilgjengeliggjøringen ikke skal være ubetenkelig ut fra etiske hensyn.
11.4.5.8 Etiske, medisinske og helsefaglige hensyn
Departementet mener at det bør presiseres i lovteksten at behandlingen av opplysningene skal være ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn. Denne formuleringen står i forskriften om Kommunalt pasient- og brukerregister og flere av de andre registerforskriftene. I praksis fungerer dette vilkåret først og fremst som en sikkerhetsventil som gir mulighet for å la være å tilgjengeliggjøre opplysninger dersom den dataansvarlige av ulike grunner ikke er trygg på mottakeren eller prosjektet.
Vurderingstemaene til Helsedirektoratet og REK ved eventuell dispensasjon fra taushetsplikten, kan her være overlappende. Dersom det er tale om medisinsk og helsefaglig forskning, vil etiske, medisinske og helsefaglige hensyn også inngå i REKs forskningsetiske vurdering. For å unngå at flere aktører vurderer det samme spørsmålet og eventuelt kommer til ulike konklusjoner, foreslår departementet at det primært skal være REK som vurderer etiske, medisinske og helsefaglige hensyn knyttet til prosjektet.
Det kan stilles spørsmålstegn ved hvilken merverdi et krav om at behandlingen av opplysningene skal være ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn, vil gi utover det som allerede følger av REKs forskningsetiske vurdering, taushetspliktreglene og de øvrige vilkårene for tilgjengeliggjøring. Departementet mener at dersom de øvrige vilkårene er oppfylt, dvs. at mottakeren har rettslig grunnlag, behandlingen har et lovlig formål, osv., vil det sjelden tenkes at prosjektet ikke bør realiseres. Det vil også være mulig å pålegge særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser (se punkt 11.4.7).
Tilgjengeliggjøring bør anses som ubetenkelig blant annet dersom mottakeren har forhåndsgodkjenning fra REK, dersom det bare skal gis tilgang til opplysninger i et lukket driftssikkert datarom på helseanalyseplattformen eller dersom mottakeren er autorisert (se punkt 12.5.9.5).
I øvrige tilfeller, dvs. dersom det er en søknad der mottakerens behandling er basert på samtykke og opplysningene skal brukes til andre formål enn medisinsk og helsefaglig forskning, er det etter departementets vurdering behov for en sikkerhetsventil. Dette kan være aktuelt for eksempel dersom den dataansvarlige har grunn til å tro, er kjent med eller har erfart at informasjonssikkerheten hos mottakeren ikke er tilstrekkelig. Det kan også være analyser som ikke utføres av forskere som del av en forskningsstudie, men som utføres for eksempel av dataanalytikere, konsulenter og myndighetene selv, som kan tenkes å reise etiske spørsmål. Folkehelseinstituttet mener derfor at etisk ubetenkelighet bør være et selvstendig vilkår for tilgjengeliggjøring.
Departementet foreslår også at det tas inn et krav om at mottakeren må ha REKs forhåndsgodkjenning ved medisinsk og helsefaglig forskning. Kravet om forhåndsgodkjenning følger av helseforskningsloven, men bør også synliggjøres som et vilkår for tilgjengeliggjøring. Dette vil bety at REKs forhåndsgodkjenning må innhentes før det fattes vedtak om tilgjengeliggjøring og opplysningene tilgjengeliggjøres. Reglene vil ikke være i veien for at dette ved tilgjengeliggjøring fra helseanalyseplattformen organiseres slik at Helsedataservice mottar søknaden om tilgjengeliggjøring, og innhenter REKs godkjenning som et ledd i søknadsbehandlingen. Se også punkt 11.4.8 om REKs forhåndsgodkjenning ved medisinsk og helsefaglig forskning og punkt 12.5.9.1 om tilgjengeliggjøring fra plattformen.
Departementet er kjent med at det i enkelte saker er vanskelig å vurdere om et prosjekt skal regnes som medisinsk og helsefaglig forskning etter helseforskningsloven slik at det krever REKs forhåndsgodkjenning. Departementet foreslår ingen lovendring som avklarer eller presiserer denne avgrensningen. Det må legges til grunn at det er REK som i konkrete saker skal ta stilling til dette spørsmålet. Dersom en som søker om tilgjengeliggjøring har søkt REK om forhåndsgodkjenning, men fått avvist søknaden fordi REK mener at prosjektet faller utenfor helseforskningsloven, må den dataansvarlige legge til grunn at vilkåret om REK-godkjenning er oppfylt.
11.4.5.9 Ikke uttømmende regulering av adgangen
Departementet foreslår at adgangen til å tilgjengeliggjøre opplysninger fra helseregistre ikke skal reguleres uttømmende i helseregisterloven. Dette vil følge av en alminnelig fortolkning og trenger ikke å bli presisert i lovteksten. Opplysninger bør fortsatt kunne tilgjengeliggjøres etter andre lovregler, for eksempel personvernforordningen artikkel 6 nr. 1 bokstav a og artikkel 9 nr. 2 bokstav a om behandling med grunnlag i den registrertes samtykke.
Den registrerte kan da også samtykke til at opplysningene brukes til nye formål. Selv om den registrerte samtykker, kan opplysningene likevel ikke brukes av påtalemyndighetene, i forsikringsøyemed eller av arbeidsgivere. Dette er en videreføring av det som følger av gjeldende registerforskrifter. At opplysningene ikke skal kunne brukes av påtalemyndighetene er ikke til hinder for at en tiltalt selv legger frem utskrift fra et helseregister som bevis i en straffesak.
11.4.6 Unntak og dispensasjon fra taushetsplikten
Departementet foreslår å samordne reglene om unntak og dispensasjon fra taushetsplikten i helseregisterloven, helsepersonelloven og helseforskningsloven. Departementet foreslår at helseforskningsloven § 35 og helsepersonelloven § 29 og § 29 b erstattes av en bestemmelse i helsepersonelloven om dispensasjon fra pasientjournaler og andre behandlingsrettede helseregistre, og en bestemmelse i helseregisterloven om dispensasjon når det gjelder opplysninger fra andre helseregistre. Vilkårene for dispensasjon harmoniseres både med vilkårene for tilgjengeliggjøring og med unntaket fra taushetsplikten for indirekte personidentifiserbare helseopplysninger i lovbestemte helseregistre. Departementet foreslår også i punkt 12.5.9.2 at myndigheten til å gi dispensasjon skal overføres fra Helsedirektoratet og REK til Helsedataservice.
Endringene er først og fremst en lovteknisk forenkling og en presisering av vilkårene som det legges vekt på etter gjeldende dispensasjonsregler. Departementet viser til at selv om gjeldende bestemmelser har ulik ordlyd, så er det likevel de foreslåtte vurderingstemaene som legges til grunn.
Som nevnt i punkt 11.4.3 mener departementet også at samme spørsmål ikke bør vurderes av flere aktører i tilknytning til samme prosjekt. Lovforslaget er derfor utformet slik at det bare blir dispensasjonsmyndigheten (Helsedataservice) som skal vurdere kravene om formålsbegrensning, dataminimering, informasjonssikkerhet hos mottakeren, mottakerens rettslige grunnlag osv. Dersom det er gitt dispensasjon skal registerforvalteren ikke vurdere det samme i tilknytning til samme søknad, men skal legge til grunn at disse vilkårene er oppfylt (jf. forslaget til ny helseregisterlov § 19 a siste ledd).
REK skal imidlertid fremdeles gjøre en forskningsetisk vurdering dersom opplysningene skal brukes til medisinsk og helsefaglig forskning. Her er det vanskelig å unngå et visst overlapp mellom vurderingene til REK og Helsedataservice. Helsedataservice skal imidlertid kunne koordinere den forskningsetiske vurderingen og beslutningen om tilgjengeliggjøring. Et tett samarbeid her vil kunne forhindre dobbeltarbeid. Se nærmere i punkt 11.4.8 om REKs vurderinger og punkt 12.5.9.1 om Helsedataservice saksbehandling og beslutninger ved tilgjengeliggjøring.
Etter gjeldende bestemmelse ligger det til dispensasjonsmyndigheten å avgjøre om opplysningene skal eller kan gis ut. Vanligvis får helsepersonell en rett til å utgi opplysninger, og vil således kunne velge å ikke gi ut opplysningene.
Departementet foreslår at helsepersonellet eller eventuelt registerforvalteren vil få plikt til å tilgjengeliggjøre opplysningene når Helsedataservice har fattet vedtak om dispensasjon fra taushetsplikten. Det vises til at vilkårene i bestemmelsen vil ivareta hensynene til de registrerte, og at Helsedataservice vil kunne gjøre en forsvarlig vurdering av om vilkårene er oppfylt. Disse vurderingene bør ikke gjøres på nytt av helsepersonellet eller registerforvalteren. Ved tilgjengeliggjøring basert på Helsedataservice sitt dispensasjonsvedtak, vil virksomheten uansett ikke ha ansvar for mottakerens etterfølgende behandling. Virksomheten vil ikke kunne trekkes til ansvar for tilgjengeliggjøring i samsvar med vedtak fra Helsedataservice.
Legeforeningen etterlyser vurderinger av hensynet til pasientens egen råderett og mener at opplysninger som er sperret i helsetjenesten ikke bør kunne tilgjengeliggjøres. Det bør ifølge foreningen vurderes hvorvidt det kan gjelde pasientinformasjon som det knyttes høy risiko til og opplysninger pasienten har beskyttet seg mot, for eksempel prøveresultater som kan inneholde prediktiv informasjon. Departementet viser her til at tilgjengeliggjøringen skal være ubetenkelig ut fra etiske hensyn. I den sammenheng må det blant annet ses hen til om pasienten har sperret opplysningene.
Dispensasjonen skal som i dag gi supplerende rettsgrunnlag for mottakerens behandling av opplysningene (se om supplerende rettsgrunnlag i punkt 11.1.1.1).
11.4.7 Særlige tiltak
Departementet foreslår at den dataansvarlige fortsatt skal ha en generell adgang til å pålegge særlige tiltak som vilkår for tilgjengeliggjøringen. Dette kan benyttes etter en konkret vurdering der det anses nødvendig for å sikre de registrertes rettigheter og interesser. Ved dispensasjon fra taushetsplikten skal det etter forslaget være Helsedataservice som eventuelt fastsetter tiltak.
Det vises til at flere forskrifter har bestemmelser om dette, for eksempel hjerte- og karregisterforskriften § 3-2. I andre forskrifter slik som forskrift om kommunalt pasient og brukerregister, er dette derimot ikke presisert. Også for disse registrene må det imidlertid legges til grunn at den dataansvarlige kan sette vilkår ved tilgjengeliggjøringen. Dersom den dataansvarlige kan avslå søknaden, må det også være adgang til å innvilge søknaden, men på visse vilkår («fra det mer til det mindre»).
Departementet foreslår at dette formuleres som en rett til å pålegge særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser, på samme måte som i gjeldende bestemmelser om unntak og dispensasjon fra taushetsplikten. Dette er en gjennomføring av personvernforordningens artikkel 9 nr. 2 om «nødvendige garantier for den registrertes grunnleggende rettigheter og interesser» som en forutsetning for behandling til visse formål og artikkel 89 om nødvendige garantier «for å sikre den registrertes rettigheter og friheter» ved bruk av opplysninger til statistikk-, arkiv- eller forskningsformål.
Dette innebærer en rett til å stille for eksempel krav om oppbevaring, begrenset lagringstid, sletting, kryptering eller bestemt informasjon til de registrerte.
Vilkårene skal være forholdsmessige og saklige. Den dataansvarlige skal ikke kunne vektlegge andre hensyn enn vern av den registrerte, slik som for eksempel en vurdering av prosjektets nytte.
Det vil eventuelt kunne fastsettes eller videreføres særregler i forskrifter, for eksempel bestemmelsen i forskriften om befolkningsbaserte helseundersøkelser som åpner for å stille krav om tilbakeføring av opplysninger til undersøkelsen eller departementets forslag i punkt 12.5.12 om at Helsedataservice skal kunne stille krav om publisering eller retur av analyseresultater.
Den dataansvarlige vil også kunne bestemme måten opplysningene skal tilgjengeliggjøres på, for eksempel om de skal utleveres på minnepinne for nedlasting på forskerens egen PC eller om forskeren skal gis tilgang til opplysningene på en lukket plattform. Etter gjeldende regler er det ikke regulert hvordan opplysningene skal tilgjengeliggjøres. Fagforbundet mener at
det er viktig at sekundærbruk av helseopplysninger skjer i svært betryggende former, slik at tilliten til helsetjenestene ikke forringes ved at opplysninger om enkeltpasienter blir kjent for uvedkommende. Det kan derfor med fordel lovreguleres hvordan opplysningene skal tilgjengeliggjøres og ikke bare vilkårene for utlevering.
Helse Bergen HF mener derimot at det
er bra at de foreslåtte lovendringene ikke vil regulere hvordan opplysningene skal tilgjengeliggjøres, fordi måten tilgjengeliggjøringen skjer på vil avhenge særlig av de til enhver tid tekniske løsningene hos den dataansvarlige og hos mottakeren.
Departementet mener at det ikke bør lovfestes hvordan opplysningene skal tilgjengeliggjøres. Dette bør vurderes konkret og i lys av de tekniske mulighetene hos den dataansvarlige og mottakeren til enhver tid. Det følger av vilkårene for tilgjengeliggjøring at den dataansvarlige skal velge den måten som gir best informasjonssikkerhet og som samtidig er forenlig med formålet med behandlingen.
11.4.8 REKs forskningsetiske forhåndsgodkjenning
Departementet har vurdert om det fortsatt er behov for en ekstern forhåndskontroll av forskningsetikken ved forskning på data fra helseregistre, dvs. rene registerstudier som bare involverer allerede innsamlede data og ikke behandling av mennesker eller biologisk materiale. Departementet har kommet til at det i denne omgang ikke bør gjøres endringer i kravet i helseforskningsloven § 33 om at de som skal bruke helseopplysninger fra helseregistre til medisinsk og helsefaglig forskning skal ha forhåndsgodkjenning fra den regionale komiteen for medisinsk og helsefaglig forskningsetikk (REK).
11.4.8.1 Gjeldende rett
Etter helseforskningsloven er det et krav om forhåndsgodkjenning fra REK for å kunne behandle helseopplysninger i medisinsk og helsefaglig forskning, jf. helseforskningsloven § 9 og § 33.
REK skal foreta en forskningsetisk vurdering av prosjektet, jf. § 10. Dette skal bidra til å ivareta befolkningens tillit både til datakildene (helseregistrene, helseundersøkelsene, pasientjournaler mv.) og til forskningen på helsedata. Forskningen skal skje i henhold til anerkjente etiske normer. REK gjør en helhetlig forskningsetisk vurdering av alle prosjektets sider og påser at det totalt sett er forsvarlig. Denne vurderingen omfatter prosjektets formål, forskningskvaliteten og sannsynliggjort nytte, prosjektgruppens kompetanse, ivaretakelse av deltakernes integritet og velferd, risiko for deltakere og samfunn, selvbestemmelse, frivillighet, finansiering, finansielle bindinger, offentliggjøring og plan for vitenskapelig publisering. REK vurderer også om samtykket og informasjonen som er gitt til de registrerte er dekkende for forskningsprosjektet.
REK skal også vurdere behandlingen av personopplysninger som prosjektene innebærer. Dette gjelder blant annet om datainnhenting, datahåndtering, deling av data og dataeierskap er i samsvar med reglene om taushetsplikt og personvern. Etter personvernforordningen og lovendringene i 2018 har REKs forhåndsgodkjenning imidlertid ikke personvernrettslig betydning, verken som rettslig grunnlag for behandlingen eller på andre måter (Prop. 56 LS (2017–2018) punkt 32.3.2).
Behandling av helseopplysninger fra helseregistre hjemlet i forskrift etter helseregisterloven §§ 8 til 11 krever ikke tillatelse fra REK, med mindre annet følger av forskriftene til registrene (jf. helseforskningsloven § 33). I dag følger det av registrenes forskrifter at forhåndsgodkjenning av REK kreves for forskning på indirekte eller direkte personidentifiserbare opplysninger fra de aktuelle registrene, jf. for eksempel Kommunalt pasient- og brukerregisterforskriften § 4-3. Dersom opplysningene er avidentifiserte kreves det i utgangspunktet ikke forhåndsgodkjenning fra REK. Men ved tvil om hvorvidt behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn, skal søknaden forelegges REK (jf. for eksempel forskriften om Norsk pasientregister § 3-6).
11.4.8.2 Helsedatautvalgets forslag
Flertallets vurdering
Helsedatautvalgets flertall (sju av ti medlemmer) mente at det ikke er behov for en ekstern forhåndskontroll av forskningsetikken ved rene registerstudier. Flertallet foreslo at kravet i helseforskningsloven §§ 33 og 34 om REKs forskningsetiske vurdering og godkjenning, ikke skal gjelde forskning som kun benytter helseopplysninger fra helseregistre. Kravet om at det for all forskning også gjøres en ekstern forskningsetisk vurdering, er ifølge utvalgsflertallet byråkratiserende og gir liten tilleggsgevinst. Flertallet viste til at ansvaret for forskningsetikken ligger hos forskeren. Den som leverer ut eller gir tilgang til helseopplysninger skal uansett påse at forskerens formål er lovlig og i samsvar med registerets formål og eventuelle samtykker. De viste også til at etiske aspekter av forskningen også vil vurderes av den dataansvarlige (eventuelt tilgangsforvalteren) når søknader om tilgang behandles.
Flertallet mente at forskning ikke innebærer generelt større etiske utfordringer enn behandling av helseopplysninger til andre formål, som for eksempel statistikk, helseanalyse, styring og planlegging, kvalitetsforbedring av tjenestene og beredskap. De etiske utfordringene er heller ikke større der helsedata brukes til medisinsk og helsefaglig forskning enn der helsedata eller andre sensitive persondata brukes til for eksempel helsetjeneste- og velferdsforskning. Flertallet mente at for enkeltindividet vil den største risikoen ved forskning som kun baseres på helsedata fra helseregistre, være at den registrertes integritet kan krenkes. Dette hensynet skal imidlertid ivaretas av personvernreglene.
Mindretallets vurdering
Mindretallet (tre medlemmer) mente at det også i fremtiden bør gjøres en ekstern forskningsetisk vurdering av prosjekter som skal benytte helseopplysninger i medisinsk og helsefaglig forskning. Disse medlemmene uttalte at sannsynligheten for forskning som krenker de registrertes integritet vil øke dersom kravet om en uavhengig forskningsetisk vurdering fjernes.
Mindretallet viste videre til at et system som utelukkende baserer seg på tillit til at alle forskningsaktører er kvalifiserte og har evnen til å regulere seg selv vil være svært sårbart. De aktuelle helsedatakildene inneholder store mengder sensitiv informasjon om landets innbyggere. Det trengs derfor en uavhengig portvokter for å sikre borgernes og samfunnets interesser i at forskning som gjennomføres er etisk forsvarlig. Personvernforordningen synes å legge stor vekt på forskeres egenvurdering av prosjektets forsvarlighet, og ved lovbrudd vil Datatilsynet kunne gripe inn og eventuelt ilegge gebyr. Etter mindretallets syn vil i slike tilfeller imidlertid skaden allerede ha inntruffet når opplysningene er utlevert, med potensielt store konsekvenser for de involverte og svekket tillit til registrene og forskningen i befolkningen som resultat.
Mindretallet fremholdt at det heller ikke er slik at alle lovlige forskningsprosjekter er forsvarlige og gode prosjekter. Det kan ikke utelukkes at noen vil ønske data for illegitime forskningsformål eller at forskere har ikke-legitime egeninteresser eller finansielle bindinger til sine prosjekter. Personvernforordningens regler ble av mindretallet ikke oppfattet som tilstrekkelige for å sikre forsvarlig forskning.
Høringsuttalelser til utvalgets forslag
Det var 48 av høringssvarene som hadde merknader til utvalgsflertallets forslag. 17 av disse støttet forslaget mens 31 ikke støttet forslaget.
Blant de høringsinstansene som støttet flertallets forslag om å oppheve kravet om REK-godkjenning var Forskningsrådet, Kunnskapsdepartementet, Direktoratet for e-helse, HelseOmsorg 21-rådet, Kreftregisteret, Helse Midt RHF, Nordlandssykehuset HF, Kreftforeningen og Legemiddelindustrien. Direktoratet for e-helse mente at REK heller på forespørsel bør kunne gi vurderinger av prosjekter som vurderes som særskilt risikofylte. Forskningsrådet viste til at personvernforordningen og sanksjonsmulighetene som ligger i disse reglene, tilsier at kravet bør bortfalle. Nasjonal kompetansetjeneste for prehospital akuttmedisin mente at forskningsetiske spørsmål må anses vurdert ved opprettelsen av registrene og ved registrenes formål. Videre vurdering og godkjenning kan etter deres vurdering konsentreres om å sikre personvern, dataintegritet og om det er en konkret sammenheng mellom forskningsspørsmålene og utleverte data.
Blant de som mente at kravet om REK-godkjenning burde videreføres var Finnmarkssykehuset HF, Norsk helsenett, Helse Vest RHF, Statistisk sentralbyrå, Regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK), Nasjonalt senter for e-helseforskning, Oslo Universitetssykehus HF, Sintef, Universitetet i Oslo, Den nasjonale forskningsetiske komité for medisin og helsefag (NEM), Bioteknologirådet, Universitetet i Bergen, Senter for klinisk dokumentasjon og evaluering (SKDE), Helse Bergen HF, Legeforeningen og HUNT. Datatilsynet uttalte seg ikke om forslaget, men ga en generell kommentar om at de støttet mindretallets vurderinger.
Flere av høringsinstansene uttalte at REK-godkjenningen ikke oppleves som et unødig tidkrevende eller byråkratiserende ledd i tilgjengeliggjøringen.
Helsedirektoratet, Folkehelseinstituttet, Norsk helsenett, NEM (et mindretall i komiteen) og HUNT mente at det fortsatt bør være krav om en ekstern, uavhengig etisk vurdering, men at denne funksjonen kan legges til den nasjonale tilgangsforvalteren.
REK-komiteene mente at forhåndsgodkjenning fra REK er et vesentlig og viktig tiltak for «sikrere» sekundærbruk av helsedata i forskning. De påpekte at ekstern forskningsetisk vurdering kan gjennomføres på en måte som ikke forsinker eller byråkratiserer. REK påpekte at forskning på helsedata kan omfatte behandling av enorme mengder med sensitiv informasjon fra så godt som alle landets innbyggere. En uavhengig etisk vurdering er av stor betydning for legitimitet, forsvarlighet og tillit, ikke minst på områder som kan eller blir oppfattet som omstridte eller kontroversielle.
Helsedirektoratet påpekte at REK er en uavhengig instans med bredt sammensatt kompetanse, og derfor har bedre forutsetninger for å gjøre etiske vurderinger enn den enkelte prosjektleder/ forsker. Direktoratet mente likevel at det ikke nødvendigvis må være REK som foretar vurderingen. Det vesentlige må være at den etiske vurderingen gjøres av andre enn forskeren selv og av et organ med forskningsetisk kompetanse, samt at vurderingene gjøres i tråd med det som nå gjøres av REK.
Norsk helsenett påpekte at kravet om forskningsetisk vurdering er å unngå dårlig forskning som er uetisk, på grunn av høy risiko for feilaktige resultater og tolkninger som i neste omgang kan påføre samfunn og enkeltindivider unødvendige kostnader og belastninger. Å oppheve kravet om REK-godkjenning innebærer å fjerne den eneste sikringen av brukerrepresentasjon og lekmannsrepresentasjon i søknads- og godkjenningsprosessen. Det ligger store kommersielle interesser i kampen om kunnskapsdomener og markedsføring.
11.4.8.3 Videreføring av REKs forskningsetiske vurdering
Departementet foreslår å videreføre kravet om REKs forskningsetiske vurdering og forhåndsgodkjenning. Departementet viser til at det er delte meninger om dette i høringen både av Helsedatautvalgets forslag og av departementets høringsnotat, og at mange, også i forskningsmiljøene, mener at kravet bør videreføres.
Departementet legger særlig vekt på at bakgrunnen for forslaget fra Helsedatautvalget var behovet for å gjøre helsedata raskere tilgjengelig ved å redusere saksbehandlingstiden. Utvalget la til grunn at REK-behandlingen av forskningssøknader som kun bruker helsedata er et byråkratiserende og tidkrevende ledd i tilgjengeliggjøringen. I høringen av utvalgets forslag var det flere som uttalte at REK-behandlingen i liten grad er årsaken til at det tar lang tid å få forskningsdata. Det er derfor usikkert om en oppheving av kravet om REK-godkjenning vil gi noen gevinst i form av raskere tilgjengeliggjøring.
I høringen av departementets lovforslag mener Kreftregisteret, Oslo Universitetssykehus HF og forskningsinstituttet Norce at kravet bør avvikles. Forskere skal ikke måtte sende søknader både til REK og til Helsedataservice, men det må være slik at man sender én søknad og forholder seg til én aktør. Oslo Universitetssykehus HF mener at forskningsetiske vurderinger for registerstudier i all hovedsak er relatert til fritak fra samtykke og ikke til omfang av data. Dersom kravet om REK-behandling ikke avvikles vil vi få en ordning der søknader om tilgjengeliggjøring likevel vil måtte behandles i to instanser.
Kreftregisteret mener at det ikke vil være behov for REKs forskningsetiske vurdering av registerstudier etter at Helsedataservice er etablert. Den vesentligste forskningsetiske vurderingen som må gjøres i registerstudier omhandler risikoen for bakveisidentifisering. Risikoen bestemmes av mengden data som tilgjengeliggjøres for hvert individ:
REK vurderer i dag antall personer som inngår i forskningsprosjektet, (altså lengden på dataene) men gjør ikke grundige vurderinger av hvilke datavariabler som skal benyttes, altså mengden av data per individ (bredden på dataene). Utfordringen er at det er nettopp denne bredden på dataene som representerer utfordringen for bakveisidentifisering i de store koblingsstudiene vi ser i dag. Denne vurderingen må altså Helsedataservice gjøre, og Helsedataservice vil her kunne måtte involvere registerforvalter for å avgjøre hvilke variabler som er nødvendig nettopp for å ivareta dataminimeringsprinsippet.
Kreftregisteret vil også presisere at det erfaringsmessig tar i overkant av 10 uker å få forhåndsgodkjenning fra REK til et nytt prosjekt, fra søknadsfrist hos REK til svar mottas. Saksbehandlingsprosessen i REK må derfor effektiviseres betraktelig dersom målet med en mer effektiv registerforvaltning skal nås i den perioden fremover hvor det fremdeles vil være nødvendig med forhåndsetisk vurdering fra REK.
Følgende høringsinstanser støtter departementets forslag om å videreføre kravet om REK-godkjenning: Sykepleierforbundet, Finnmarkssykehuset HF, Tekna, Funksjonshemmedes Fellesorganisasjon (FFO), Norges teknisk-naturvitenskapelige universitet (NTNU), Sintef, Norges Farmaceutiske Forening, Akershus Universitetssykehus HF, KS og Oslo kommune. NTNU fremhever at REK tilfører kompetanse vedrørende personvern og andre forskningsetiske problemstillinger som er med å sikre tilliten i befolkningen.
NEM- og REK-komiteene, Sintef og forskningsinstituttet Norce mener at en forskningsetisk vurdering bør kunne ivaretas av Helsedataservice, eventuelt ved at Helsedataservice konsulterer REK i spesielle tilfeller.
Departementet vil bemerke at dersom kravet om REKs forskningsetiske vurdering ved registerstudier oppheves, vil REK i stedet kunne prioritere sine ressurser inn mot de forskningssøknadene som har de største etiske utfordringene og der det er behov for særskilt vurdering av personvern. I prosjekter som kun involverer helseopplysninger fra eksisterende registre er den forskningsetiske risikoen som regel mindre enn der det forskes direkte på mennesker eller samles inn nye helseopplysninger eller humant biologisk materiale.
Det kan hevdes at de generelle kravene til personvern, taushetsplikt og forskningsetikk er tilstrekkelige for å ivareta de samme hensynene som REK-behandlingen. Det vil likevel alltid være en viss risiko knyttet til individets integritet og velferd også i ikke-intervensjonsstudier. Det kan ikke utelukkes at opplysningene misbrukes, for eksempel til å identifisere enkeltindivider eller til å stigmatisere bestemte grupper av personer med visse helseproblemer, helseatferd eller sykdommer.
Det er et mål at de samme myndighetsvurderingene ikke skal gjøres flere ganger (se punkt 11.4.3). Det vil være et visst overlapp mellom de vurderingene som REK gjør og de vurderingene som skal legges til Helsedataservice. I disse tilfellene kan det være hensiktsmessig å organisere saksbehandlingen slik at Helsedataservice videresender søknaden til REK for en forskningsetisk vurdering, slik at søkeren bare trenger å sende én søknad og bare må forholde seg til én aktør (se punkt 12.5.9.1). Departementet mener at dette vil kunne gjøre søknadsprosessen enklere for forskerne. Helsedataservice vil også kunne veilede forskerne i arbeidet med søknaden. Departementet legger til grunn at Helsedataservice og REK vil samarbeide om en smidig saksbehandling og unngå dobbeltbehandlinger. Samarbeidet mellom Helsedataservice og REK må legges opp slik at man unngår forsinkelser og sikrer kontinuiteten i prosjekter. En slik løsning vil også bidra til å sikre likebehandling mellom de som søker om tilgjengeliggjøring av helseopplysninger.
Det må også ses hen til at forskere uansett må gjøre egne forskningsetiske vurderinger. En oppheving av kravet om REKs forskningsetiske vurdering vil bety at forskningsinstitusjonenes egne vurderinger og ansvar vektlegges i større grad. Departementet viser til forskningsetikkloven som slår fast at forskere skal opptre med aktsomhet for å sikre at all forskning skjer i henhold til anerkjente forskningsetiske normer. Dette gjelder også under forberedelser til forskning.
Dette spørsmålet er løst ulikt i Sverige og Danmark. Etter svensk rett kreves det at forskningen vurderes og godkjennes etter forskningsetikkloven ved forskning som bruker visse typer personopplysninger, blant annet helseopplysninger og andre sensitive personopplysninger. Godkjenningen gjøres med et administrativ vedtak ved rene registerstudier (altså en forenklet etisk vurdering/prosess). Denne forhåndsgodkjenningen har samme funksjon som REKs forhåndsgodkjenning. I dansk rett kreves det derimot ikke godkjenning fra en av de forskningsetiske komiteene dersom forskningen kun skal baseres på allerede innsamlede helseopplysninger fra registrene.
Departementet vil altså ikke i denne omgang foreslå å oppheve kravet om REKs forskningsetiske vurdering. Dette bør heller vurderes når Helsedataservice er etablert og vi har fått erfaringer med hvordan den nye løsningen fungerer med hensyn til ivaretakelse av forskningsetiske hensyn og tidsbruk ved behandling av søknader om tilgjengeliggjøring. Det kan da vurderes om kravet om en ekstern forskningsetisk vurdering for rene registerstudier bør oppheves, alternativt om denne oppgaven bør overføres til Helsedataservice.
Departementet foreslår derimot å oppheve helseforskningsloven § 33 andre ledd, som sier at det ikke kreves REKs forhåndsgodkjenning ved forskning på opplysninger fra forskriftsregulerte helseregistre, med mindre noe annet følger av forskriften. Departementet viser til at det er fastsatt krav om REK-godkjenning i de fleste av forskriftene, slik at endringen kun vil være en lovfesting av den reelle hovedregelen. Det foreslås i punkt 11.4.5.8 å vise til dette kravet i bestemmelsen om tilgjengeliggjøring, slik at REKs forhåndsgodkjenning må innhentes før opplysningene kan tilgjengeliggjøres.
Departementet har også vurdert om kravet om REKs forskningsetiske vurdering skal gjelde ikke bare ved forskning på direkte identifiserbare opplysninger fra forskriftsregulerte helseregistre, men også dersom opplysningene er indirekte identifiserbare. Det vil innebære en endring sammenliknet med gjeldende forskriftsvilkår, der forskning på avidentifiserte opplysninger fra forskriftsregulerte helseopplysninger i utgangspunktet ikke trenger REK-godkjenning (avidentifiserte opplysninger er som regel også indirekte identifiserbare). Departementet foreslår at kravet skal gjelde generelt, og viser til forslaget om ikke å videreføre reglene om avidentifiserte opplysninger og begrunnelsen for dette forslaget (punkt 11.4.5.6 om graden av personidentifikasjon). Vi viser også til at dette er løsningen som ble valgt for Kommunalt pasient- og brukerregister, som er det nyeste av de lovbestemte helseregistrene. Det samme gjelder også etter forskriften for befolkningsbaserte helseundersøkelser.
11.4.9 Plikt til å tilgjengeliggjøre personidentifiserbare opplysninger
Departementet foreslår at det fastsettes i loven at helseopplysninger skal tilgjengeliggjøres dersom vilkårene i ny helseregisterlov § 19 a er oppfylt. Den dataansvarlige kan ikke legge vekt på andre hensyn enn de som er oppstilt i lov og forskrift. For eksempel kan den dataansvarlige ikke påberope seg at tilgjengeliggjøringen er for arbeidskrevende. Dette skal gjelde dersom det er tale om direkte eller indirekte personidentifiserbare opplysninger. Tilgjengeliggjøring av anonyme opplysninger drøftes i punkt 11.4.11.
Det samme følger i dag av flere forskriftsbestemmelser, for eksempel kreftregisterforskriften § 3-3 og Norsk pasientregisterforskriften § 3-4. I andre forskrifter står det at den dataansvarlige kan tilgjengeliggjøre opplysningene dersom vilkårene er oppfylt, for eksempel forskrift om kommunalt pasient- og brukerregister § 4-3. Disse forskriftene regulerer ikke uttømmende hva det kan legges vekt på. Dersom vilkårene for tilgjengeliggjøring og sammenstillinger er oppfylt, er det opp til den dataansvarliges frie skjønn å vurdere hvorvidt og under hvilke vilkår opplysningene det søkes om skal tilgjengeliggjøres («kan-skjønn»). Det er ikke uttømmende angitt hva det da kan legges vekt på. Dette betyr at den dataansvarlige i utgangspunktet kan legge vekt på andre hensyn enn de som fremgår av lover og forskrifter.
Forslaget betyr at ikke bare de store lovbestemte registrene slik som Norsk pasientregister og Kreftregisteret, men også andre registre som for eksempel mindre medisinske kvalitetsregistre som driftes av helseforetak, vil ha plikt til å dele opplysningene dersom vilkårene for tilgjengeliggjøring er oppfylt.
Forskjellen mellom disse reguleringsformene er nok likevel ikke så stor i praksis. De dataansvarlige for de forskriftsregulerte registrene gir i praksis ut opplysninger det søkes om dersom vilkårene for dette er oppfylt. Helsedirektoratet uttaler at deres erfaring er at registerforvalterne utgir opplysninger til sekundærbruk etter søknad, selv om ikke alle registerforskriftene oppstiller en slik plikt per i dag.
Departementet viser til at opplysningene i helseregistrene er et offentlig gode som forvaltes av de dataansvarlige. De må derfor bidra til at opplysningene nyttiggjøres og at så mange som mulig med legitimt behov får bruke dem. De registrerte må på sin side kunne forvente at opplysninger om dem som samles inn, også blir brukt i samsvar med formålet med innsamlingen. Helse Midt-Norge RHF og St Olavs Hospital HF viser til Riksrevisjonens undersøkelse av helseregistre som virkemiddel for å nå helsepolitiske mål (2018) der det fremgår at mange helseregistre har data som er lite brukt. En lovendring som presiserer plikten til å tilgjengeliggjøre opplysningene er derfor ifølge disse høringsinstansene positivt for registerfeltet som helhet.
Det kan hevdes at det er mer rimelig å pålegge tilgjengeliggjøring for de store registrene som driftes av store virksomheter som for eksempel Folkehelseinstituttet og Helsedirektoratet, enn det er for små registre som driftes av mindre helseforetak eller forskningsinstitusjoner. Helsedirektoratet mener at det er viktig at regelverket opprettholder en fleksibilitet som gjør det mulig å sørge for at tilgjengeliggjøringen kan oppfylle de grunnleggende kravene til dataminimering mv.
Departementet viser her til at de foreslåtte bestemmelsene vil gi den dataansvarlige tilstrekkelig fleksibilitet til å sørge for at tilgjengeliggjøringen er rimelig og forsvarlig både overfor de registrerte og den dataansvarlige. Vilkårene for tilgjengeliggjøring er generelle og skjønnsmessige. Det er adgang til å pålegge særlige tiltak, og den dataansvarlige kan velge den tekniske måten opplysningene skal tilgjengeliggjøres på. I tillegg kan den dataansvarlige ta betalt for de faktiske utgiftene ved saksbehandlingen, inkludert utgifter knyttet til uttrekk, tilrettelegging, sammenstilling og selve tilgjengeliggjøringen (se punkt 11.4.14). Den dataansvarlige må uansett overholde alminnelige forvaltningsrettslige prinsipper som forbudet mot usaklig forskjellsbehandling, forbudet mot å ta utenforliggende hensyn og kravet til forsvarlig saksbehandling.
11.4.10 Sammenstilling
Departementet foreslår å endre helseregisterloven § 19 om sammenstilling av opplysninger i helseregistre som er regulert i forskrift etter helseregisterloven, samt demografiske og sosioøkonomiske personopplysninger i Folkeregisteret og andre offentlige registre. Det foreslås at bestemmelsen skal gi direkte hjemmel til sammenstilling. Den nye lovbestemmelsen skal gi adgang til sammenstilling dersom det sammenstilte datasettet skal tilgjengeliggjøres anonymt etter ny § 19 eller dersom personidentifiserbare helseopplysninger skal tilgjengeliggjøres etter ny § 19 a.
I punkt 2.6 forklares sammenstilling som det at opplysninger i et register kobles mot andre opplysninger for å tilføre nye opplysninger til registeret, kvalitetskontrollere eksisterende opplysninger eller legge til rette for tilgjengeliggjøring av et datasett med opplysninger fra flere registre til konkrete formål, for eksempel til en forsker. Resultatet av sammenstillingen innebærer nye opplysninger om den registrerte, som kan være noe mer eller noe annet enn summen av de enkelte opplysningene.
For at et register skal kunne nyttiggjøres på en fornuftig måte, men samtidig ha et begrenset innhold av opplysninger, er det avgjørende at det kan sammenstilles med andre opplysninger. Betydningen av sammenstilling omtales i personvernforordningen, fortalen punkt 157 der det står at ved «å koble sammen opplysninger fra forskjellige registre kan forskere oppnå ny og svært verdifull kunnskap om utbredte sykdomstilstander som hjerte- og karsykdommer, kreft og depresjon».
Forslaget til en ny lovbestemmelse om sammenstilling vil legge til rette for at Helsedataservice vil kunne utvikle en tjeneste med kohortutforskning (se punkt 12.5.9.6).
11.4.10.1 Gjeldende rett
Sammenstilling er en form for behandling av personopplysninger som krever rettslig grunnlag etter personvernforordningen artikkel 6 og 9. Gjeldende helseregisterlov § 19 og registerforskriftene gir supplerende rettsgrunnlag for å sammenstille helseopplysninger i helseregistre.
Gjeldende helseregisterlov § 19 gir hjemmel til å fastsette forskrifter om sammenstilling av opplysninger fra forskriftsregulerte registre, dersom opplysningene er innmeldt etter lovens § 13. Det kan også fastsettes at opplysningene i disse registrene skal kunne sammenstilles med opplysninger i Folkeregisteret eller andre registre. Det følger videre av bestemmelsen at den dataansvarlige kan tilgjengeliggjøre helseopplysninger for sammenstillingen. Med mindre annet følger av lov eller i medhold av lov, skal resultatet av sammenstillingen ikke inneholde navn, fødselsnummer eller andre direkte personentydige kjennetegn. Sammenstillingen skal gjøres av den dataansvarlige for et av registrene eller en virksomhet departementet bestemmer.
Registerforskriftene har ulike regler om adgangen til å sammenstille opplysninger og til å tilgjengeliggjøre sammenstilte datasett. Gjennomgående er dette regulert ved at det slås fast at opplysningene i registeret kan sammenstilles med opplistede registre. For eksempel står det i Kommunalt pasient- og brukerregisterforskriften § 4-2 og forskrift om medisinske kvalitetsregistre § 4-2 at opplysninger i registeret kan sammenstilles med opplysninger i helseregistre som er etablert med hjemmel i helseregisterloven § 8 til § 11, Folkeregisteret og sosioøkonomiske opplysninger i andre offentlige registre.
Noen registre har også særlige regler om lagringsbegrensning av sammenstilte datasett. For eksempel står det i hjerte- og karregisterforskriften § 3-2 at sammenstilte helseopplysninger ikke kan lagres før fødselsnummer er slettet eller kryptert. Og videre at direkte personidentifiserende opplysninger som mottas for behandling, skal slettes så snart sammenstillingen er tilfredsstillende gjennomført.
11.4.10.2 Ny lovbestemmelse om vilkårene for sammenstilling
Departementet mener at det er behov for enklere regler om sammenstilling enn det som i dag følger av helseregisterloven og registerforskriftene. Departementet foreslår derfor en ny bestemmelse om sammenstilling i helseregisterloven § 19 c som skal erstatte gjeldende § 19. Lovbestemmelsen skal gi direkte hjemmel og supplerende rettsgrunnlag for sammenstillingen, slik at det ikke blir nødvendig å forskriftsregulere dette. Lovendringen vil først og fremst innebære at hjemmelen for å sammenstille flyttes fra forskrift til lov.
Departementet foreslår at adgangen til å sammenstille knyttes opp mot adgangen til å tilgjengeliggjøre dataene. Vilkårene for tilgjengeliggjøring vil da i utgangspunktet være de samme for sammenstilte datasett som for opplysninger fra bare ett register. Men fordi det ved sammenstillinger kan være flere opplysninger knyttet til den enkelte registrerte, vil vilkårene knyttet til graden av personidentifiserbarhet og hensynet til den registrertes integritet bety at det skal mer til før vilkårene er oppfylt, jf. særlig prinsippet om dataminimering.
11.4.10.3 Begrensninger i adgangen til å sammenstille
Departementet foreslår at bestemmelsen på samme måte som i dag skal avgrenses til forskriftsregulerte registre. Dette vil etter gjeldede forskrifter omfatte Kommunalt pasient- og brukerregister, Norsk pasientregister, Kreftregisteret og de andre lovbestemte registrene. I tillegg vil bestemmelsen omfatte befolkningsbaserte helseregistre og medisinske kvalitetsregistre. Videre bør det åpnes for sammenstillinger med demografiske og sosioøkonomiske personopplysninger i Folkeregisteret og andre offentlige registre.
Datatilsynet og Helsedirektoratet er kritiske til forslaget i høringsnotatet, med henvisning til at den foreslåtte lovbestemmelsen ville bety en betydelig utvidelse av adgangen til å sammenstille.
Departementet presiserer at den nye bestemmelsen ikke vil være en betydelig utvidelse, og har justert lovteksten slik at viktige avgrensninger kommer tydeligere frem enn i høringsforslaget.
For det første skal bestemmelsen bare gi hjemmel til å sammenstille opplysninger fra registre som er forskriftsregulerte. Dette tilsvarer dagens forskriftshjemmel. Endringen innebærer at det ikke vil være nødvendig med en egen forskrift om dette. Departementet viser til at det for Kommunalt pasient- og brukerregister og andre nye forskriftsregulerte registre er åpnet for sammenstillinger mellom alle forskriftsregulerte registre. De eldre registerforskriftene er ikke blitt endret i takt med at nye forskriftsregulerte registre er kommet til. Det er dermed riktig at i enkelte tilfeller innebærer dette en viss utvidelse. Denne utvidelsen kan imidlertid ikke karakteriseres som betydelig.
For det andre vil det være begrenset hvilke formål opplysninger skal kunne sammenstilles for. Mottakerens formål må være innenfor de aktuelle registrenes og helseregisterlovens formål. Som i dag vil det derfor ikke være adgang for eksempel for journalister til å få utarbeidet statistikk basert på opplysninger fra flere registre. Dette er den løsningen som også er valgt i finsk rett. Den finske loven gir tilstrekkelig grunnlag for å gjøre sammenstillinger for å kunne utlevere anonyme opplysninger, men det ble ansett nødvendig å begrense adgangen til å behandle opplysningene til de formålene som loven skal ivareta (lov om sekundærbruk av helseopplysninger § 14, § 44 og § 45, jf. RP 159/2017 rd side 112–113 og side 145, se punkt 6.2). Personvernforordningen artikkel 54 nr. 1 bokstav b sier for øvrig at opplysningene ikke skal viderebehandles på en måte som er uforenlig med det opprinnelige formålet de var samlet inn for. Departementet viser her til at viderebehandling for forskning eller statistiske formål ikke anses som uforenlig med de opprinnelige formålene. Se også punkt 12.5.9.6 om kohortutforskning.
For det tredje kan det ikke sammenstilles flere opplysninger enn det som er nødvendig for det aktuelle formålet med sammenstillingen. Dette følger av dataminimeringsprinsippet i forordningen artikkel 5 og foreslås presisert i lovteksten.
For det fjerde vil adgangen til å sammenstille som et ledd i tilretteleggingen for å tilgjengeliggjøre direkte eller indirekte personidentifiserende datasett, følge av vilkårene for tilgjengeliggjøring etter lovforslaget § 19 a (se punkt 11.4.5). Dette betyr blant annet at resultatet av behandlingen ikke skal inneholde større grad av personidentifikasjon enn det som er nødvendig for formålet.
For det femte skal adgangen til å sammenstille samtykkebaserte registre, slik som befolkningsbaserte helseregistre og medisinske kvalitetsregistre, på samme måte som i dag være betinget av at de registrerte har samtykket til sammenstillingen. Dersom den registrerte har benyttet seg av en eventuell rett til å reservere seg mot at opplysningene tilgjengeliggjøres eller brukes til forskning, skal det heller ikke være adgang til å sammenstille opplysningene. Det samme vil gjelde opplysninger i medisinske kvalitetsregistre som behandles med hjemmel i forskrift, enten de er basert på samtykke eller reservasjonsrett. Dette følger av henvisningen til § 19 a om vilkårene for tilgjengeliggjøring. Departementet foreslår at det også presiseres i lovbestemmelsen at sammenstillingen må være i samsvar med eventuelle samtykker eller reservasjoner. Forslaget innebærer således ingen endring i adgangen til å sammenstille med samtykke- eller reservasjonsrettsbaserte registre.
Departementet foreslår også å ikke videreføre kravet i reseptregisterforskriften om at sammenstillinger med opplysninger i registeret må utføres slik at enkeltpersoner ikke skal kunne gjenkjennes ved hjelp av de sammenstilte opplysningene. Dette kan innebære en utvidelse av adgangen til å sammenstille opplysninger om legemidler med opplysninger fra andre registre. Se nærmere i punkt 13.4.3.
Departementet mener at det er behov for en særlig regel om pseudonyme registre eller andre registre etablert med hjemmel i helseregisterloven § 9 første ledd bokstav b. Dette sikter i praksis bare til det historiske IPLOS, jf. forslaget i kapittel 12 om å erstatte det pseudonyme Reseptregisteret med et personidentifiserbart legemiddelregister. Slike registre skal fortsatt bare kunne sammenstilles dersom det skjer uten at den dataansvarlige har tilgang til navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn. Dette er i dag presisert i forskriften om kommunalt pasient- og brukerregister § 4-2.
Departementet foreslår at gjeldende begrensning til opplysninger innsamlet i samsvar med meldeplikten i § 13 ikke videreføres. Dette vil bety at eventuelle opplysninger som er rapportert inn for eksempel til kvalitetsregistre uten at det er meldeplikt vil kunne sammenstilles med andre opplysninger med grunnlag i den nye bestemmelsen. Etter gjeldende forskrift om medisinske kvalitetsregistre er det kun meldeplikt til kvalitetsregistre med nasjonal status.
11.4.10.4 Gjennomføring av sammenstillingen
Gjeldende krav om at sammenstillingen skal gjøres av den dataansvarlige for et av registrene eller en virksomhet departementet bestemmer videreføres i den nye bestemmelsen. Dette betyr at det fortsatt vil være mulig med såkalt distribuert kobling (dvs. der selve sammenstillingen gjennomføres av forskeren på bakgrunn av løpenumre, se punkt 13.4.2.1). Dersom oppgaven med å tilgjengeliggjøre statistikk og personidentifiserende opplysninger legges til helseanalyseplattformen vil Helsedataservice få adgang til å sammenstille data mellom registre som er lagt inn i løsningen. Departementet kan eventuelt beslutte at sammenstillingen i slike tilfeller skal gjøres av Helsedataservice. Dette vil kunne fastsettes i forskrift hjemlet i den foreslåtte nye bestemmelsen helseregisterloven § 20. Sammenstillingen og tilgjengeliggjøringen vil da kunne skje i et teknisk sikkert rom på plattformen (se punkt 12.5.2.3 og 12.5.9.5).
11.4.10.5 Sammenstilling etter samtykke eller andre grunnlag
Departementet foreslår at adgangen til å sammenstille ikke skal reguleres uttømmende i loven. Det vil også kunne være behov for andre sammenstillinger enn de som har hjemmel i loven. Også registre som ikke er forskriftsregulerte vil kunne sammenstilles, men sammenstillingen må da ha en annen hjemmel. Andre aktuelle helseregistre vil i all hovedsak ha behandlingsgrunnlag i samtykke. Sammenstilling vil da kunne skje så langt de registrertes samtykke rekker. Alternativt vil det kunne bli aktuelt å sammenstille med opplysninger som tilgjengeliggjøres med grunnlag i unntak eller dispensasjon fra taushetsplikten.
11.4.10.6 Sletting av sammenstilte datasett
Det er etter departementets vurdering ikke behov for særlige bestemmelser om sletting av sammenstilte datasett. Flere registerforskrifter har i dag krav om at sammenstilte personidentifiserende opplysninger skal slettes når statistikken/forskningen er utført. Grunnen til dette kravet er å unngå at det akkumuleres og lagres store datasett med omfattende opplysninger om hver registrert.
Departementet mener at dette kravet ikke bør lovfestes. Et krav om sletting kan være et hinder for etterprøvbarheten av forskning og analyseresultater. Det kan også være i veien for kvalitetssikring eller gjenbruk av sammenstillinger.
Når et datasett fra flere kilder er sammenstilt og analysert, har det fått høyere kvalitet enn før sammenstillingen. Feilregistreringer kan ha blitt oppdaget, dobbeltregistreringer luket ut osv. Når et datasett må slettes og søkes om på nytt for å besvare liknende problemstillinger, kan kvalitetsarbeidet reduseres. Et datasett kan få høyere kvalitet jo mer forskere arbeider med det for ulike problemstillinger, og det kan utvides med nye data (nye individer eller mer data fra inkluderte individer ved behov). Dette viser viktigheten av å kunne bruke dagens sikre tekniske løsninger til å kunne gjenbruke datasett eller detaljerte skript (beskrivelser av datasett) og å kunne fylle på med nye data til eksisterende sammenstillinger.
Det samme gjelder hvis man for eksempel skal lage en tjeneste for helseledere (som benchmarking på antibiotikautskrivninger), da er det gjerne en statistikk som Folkehelseinstituttet står ansvarlig for å lage. Denne bør kunne lages på fast basis på helseanalyseplattformen. Det vil da være nødvendig å ha en fast kobling.
Departementet viser her til Forskningsrådet som
mener at teknisk løsning på HAP [helseanalyseplattformen], både i lukkede prosjektrom og i kopidatabasen, vil kunne gjøre et slikt krav unødvendig, og at det er en viktig funksjon med HAP å kunne ta vare på sammenstilte data eller nøyaktige skript/syntakser som beskriver sammenstillingene også på enkeltprosjektnivå. Dette er vesentlig for kvalitet på forskning og ny kunnskap, men også for videre bruk av data og helsehjelp. Samtidig skal man ikke ta vare på sammenstillinger av persondata unødvendig dersom andre løsninger med skript/syntakser gjør samme nytten. Dette av hensyn til personvern og lagringskapasitet.
Departementet viser også til at kravet er strengere enn det som følger av personvernforordningen artikkel 17, som i stedet krever at personopplysninger skal slettes når de ikke lenger er nødvendige for formålet. Dette kravet i forordningen må vurderes konkret av registerforvalteren (eventuelt Helsedataservice) når opplysninger utleveres for sammenstilling.
11.4.10.7 Kvalitetskontroll av opplysningene
Departementet foreslår at det tas inn i helseregisterloven § 19 b at den dataansvarlige, som ledd i kvalitetskontrollen av helseopplysningene i registeret, skal kunne gjennomføre rutinemessige sammenstillinger med tilsvarende opplysninger i lovbestemte helseregistre, Helsearkivregisteret og Folkeregisteret. Dette henger sammen med at den dataansvarlige har plikt til å sørge for at opplysningene som innsamles og behandles er korrekte, relevante og nødvendige for de formålene de innsamles for.
Registerforskriftene har derfor bestemmelser som gir rett til sammenstilling for å kvalitetskontrollere opplysningene, jf. for eksempel forskriften om kommunalt pasient- og brukerregister § 3-3 og dødsårsaksregisterforskriften § 2-6. Disse bestemmelsene er fastsatt med hjemmel i gjeldende helseregisterlov § 19 første ledd. Siden departementet foreslår å oppheve denne forskriftshjemmelen må dette fastsettes direkte i loven.
Det kan her vises til Universitetet i Bergen som uttaler seg positivt om forslaget:
Vektleggingen av sammenstilling for kvalitetssikring av data er svært positiv. Dette et gode både for de registrerte, for registerforvalterne og ikke minst for forskningen.
Departementet mener at det som et ledd i kvalitetskontrollen av enkelte registre også bør være mulig å gjennomføre sammenstillinger med opplysninger i originalkilden (pasientjournal mv.). Dette ble tatt opp av Helse Midt Norge RHF og St Olavs Hospital HF som uttaler at tilgang til journaldata kan være en forutsetning for å kunne gjennomføre regelmessig validering av datakvalitet i medisinske kvalitetsregistre.
Departementet viser til at det er adgang til dette etter forskriften om medisinske kvalitetsregistre. Det følger av § 4-8 at dataansvarlig som ledd i kvalitetskontrollen kan sammenstille med opplysninger i originalkilden (pasientjournal mv.). Dette skal ifølge forskriften skje hos virksomheten som har meldt inn opplysningene, gjennom elektronisk tilgang eller på annen måte. Opplysninger som gjøres tilgjengelige skal være tilstrekkelige og relevante for den kvalitetskontrollen som skal gjennomføres. Departementet foreslår derfor en hjemmel til å gi forskrifter om sammenstillinger med opplysninger i originalkilden (pasientjournaler mv.) som ledd i kvalitetskontrollen.
11.4.11 Statistikk og andre anonyme opplysninger
Departementet foreslår at det tas inn i loven en egen bestemmelse om statistikk og andre anonyme opplysninger, se forslaget til helseregisterloven § 19. Det presiserer i lovforslaget at utarbeidet statistikk skal være anonym.
Opplysninger om helseforhold skal som hovedregel tilgjengeliggjøres anonymt. Dette følger av at graden av personidentifikasjon ikke skal være større enn nødvendig (jf. helseregisterloven § 6). Anonyme opplysninger kan ikke knyttes til enkeltpersoner og regnes derfor ikke som personopplysninger. Behandling av slike opplysninger reguleres derfor heller ikke av helseregisterloven eller personvernforordningen, og kan utleveres fritt. Selve sammenstillingen for å få frem statistikken trenger imidlertid rettslig grunnlag (se punkt 11.4.10).
Departementet mener at det bør tas inn en bestemmelse i helseregisterloven om utarbeidelse og tilgjengeliggjøring av statistikk. En slik bestemmelse vil ha flere formål. For det første kan det være behov for å pålegge noen dataansvarlige en plikt til å utarbeide statistikk. For det andre skal tilgjengeliggjøring av statistikk og andre anonyme opplysninger i loven knyttes til en korresponderende adgang til sammenstilling av opplysninger mellom registrene.
11.4.11.1 Plikt til å utarbeide og offentliggjøre statistikk
Departementet foreslår å lovfeste at dataansvarlige for de lovbestemte helseregistrene, dvs. Norsk pasientregister, Kommunalt pasient- og brukerregister, Kreftregisteret osv., skal utarbeide og løpende offentliggjøre relevant statistikk basert på opplysninger i registeret. Dette er en videreføring av det som følger av gjeldende forskrifter. Departementet foreslår samtidig at plikten formuleres generelt og fleksibelt, slik at det blir opp til den dataansvarlige å vurdere hva slags og hvor ofte statistikker skal utarbeides og offentliggjøres.
Når det gjelder andre registre enn de lovbestemte, så er det en stor variasjon mellom registrenes karakter og de dataansvarlige for registrene. Det kan for eksempel være tale om et lite kvalitetsregister i et helseforetak der ressursene til å drifte registeret er begrenset. Departementet mener derfor at det ikke kan fastsettes en generell plikt om at alle dataansvarlige skal lage og offentliggjøre statistikker. Det bør imidlertid kunne fastsettes i forskrift at også andre dataansvarlige skal utarbeide statistikk, slik det er gjort for eksempel for befolkningsbaserte helseundersøkelser.
Det presiseres i lovteksten at disse registrene uansett har adgang til å utarbeide og offentligjøre relevant statistikk.
11.4.11.2 Plikt til å utarbeide og tilgjengeliggjøre statistikk etter søknad
Utarbeidelse av statistikk kan være arbeidskrevende og kan binde opp ressurser hos registerforvalteren. Dette kan tale for at den dataansvarlige bør ha mulighet til å la være å utarbeide statistikker hvis det blir for arbeidskrevende. Folkehelseinstituttet er enig i at utarbeidelse av statistikk kan være særdeles ressurskrevende, og mener derfor at utarbeidelse av statistikk på bakgrunn av søknad ikke bør være en plikt. Det vil uansett være adgang til å utarbeide og utlevere statistikk.
Departementet foreslår likevel at den dataansvarlige skal ha plikt til å utarbeide og utlevere statistikk etter søknad. Det kan her vises til Oslo kommune som i høringen påpeker at dette vil gi
rom for å avgrense den statistikken som publiseres til et minimum, og ikke engang årlig, samtidig som registrene avviser søknader om statistikk av ressurshensyn. Dette medfører at kommunene ikke får tilgang til nødvendig statistikk – for eksempel om vaksinasjonsdata slik beskrevet ovenfor.
En plikt gir best sammenheng med øvrige regler om tilgjengeliggjøring. Det vises her til at opplysninger om helseforhold som hovedregel skal tilgjengeliggjøres anonymt. Kun dersom det er nødvendig ut fra formålet og øvrige vilkår i § 19 a er oppfylt, skal den dataansvarlige ha plikt til å tilgjengeliggjøre personidentifiserbare opplysninger.
Innenfor disse rammene skal det være adgang til å etablere eksplorative analysetjenester (kohortutforskning) på helseanalyseplattformen, se nærmere i punkt 12.5.9.6.
11.4.11.3 Innsyn etter offentlighetsloven
Offentlighetslovens rett til innsyn gjelder også helseregistre. De særlige innsynsreglene i helseregisterlovgivningen begrenser ikke retten til innsyn etter offentlighetsloven. Departementet foreslo i høringen at innsynsretten til anonyme opplysninger skulle reguleres uttømmende i helseregisterloven, slik at det ikke skulle kunne søkes om innsyn etter offentlighetsloven.
Folkehelseinstituttet er positive til forslaget
fordi det vil fjerne tvil om at Helseregisterloven uttømmende regulerer krav til tilgjengeliggjøring av statistiske data, også i de tilfeller der det kommer begjæring om innsyn i statistiske opplysninger. Dette medfører at offentleglova § 9 om innsyn i en sammenstilling fra databaser ikke er rette hjemmelsgrunnlag.
Norsk journalistlag og Norsk Presseforbund reagerer imidlertid sterkt på forslaget og viser til at vi trenger lovregler som tvinger forvaltningen inn på et minimumsnivå av hva samfunnet kan forvente av åpenhet. De mener at endringen som ble foreslått ville være et vesentlig inngrep i offentlighetsprinsippet og retten til informasjon, som både har vern etter Grunnloven § 100 og Den europeiske menneskerettskonvensjon artikkel 10. Å gå fra å ha rettigheter etter offentlighetsloven, til å gjøre dette til en frivillig ordning for den dataansvarlige, er en stor endring som vil få konsekvenser for samfunnet som går glipp av viktig informasjon.
Departementet er enig i at det også er behov for en rett til innsyn etter offentlighetsloven, og går ikke videre med dette forslaget.
11.4.12 Saksbehandlingsfrister
Departementet foreslår å lovfeste forskriftenes bestemmelser om frister for behandling av søknader om tilgjengeliggjøring. Departementet foreslår samme frister som i blant annet forskriften om kommunalt pasient- og brukerregister § 4-6. Det fremgår av denne at den dataansvarlige skal tilgjengeliggjøre helseopplysninger innen 30 virkedager. Dersom tilgjengeliggjøringen krever sammenstilling med opplysninger fra andre registre, er fristen 60 virkedager. Dersom særlige forhold gjør det umulig å holde fristen, kan tilgjengeliggjøringen utsettes. Den dataansvarlige skal i så fall gi et foreløpig svar med informasjon om grunnen til forsinkelsen og sannsynlig tidspunkt for når tilgjengeliggjøringen vil skje.
Departementet foreslår at saksbehandlingsfristene skal gjelde for alle helseregistre, og ikke bare for de forskriftsregulerte som i dag. Det vises i denne sammenheng til forslaget i punkt 11.4.9 og 11.4.11 om at alle helseregistre skal ha plikt til å tilgjengeliggjøre data.
Forskningsrådet mener at en frist på 60 virkedager for sammenstilte data er for lenge for data som ligger innenfor Helsedataservice sin myndighet og på helseanalyseplattformen. Dette bør ifølge Forskningsrådet kun gjelde i særlige tilfeller for data utenfor Helsedataservice sin myndighet. Forskningsinstituttenes Fellesarena (FFA) og forskningsinstituttet Norce bemerker i høringen at det bør være et mål om kortere saksbehandlingstid for helsedata som er lett tilgjengelige registerdata.
Departementet viser til at lovbestemmelsen skal gjelde alle dataansvarlige og alle slags helseregistre. Når det gjelder Helsedataservice og helseanalyseplattformen er kortere saksbehandlingstid et av formålene med løsningen (se punkt 12.1). Det er ikke behov for å lovfeste at opplysningene skal tilgjengeliggjøres så raskt som mulig.
Departementet bemerker at fristen begynner å løpe først fra fullstendig søknad er mottatt, dvs. fra den dataansvarlige har fått all dokumentasjon fra søkeren slik at søknaden kan ferdigbehandles. En av svakhetene ved dagens løsning for utlevering av data til sekundærbruk er primært knyttet til den tiden som går fra den dataansvarlige mottar søknaden første gang, og dialogen og justeringen av søknaden i mer kompliserte saker (se punkt 5.1.3). Saksbehandlingsfristene er dermed ikke nødvendigvis brutt i disse tilfellene.
Departementet foreslår at fristen skal kunne utsettes dersom det av særlige grunner er uforholdsmessig vanskelig å overholde fristen. En bestemmelse som utsetter fristen bare når det er umulig, har liten betydning i praksis.
11.4.13 Oversikt over tilgjengeliggjøring
Departementet foreslår å lovfeste forskriftenes bestemmelser om plikt til å føre oversikt over tilgjengeliggjøring av helseopplysninger fra registeret, jf. forslaget til ny helseregisterlov § 19 h. Forslaget er en videreføring av gjeldende rett. En slik plikt er forskriftsfestet blant annet i forskriften om kommunalt pasient- og brukerregister § 4-8.
Oversikten skal vise hvem som har fått opplysningene og hva som er rettslig grunnlag for tilgjengeliggjøringen. Plikten skal gjelde alle dataansvarlige som tilgjengeliggjør opplysninger fra helseregistre, inkludert Helsedataservice.
Oversikten skal oppbevares i minst ti år etter tilgjengeliggjøringen. Denne oversikten skal være tilgjengelig for de registrerte, for eksempel gjennom den elektroniske tjenesten på Helsenorge.no.
Plikten til å føre oversikt bør gjelde registerforvaltere så vel som Helsedataservice.
11.4.14 Betaling for tilgjengeliggjøring
Departementet foreslår å lovfeste forskriftenes bestemmelser om at den dataansvarlige kan kreve betaling for tilrettelegging av statistikk, tilgjengeliggjøring og annen behandling av helseopplysninger. Rett til å kreve betaling er forskriftsfestet blant annet i forskriften om kommunalt pasient- og brukerregister § 4-7 og forskrift om medisinske kvalitetsregistre § 4-7.
Den dataansvarliges samlede inntekter fra betalingene skal ikke kunne overstige de faktiske utgiftene knyttet til tilgjengeliggjøring av opplysninger fra registeret, inkludert utgifter knyttet til saksbehandling, uttrekk, tilrettelegging, sammenstilling, utarbeiding av statistikk og selve tilgjengeliggjøringen.
Etter gjeldende regler kan betalingen ikke overstige de faktiske utgiftene ved saksbehandlingen av den konkrete søknaden. St Olavs Hospital HF mener at betalingen også bør fastsettes ut fra eventuelle økonomiske og administrative konsekvenser som sammenstilling vil medføre for registrene, som for eksempel kostnader ved å hente ut opplysninger fra SSB, for å unngå at det oppstår økonomiske barrierer som gjør det vanskelig å tilgjengeliggjøre data.
Departementet mener at det bør kunne skilles mellom utgifter knyttet direkte til behandlingen av den enkelte søknaden og den dataansvarliges samlede utgifter knyttet til all tilgjengeliggjøring. Den dataansvarlige bør ha mulighet til å ta betalt for arbeidet med kvalitetssikring og tilrettelegging av data som ikke direkte er knyttet til behandlingen av enkeltsøknader, men som er nødvendig for å kunne gjøre data tilgjengelig for statistikk, forskning og analyse. Det bør derfor være mulig å fastsette mer standardiserte satser som inkluderer kostnader til denne typen kvalitetssikring og tilrettelegging av data i registrene. Mer standardiserte satser vil kunne gi større forutsigbarhet for søkerne, gi registrene et noe større handlingsrom og gi bedre kvalitet på data i registrene.
Statens arbeidsmiljøinstitutt (STAMI) og Oslo universitetssykehus HF mener at prisforskjeller mellom registrene bør unngås og at reguleringen av nivået bør skje sentralt. Departementet finner det ikke hensiktsmessig å regulere dette sentralt fordi dataene det søkes om og de tekniske og organisatoriske løsningene i de ulike registrene varierer. Den dataansvarlige må kunne få dekket sine faktiske utgifter, men heller ikke mer.
Universitetet i Oslo, Forskningsinsitutttenes Fellesarena (FFA), Forskningsrådet, Oslo universitetssykehus HF, Legeforeningen mfl. mener at betalingen bør differensieres mellom private og offentlige brukere av helsedata fra helseregistrene. Departementet mener at private aktører bør få tilgang til helseopplysninger fra registrene på samme vilkår som offentlige aktører (se punkt 12.5.9.4 om mottakerne av opplysninger fra helseanalyseplattformen).
Departementet foreslår i tillegg en lovhjemmel til å gi forskrifter om betaling til Helsedataservice fra mottakere av data fra helseanalyseplattformen, som også skal dekke inn generelle kostnader ved drift og utvikling av plattformen (se punkt 12.5.12).
12 Nasjonal løsning for tilgjengeliggjøring (helseanalyseplattformen og Helsedataservice)
Departementet foreslår at det etableres en nasjonal forvaltningsfunksjon med en teknisk løsning som skal tilgjengeliggjøre helsedata til sekundærbruk. Løsningen skal gi enklere, raskere og sikrere analyse og deling av helsedata. Helseanalyseplattformen vil gi mulighet for mer avanserte analyser av norske helsedata og legge grunnlaget for nye typer medisinsk og helsefaglig forskning.
Funksjonen med å forvalte helseanalyseplattformen og gi tilgang til helsedata foreslås lagt til et statlig forvaltningsorgan underlagt Helse- og omsorgsdepartementet. Denne funksjonen er i denne proposisjonen kalt «Helsedataservice». Helsedataservice skal være det primære kontaktpunktet for sekundærbruk av helsedata.
Helsedataservice skal motta kopier av helseopplysninger og andre personopplysninger fra registre.
Departementet foreslår en ny bestemmelse i helseregisterloven § 20 som vil gi hjemmel til å fastsette forskrifter om etablering av løsningen. Bestemmelsen vil gi lovgrunnlag og de ytre rammene for utviklingen av helseanalyseplattformen, inkludert mulighetene i løsningen og hvilke registre som kan inngå i løsningen. Bestemmelsen skal gi hjemmel til å inkludere opplysninger i helseregistre som reguleres av helseregisterloven, men ikke pasientjournaler og andre behandlingsrettede helseregistre. Demografiske og sosioøkonomiske personopplysninger i Folkeregisteret og andre offentlige registre skal også kunne inngå i løsningen. Forskriften vil også regulere nærmere utformingen og krav til løsningen.
Det legges opp til en skrittvis utvidelse med flere registre og analyseverktøy etter hvert som helseanalyseplattformen utvikles. Personvernkonsekvensene og behovet for risikoreduserende tiltak vil bli vurdert etter hvert som løsningen utvides med nye registre og nye tjenester, før behandlingen på plattformen tar til. Denne gradvise utviklingen av helseanalyseplattformen vil gjøre det mulig å utvikle løsninger for fremtiden der helsedata kan brukes til samfunnsnyttige formål, uten at det blir nødvendig å dele individdata.
Departementet presiserer at den nye løsningen ikke vil innebære en utvidelse av den rettslige adgangen til å registrere eller tilgjengeliggjøre helseopplysninger. Vilkårene for tilgjengeliggjøring skal være de samme som gjelder for registerforvalterne. Det skal derfor ikke kunne tilgjengeliggjøres opplysninger fra plattformen til andre formål eller andre aktører enn det som følger av gjeldende regler.
12.1 Formål
Bedre utnyttelse av helsedata kan gi store gevinster for den enkelte pasient og for norsk helsetjeneste. Formålet med å etablere helseanalyseplattformen og Helsedataservice som en nasjonal løsning er å bidra til å forenkle og effektivisere tilgang til helsedata innenfor hele bredden av helseregistrenes formål, og sørge for at helsedata er enkelt tilgjengelig for forskning og analyse.
Helseanalyseplattformen skal muliggjøre grensesprengende forskning og økt bruk av helsedata. Plattformen vil gjøre det mulig å benytte helsedata mer aktivt i utviklingsforløpet til legemidler og medisinsk teknologi. Løsningen skal legge til rette for at helsedata skal kunne benyttes til innovasjon og næringsutvikling. Dette vil både gi nye muligheter for norsk helsenæring og gjøre det mer attraktivt for internasjonale aktører å legge utviklingsaktivitet til Norge.
Like viktig er det at løsningen på flere måter kan gi bedre personvern og informasjonssikkerhet, blant annet gjennom innebygget personvern, ved at behovet for å tilgjengeliggjøre personidentifiserbare helseopplysninger reduseres og ved utvikling av digitale innbyggertjenester som skal legge til rette for økt grad av kontroll og medvirkning for de registrerte.
Realisering av løsningen er et omfattende digitaliserings- og organisasjonsutviklingsprosjekt som vil skje som en stegvis prosess. Det gjelder både utvikling av Helsedataservice som er den organisasjonen som skal forvalte tilgang til helsedata og av de tekniske løsningene som utgjør helseanalyseplattformen. Etter hvert som helseanalyseplattformen utvikles vil den gi mulighet for mer avanserte analyser av norske helsedata, og legge grunnlaget for nye typer medisinsk og helsefaglig forskning.
12.2 Forslaget i høringsnotatet
Departementet foreslo i høringsnotatet en ny bestemmelse i helseregisterloven § 20 som vil gi hjemmel til å fastsette forskrifter om etablering av helseanalyseplattformen og Helsedataservice. Bestemmelsen skulle etter forslaget gi hjemmel til å inkludere i løsningen opplysninger i helseregistre, personopplysninger i Folkeregisteret og sosioøkonomiske opplysninger i andre offentlige registre. Departementet foreslo også at Helsedataservice skal få myndighet til å gi dispensasjon fra taushetsplikten.
Departementet foreslo å legge funksjonene som tilgangsforvalter og forvalter av helseanalyseplattformen samlet til et forvaltningsorgan i styringslinjen til Helse- og omsorgsdepartementet. Departementet pekte på Folkehelseinstituttet, Helsedirektoratet og Direktoratet for e-helse som mulige forvaltningsorganer.
12.3 Høringsinstansenes syn
12.3.1 Etablering av helseanalyseplattformen og Helsedataservice
Forslaget om å etablere helseanalyseplattformen og Helsedataservice som en nasjonal løsning for tilgjengeliggjøring av helsedata får bred støtte i høringen. Følgende høringsinstanser uttaler at de støtter forslaget: Folkehelseinstituttet, Direktoratet for e-helse, Forskningsrådet, Helsedirektoratet, Universitetssykehuset Nord-Norge HF, Novartis AS, Helse Vest RHF, Helse Sør-Øst RHF, St Olavs hospital HF, Helse Bergen HF, Finnmarkssykehuset HF, Ahus HF, Oslo universitetssykehus HF, Norsk helsearkiv, Kreftforeningen, Norges teknisk-naturvitenskapelige universitet (NTNU), Statens arbeidsmiljøinstitutt (STAMI), Sintef, Universitetet i Bergen, Biobank Norge, Kreftregisteret, Senter for klinisk dokumentasjon og evaluering (SKDE), Tekna, Funksjonshemmedes Fellesorganisasjon (FFO), Norsk sykepleierforbund, Takeda AS, Legemiddelindustrien, Abelia, Norges Farmaceutiske forening, KS, Oslo kommune, Bergen kommune og eldrerådet i Drangedal kommune.
Høringsinstansene som støtter forslaget uttaler at løsningen vil gi mer effektiv tilgjengeliggjøring og styrke utnyttelsen av helsedata. Folkehelseinstituttet skriver at «plattformen har potensiale for å bli en sikker og effektiv løsning for sekundærbruk av helsedata.»
Universitetet i Bergen legger vekt på betydningen for å styrke utnyttelsen av helsedata og ivareta personvernet:
Som storbruker av data fra helseregistre, helseundersøkelser og befolkningsundersøkelser ser Universitetet i Bergen (UiB) udelt positivt på arbeidet med å utvikle Helseanalyseplattformen som en nasjonal løsning for tilgjengeliggjøring av helsedata. Arbeidet er helt nødvendig for å styrke utnyttelsen av norske helsedata gjennom forskning og utviklingsarbeid til beste for befolkningen både i Norge og i resten av verden. Den sterke vekten som legges på datasikkerhet og personvern i behandlingen av data er også et viktig framskritt i forhold til dagens situasjon.
Senter for klinisk dokumentasjon og evaluering (SKDE) uttaler:
Vi er enig med departementet at en slik løsning vil bidra til effektivisering. Særlig vil det etter vår erfaring ha betydning at Helsedataservice skal være det primære kontaktpunktet slik at brukeren i all hovedsak har ett sted å henvende seg når de søker om sekundærbruk av helsedata.
Oslo universitetssykehus HF peker på at dagens løsning med uavhengige vurderinger av datatilgang for de respektive registrene er ineffektiv og byråkratisk, og at et sentralt organ vil gjøre søknadsprosesser og behandling enklere.
Sykepleierforbundet støtter etableringen av en nasjonal løsning for å få mer effektiv tilgjengeliggjøring:
Gevinstene ved dette vil med all sannsynlighet være store, både med tanke på gjennomføring av forskningsprosjekt innenfor gitte tidsrammer og god samfunnsøkonomi. En slik løsning forventes også å gi en mer korrekt og konsistent håndtering av data og dermed bidra til bedre analysekvalitet.
Ingen høringsinstanser går uttrykkelig imot løsningen. Datatilsynet, Legeforeningen, Institutt for offentlig rett ved Universitetet i Oslo, De nasjonale forskningsetiske komiteer og Personvernombudet ved Oslo universitetssykehus er imidlertid kritiske og etterlyser mer utredning.
Datatilsynet er enig i at det er et behov for å samordne reguleringen av de sentrale helseregistrene, og støtter formålet om å finne mer effektive løsninger for behandling av data til såkalte sekundære behandlinger, som for eksempel forskning. Tilsynet mener imidlertid at løsningen har personvernkonsekvenser som bør utredes nærmere (se punkt 12.3.2).
Legeforeningen uttaler at helseanalyseplattformen har en hensiktsmessig begrunnelse og at det overordnet virker fornuftig å samle data fra de forskjellige registre for å etablere en nasjonal infrastruktur og fellesløsning for helseanalyse. Foreningen er imidlertid «ikke overbevist» om at en overordnet fellesløsning slik det er lagt opp til med helseanalyseplattformen er tilstrekkelig for å oppnå en enklere prosess med bedre utnyttelse av data. Foreningen uttaler videre:
Legeforeningen mener det er nødvendig å tilrettelegge både for forskning og innovasjon, blant annet gjennom tilgang til helsedata, men at det er behov for utredninger av flere spørsmål. Forut for etablering av Helseanalyseplattformen må faktiske virkninger av denne plattformen vurderes, blant annet ved at personer får tilgang til egne opplysninger og blir mer oppmerksomme på at slike opplysninger er overført fra helsetjenesten, økt risiko ved sammenstillingen, virkninger for forskning i sykehus mv.
Høringen avdekker at det er forskjellige syn på i hvilken grad helseanalyseplattformen skal gjøres tilgjengelig for private eller kommersielle brukere av data. Det gjelder særlig spørsmålet om det skal være lik betaling for offentlige og private brukere. Se nærmere i punkt 12.5.9.4 om mottakerne av opplysningene og punkt 12.5.12 om betaling for tilgjengeliggjøringen.
12.3.2 Personvern og informasjonssikkerhet på plattformen
Høringsinstansene fremhever betydningen av å ivareta personvern og informasjonssikkerhet i løsningen. Flere uttaler at løsningen vil gi like godt eller bedre personvern.
Forskningsrådet mener at forslaget balanserer hensynet til konfidensialitet, personvern og tilgang til data på en god måte, og peker samtidig på at personvern og datasikkerhet er avgjørende premisser for at helseanalyseplattformen skal bli vellykket og velfungerende.
Universitetet i Bergen viser til at den «sterke vekten som legges på datasikkerhet og personvern i behandlingen av data er også et viktig framskritt i forhold til dagens situasjon.» Legemiddelverket uttaler at «(p)ersonvernhensyn ivaretas best ved å begrense utveksling av registerdata i størst mulig grad, og tilgjengeliggjøring i størst mulig grad via HAP [helseanalyseplattformen] vil etter vårt syn bedre datasikkerhet og personvern.»
Helse Sør-Øst RHF mener at
forslag til endringer på en god måte legger til rette for tryggere og mer effektiv tilgang til helsedata. Ressurser tjenesten benytter på å samle inn data, vil nå på en bedre måte komme pasientene til gode. Enkel og effektiv tilgang til helsedata er særlig viktig som grunnlag for kvalitetsarbeid, oppfølging, styring, forskning og utvikling. Forslagene innebærer videre at pasientens personvern blir ivaretatt på en bedre måte.
Datatilsynet mener imidlertid at personvernhensyn som argument for å realisere helseanalyseplattformen i betydelig grad ble oversolgt i høringsnotatet som ga et lite balansert beslutningsgrunnlag. Tilsynet mener at det er uklart hvordan helseanalyseplattformen vil se ut og hva den vil inneholde på kort og lang sikt, og at det derfor må oppstilles garantier for at personvernkonsekvensene vurderes løpende etter hvert som plattformen utvikles.
Flere av høringsinstansene legger stor vekt på betydningen av god informasjon til de registrerte om hvilke opplysninger som er registrert og hvordan opplysningene blir brukt, for at de registrerte skal ha tillit til at opplysninger om dem håndteres på en god måte.
Bergen kommune anfører at
det er kritisk viktig at innbyggerne har tillit til at informasjon den enkelte gir til helsepersonell, ikke kommer på avveie eller blir gjort tilgjengelig for andre som ikke skal ha tilgang til opplysningene. Det er fortsatt potensial til å opplyse landets innbyggere bedre om hvilken informasjon om den enkelte som er lagret hvor, hva opplysningene ev. brukes til (sekundærbruk), og hvilke rettigheter innbyggerne har i så måte, for på den måten motvirke at tilliten til det offentlige kommer under økt press.
KS skriver:
Slik høringsutkastet har beskrevet hensynet til personvernet, mener KS at det er grunn til å tro at personvernet på mange områder vil kunne styrkes blant annet gjennom økt bruk av innbyggertjenester (innsyn, logg, oversikt over tilgjengeliggjøring av helsedata, samtykkehåndtering, reservasjon) og mindre distribusjon av data til brukere ved tilgang til data gjennom et sikkert og lukket analyserom.
Kreftregisteret uttaler:
Det er derfor svært positivt at det legges til rette for økt innsikt i egne helseopplysninger gjennom helsenorge.no. Befolkningen har per i dag liten kunnskap om helseregistre og hvilke opplysninger som er lagret der (ref. innbyggerundersøkelsen). Man må derfor ta høyde for at enkelte kan bli overrasket over hvilke opplysninger om dem som er registrert og kan gjøres tilgjengelig for sekundærbruk. Det er derfor ikke bare viktig med transparens om hvilke opplysninger som er registrert og hvordan de brukes, men også at det legges til rette for god kommunikasjon og veiledning for å bygge oppunder befolkningens tillit til at bruk av personopplysninger samlet inn gjennom helsetjenesten har høy nytteverdi og ivaretar de registrertes personvern.
Det er også enkelte høringsinstanser som peker på paradokset med at bedre informasjon til innbyggerne om omfanget og bruk av opplysninger som er registrert om dem, kan svekke tilliten til helsepersonell og føre til tilbakeholdenhet med å gi fra seg opplysninger i forbindelse med helsehjelp. Stavanger kommune viser til at det er en risiko for at pasienter og brukere blir mer tilbakeholdne med å gi opplysninger til helsetjenesten dersom det ikke gis god informasjon om hvordan personvernet blir ivaretatt.
Legeforeningen skriver:
Mange er ikke kjent med at omfattende informasjon innhentet i forbindelse med helsehjelp overføres fra pasientjournalen og kommuniseres videre til helseregistre. I utgangspunktet er det positivt at Helseanalyseplattformen styrker den enkeltes oversikt over egne helsedata og hvor de er registrert. Plutselig kjennskap til dette, og uten tilsvarende kjennskap til hvilken resterende råderett man har, kan gi uheldige virkninger for helsetjenesten som må vurderes. Konsekvensen kan bli økt tilbakeholdenhet med å dele data i forbindelse med helsehjelp, eller vegring mot å samtykke til undersøkelser som innebærer sensitive opplysninger.
Flere høringsinstanser peker på personvernutfordringene ved at plattformen skal motta og lagre kopier av opplysninger fra helseregistrene. Datatilsynet mener at forslaget om å etablere helseanalyseplattformen med kopier fra andre helsedatakilder endrer sikkerhetsrisikobildet betydelig uten at dette er tilstrekkelig synliggjort eller drøftet i høringsnotatet. Personvernombudet ved Oslo universitetssykehus viser til at løsningen innebærer en forhøyet risiko ved at opplysninger kopieres og lagres flere steder. Ombudet stiller spørsmål ved om det vil være i tråd med prinsippene om dataminimering og lagringsbegrensning i personvernforordningen artikkel 5.
Helse Vest RHF legger vekt på at informasjonen om samtykke og reservasjon må være oppdatert:
En forutsetning for at helseopplysninger fra medisinske kvalitetsregistre skal kunne overføres og viderebehandles på helseanalyseplattformen, er at det utvikles sentrale løsninger som gir mulighet for å trekke samtykke eller å reservere seg, og at kopiene på plattformen til enhver tid er oppdaterte og gjenspeiler samtykke eller reservasjoner.
12.3.3 Organisering og oppgaver
Høringen viser at det er bred støtte til forslaget om å legge funksjonene som tilgangsforvalter og forvalter av helseanalyseplattformen samlet til et forvaltningsorgan i styringslinjen til Helse- og omsorgsdepartementet. Forslaget får støtte fra Direktoratet for e-helse, Helsedirektoratet, Forskningsrådet, Legemiddelverket, Helse Sør Øst RHF, Helse Vest RHF, Sykepleierforbundet, Legeforeningen, Helse Midt-Norge RHF, Akershus universitetssykehus HF, Helse Bergen HF, St. Olavs hospital HF, Kreftregisteret, Fakultet for medisin og helsevitenskap ved Norges teknisk-naturvitenskapelige universitet (NTNU), Universitetet i Oslo, Universitetet i Bergen, Sintef, Senter for klinisk dokumentasjon og evaluering (SKDE), Unit, Funksjonshemmedes Fellesorganisasjon (FFO), Kreftforeningen og Legemiddelindustrien. I tillegg er det høringsinstanser som støtter etablering av en nasjonal teknisk og organisatorisk løsning for tilgjengeliggjøring av helsedata som ikke har synspunkter på eller ikke kommenterer, forslaget om å samle funksjonene i et forvaltningsorgan under Helse- og omsorgsdepartementet.
Datatilsynet er kritisk til at så mye beslutningsmakt legges til ett organ og mener at det vil være behov for en form for forvaltningskontroll av Helsedataservice. Videre mener tilsynet at sentralisering av denne funksjonen til én myndighet i seg selv utgjør en større risiko.
Folkehelseinstituttet støtter at forvaltningen av helseanalyselattformen legges til en eksisterende offentlig virksomhet. Folkehelseinstituttet støtter også vurderingen om at det er avgjørende å bygge på allerede eksisterende kompetansemiljøer. Instituttet er imidlertid bekymret for høy gjennomføringsrisiko dersom tilgangsforvalterfunksjonen og helseanalyseplattformen legges til ett og samme forvaltningsorgan. Instituttet mener at gjennomføringsrisikoen er høy og at «kompleksiteten i aktørbildet, prosesser og roller som skal endres, kompetansen som skal bygges, innføringstakt og domenekunnskap om helseregistre er undervurdert.»
Når det gjelder hvilket forvaltningsorgan som Helsedataservice skal legges til, er det flest høringsinstanser som peker på Direktoratet for e-helse (Helsedirektoratet, Direktoratet for e-helse, Legemiddelverket, Forskningsrådet, Fakultet for medisin og helsevitenskap ved Norges teknisk-naturvitenskapelige universitet (NTNU), Universitetet i Oslo, Universitetet i Bergen, Unit, Kreftforeningen, Senter for klinisk dokumentasjon og evaluering (SKDE), Kreftregisteret, og Legemiddelindustrien). Helse Sør Øst RHF peker på enten Direktoratet for e-helse eller Helsedirektoratet. Legeforeningen, Sintef og St. Olavs hospital HF peker på Helsedirektoratet. Helse Bergen HF foreslår enten Folkehelseinstituttet eller Helsedirektoratet, og viser til at etatene har kontorer i Bergen og Trondheim. Folkehelseinstituttet mener at en delt løsning med tilgangsforvaltning lagt til Folkehelseinstituttet og forvaltning av helseanalyseplattformen lagt til Direktoratet for e-helse eller Norsk Helsenett SF har lavere gjennomføringsrisiko enn en løsning der funksjonene samles hos et forvaltningsorgan. Takeda foreslår Norsk Helsenett SF med Direktoratet for e-helse som alternativ.
Datatilsynet, Forskningsrådet, Akershus universitetssykehus HF, Fakultet for medisin og helsevitenskap ved Norges teknisk-naturvitenskapelige universitet (NTNU), Universitet i Bergen, Unit, Sintef mfl. vektlegger at tilgangsforvalterfunksjonen ikke bør legges til et organ som selv er leverandør eller bruker av dataene eller tjenestene i helseanalyseplattformen. Høringsinstansene vektlegger betydningen av å ikke ha ansvar for noen av disse registrene og å kunne utføre oppgaven uten interessekonflikter. Sintef mener at egen forskningsaktivitet kan innebære konkurransevridning for universitets- og instituttsektoren. Universitet i Bergen er opptatt av at dette er viktig for å sikre integritet, uavhengighet og likebehandling når det gjelder forskningsinteressene og registerforvaltningen. Unit mener at oppgaven bør legges til et miljø som i minst mulig grad har en egeninteresse i tilgang til registerdataene, som har erfaring med samarbeid med tilsvarende funksjoner i andre sektorer og som har nærhet til digitaliseringsprosessene på tvers av sektorene.
Forskningsrådet skriver:
Forskningsrådet får signaler fra forskningsinstitusjonene om at de opplever at eksterne forskere konkurrerer med interne forskere om tilgang til data på ulike premisser, og at rutiner og prosesser for å skille rollene ikke er tilstrekkelige. Vi tar ikke stilling til om dette er reelt eller ikke, men vurderer det slik at det er viktig å unngå dette ved å legge HDS [Helsedataservice] til et forvaltningsorgan som ikke selv driver forskning. Erfaringer fra danske Statens Seruminstitutts (SSI) forvaltning av Forskerservice tilsier at dette er en reell bekymring. Dobbeltrollen ble en mediesak som ble så belastende for SSI at Forskerservice ble flyttet til nyopprettede Sundhedsdatastyrelsen.
Samtidig er det en del aktører som legger større vekt på nærhet til helsetjenesten og medisinske kvalitetsregistre. Helse Bergen HF legger vekt på at Helsedataservice bør legges til et miljø som har medisinsk og helsefaglig kompetanse, helsedatakompetanse og analysekompetanse, og uttaler at både Folkehelseinstituttet og Helsedirektoratet har en betydelig samlet kompetanse på helsedata og bruk av data til helseanalyser, statistikk, kvalitetsindikatorer, styring og beredskap mv. St. Olavs hospital SF legger vekt på innsikt i helsetjenesten og medisinske kvalitetsregistre, og Legeforeningen på nærhet til og ansvar for helsetilbudet i helsetjenesten.
12.3.4 Kompetanse og ressurser
Flere av høringsinstansene viser til at verken Helsedirektoratet, Direktoratet for e-helse eller Folkehelseinstituttet har tilstrekkelig kompetanse og ressurser til å ivareta funksjonene til Helsedataservice. Folkehelseinstituttet uttaler for eksempel:
Det er mange styrker ved alle tre nevnte organisasjonene (Helsedirektoratet, Direktoratet for e-helse og Folkehelseinstituttet), som på hver sin måte har unik kompetanse som er aktuell for videre arbeid med tilgangsforvalterfunksjon og helseanalyseplattform. Samtidig er det klart at ingen per i dag dekker all kompetanse som er nødvendig for å løse alle oppgavene departementet foreslår samlet i ett organ (Helsedataservice).
Kreftforeningen skriver at dersom rollen som nasjonal tilgangsforvalter skal legges til Direktoratet for e-helse, så er det essensielt at direktoratet blir tilført kompetanse og ressurser for å kunne forvalte rollen på en god måte.
Det er også flere som peker på behovet for samarbeid med registerforvalterne. Helse Vest RHF mener at det er viktig at registersekretariatene, som kjenner registeropplysningene best, alltid skal være delaktige i databearbeidelse og kvalitetssikring av data før sammenstilling og tilgjengeliggjøring av opplysningene. Kreftregisteret legger vekt på at det er nødvendig at Helsedataservice har tett kontakt med registerforvalterne og at søkere raskt kan settes i kontakt med registerforvalterne når det er påkrevd. Universitetet i Tromsø understreker at de lokale forvaltningsorganisasjonene har erfaring og kompetanse som ikke må gå tapt når det opprettes en nasjonal forvaltningsfunksjon. Folkehelseinstituttet tar til orde for at saksbehandlingen må baseres på nettverksorganisering for å sikre langsiktig tett samarbeid og nærhet til fagkompetansen på helsedatakildene. Universitetet i Bergen legger vekt på at forståelse for forskningens natur må sikres og at forskningskompetanse må bringes inn med tyngde i organiseringen.
Registerforvaltere for flere av de lovbestemte helseregistrene, medisinske kvalitetsregistre og befolkningsbaserte helseundersøkelser utrykker bekymring for ressurssituasjon, kapasitet og kompetanse i registrene. De peker på at det er behov for å avklare oppgaver og ansvar, og at kompetansen i registrene må ivaretas og brukes av Helsedataservice. Videre legger de vekt på at registrene må sikres tilstrekkelige ressurser og trekkes inn både generelt og ved behandling av konkrete søknader om tilgjengeliggjøring. Registerforvalterne legger vekt på at deres kompetanse og ressurser ikke må forringes som følge av den nye løsningen.
Helsedirektoratet skriver:
Den nasjonale løsningen skal avlaste registerforvalterne med tilgjengeliggjøring etter en tid. Etablering og forvaltning av løsningen vil imidlertid innebære at registerforvalterne vil måtte avse betydelige ressurser i overskuelig fremtid. Det er derfor viktig at det gjøres konsekvensvurderinger av registerforvalternes bidrag til arbeidet med å realisere løsningen og deres behov for egne ressurser, slik at vi ikke mister evne til å ivareta egne og viktige samfunnsoppdrag og primærformålene med helseregistrene.
Fakultet for medisin og helsevitenskap ved Norges teknisk-naturvitenskapelige universitet (NTNU) støtter dette:
Det er av avgjørende betydning at den nye plattformen for forvaltning av helsedata ikke medfører nedbygging av kompetanse i registermiljøene og i tilknytning til befolkningsundersøkelsene.
Registerforvalterne viser til at registrene vil ha et ressursbehov både i overgangsperioden og når løsningen er etablert. Folkehelseinstituttet skriver:
Parallelt med at det prioriteres ressurser til å utvikle helseanalyseplattformen, må det derfor også gis ressurser til registerforvalterne frem til ansvaret er overført til Helsedataservice. I tillegg er det viktig at registrene har tilstrekkelige ressurser slik at de kan ivareta egne, lovpålagte oppgaver som ikke skal overføres til helsedataservice, f.eks. effektiv og sikker datainnsamling fra eksisterende og nye datakilder, samt nødvendig arbeid for å øke datakvalitet i registrene. Dette er viktig å prioritere, blant annet for å klargjøre disse registrene for tilgjengeliggjøring på helseanalyseplattformen på et senere tidspunkt, samt å sikre effektiv overføring av opplysninger av høy kvalitet til helseanalyseplattformen fra helseregistrene.
Folkehelseinstituttet viser til at registerforvaltere fremdeles skal ha ansvar for data inn i registrene, kvalitetssikring og regelmessig avlevering av kopier til helseanalyseplattformen, og vil ha behov for å opprettholde kompetanse for å bistå Helsedataservice i saksbehandlingen. Folkehelseinstituttet mener derfor at dagens kapasitet hos registerforvalterne sannsynligvis bør økes, spesielt for å ivareta høy kvalitet på dataene og fordi det er forventet en økt etterspørsel. Folkehelseinstituttet mener at en nettverksorganisering (som i interimsorganisasjonen) vil kunne bidra til effektiv søknadsbehandling og at muligheten for delte stillinger mellom registerforvaltere og Helsedataservice som tilgangsforvalter bør vurderes.
Helsedirektoratet uttaler:
Forslaget innebærer at registerforvalterne må bidra med betydelige ressurser. Dette må på en bedre måte vurderes ressursmessig for å sikre at registerforvalterne skal kunne ivareta egne og viktige samfunnsoppdrag og primærformålene med helseregistrene.
Se også høringsinstansenes innspill til omtalen av økonomiske og administrative konsekvenser i kapittel 15.
12.4 Arbeidet med å utvikle helseanalyseplattformen
Direktoratet for e-helse er i gang med å etablere helseanalyseplattformen som en nasjonal løsning for tilgjengeliggjøring og analyse av helsedata. Realiseringen av helseanalyseplattformen vil skje gjennom en stegvis utvikling som innebærer etablering av data- og analysetjenester, informasjons- og veiledningstjenester og innbyggertjenester. Etablering av portalen helsedata.no med felles søknadsskjema og saksbehandlingsløsning er allerede under innføring innenfor dagens regelverk. Det gjelder også utvikling av innbyggertjenester og fellesløsninger for registrene. Lovendringene som foreslås er imidlertid nødvendige for å realisere det potensialet som ligger i etablering av helseanalyseplattformen som en nasjonal løsning med bredt tilbud av data- og analysetjenester.
12.4.1 Data- og analysetjenester
Helseanalyseplattformen skal gjøre det enklere å få tilgang til helsedata og legge til rette for avanserte analyser på tvers av ulike helseregistre. Plattformen vil innebære at behandling av helseopplysninger samles og behandles av Helsedataservice som vil ha følgende oppgaver:
lagring av opplysninger fra helseregistre
beslutninger om tilgjengeliggjøring, inkludert behandling av søknader (tilgangsforvalterfunksjonen)
sammenstillinger og annen tilrettelegging for tilgjengeliggjøring
teknisk gjennomføring av tilgjengeliggjøringen
utarbeidelse av statistikk eller andre anonyme analyser
Plattformen skal utvikles med et bredt tilbud av data- og analysetjenester. Det skal etableres sikre analyserom på plattformen der brukere får tilgang til personidentifiserbare helsedata og egne analyseverktøy, og kan gjøre forskning eller annen helseanalyse i et sikkert miljø på helseanalyseplattformen. Helseanalyseplattformen vil med dette redusere behovet for å utlevere personidentifiserende opplysninger og redusere risiko for misbruk av personopplysninger.
Helseanalyseplattformen vil både tilby egne analysetjenester og legge til rette for at eksterne aktører skal kunne tilby analysetjenester på plattformen. Det vil være mulig å ta med egne data og analyseverktøy inn i analyserommet og koble med registerdata.
Det skal etableres selvbetjente statistikktjenester og eksplorative analysetjenester basert på personidentifiserbare data der brukere kan gjennomføre analyser uten å få tilgang til sensitive personopplysninger. Et eksempel på en slik eksplorativ analysetjeneste er en kohortutforsker der forskere kan identifisere den potensielle størrelsen på et utvalg raskt uten å ha tilgang til det underliggende datagrunnlaget. Forskeren vil da ikke få tilgang til personsensitive data, men vil bare få vite antall tilfeller innenfor hvert søk. På denne måten kan forskere unngå en omfattende søknadsprosess før det er avklart om datamaterialet gir grunnlag for å gjennomføre det planlagte prosjektet. Det vil også være aktuelt å tilgjengeliggjøre helsedata til denne typen analyser på andre eksterne analysetjenester, for eksempel Statistisk sentralbyrås microdata.no. Se også punkt 12.5.9.5 om tilgang i et sikkert og lukket analyserom og 12.5.9.6 om kohortutforskning.
Det legges opp til at data fra helseanalyseplattformen etter vedtak fra Helsedataservice, skal kunne gjøres tilgjengelig i andre sikre analyseinfrastrukturer, for eksempel Universitetet i Oslos Tjenester for sensitive data (TSD) og internasjonale forskningsinfrastrukturer. Det siste er spesielt viktig for forskning på sjeldne diagnoser som i mange tilfeller har utvalg som kan bestå av personer fra flere forskjellige land.
Dette vil gi et samlet tilbud av analysetjenester som i større grad vil kunne ivareta behovene til hele bredden av prosjekter og brukergrupper. Det skjer en rivende utvikling på dette feltet som gjør det nødvendig med høy grad av fleksibilitet og samarbeid for å være oppdatert. Det finnes heller ikke et enkelt analyseverktøy som vil kunne løse alle behov. Det er også et mål at helseanalyseplattformen skal muliggjøre utvikling av verktøy og algoritmer som bidrar til innovasjon og nyutvikling.
Helseanalyseplattformen vil – for å møte brukerbehovene og personvernkravene til ytelse, informasjonssikkerhet, rådgivning og rask kopling av data – i mange tilfeller måtte baseres på å få overført kopier av data og datasett fra datakildene. For å etablere et bredt tjenestetilbud er det nødvendig at data fra flere ulike kilder lagres permanent på helseanalyseplattformen. I en fremtidig løsning skal imidlertid reglene ikke være til hinder for at Helsedataservice eller registerforvalteren behandler opplysninger i registeret direkte på plattformen, uten at det overføres kopier.
12.4.2 Informasjons- og veiledningstjenester
Portalen www.helsedata.no er etablert for å gjøre det enklere for forskere og andre brukere å finne informasjon og søke om tilgang til data fra de ulike datakildene. I dag er det etablert enkle veiledningstjenester knyttet til søknadsprosessen, et felles søknadsskjema og en variabelutforsker som skal gjøre det enklere å identifisere data til et forskningsprosjekt. Helsedata.no skal videreutvikles med nye tjenester etter hvert som disse etableres på helseanalyseplattformen.
Et felles søknadsskjema som skal gjøre det enklere for brukere å søke om tilgjengeliggjøring av helsedata ble tatt i bruk i 2019. Samtidig arbeides det med å utvikle og innføre en felles saksbehandlingsløsning for å sikre raskere, enklere og mer gjennomsiktig saksbehandling på tvers av de aktørene som i dag behandler søknader om tilgang til helsedata. Det følger av departementets forslag og utviklingen av løsningen at Helsedataservice etter hvert skal overta mer og mer av ansvaret for søknadsbehandlingen, og det vil etableres løsninger som innebærer større grad av automatisering av søknadsprosessen.
12.4.3 Digitale innbyggertjenester
Personvernet skal styrkes gjennom bedre innsynstjenester, bedre muligheter til å gi og trekke samtykker og bedre sporing av bruken av opplysningene. Det skal utvikles digitale innbyggertjenester som vil legge til rette for kontroll og medvirkning. Personverninnstillinger og sporing av bruk skal være integrert i løsningen.
Tjenestene vil bli gjort tilgjengelige på helsenorge.no. Tjenestene omfatter innsyn, samtykkehåndtering, reservasjon og dialog med forskere, registerforvaltere og andre aktører. Innbyggerne skal kunne logge inn via helsenorge.no og få innsyn i hvilke personopplysninger som finnes om dem både på helseanalyseplattformen og i det enkelte register, samt kunne se logg over bruk av opplysningene, inkludert hvilke forskningsprosjekter som har benyttet opplysningene. Det skal også utvikles løsninger for mer dynamisk håndtering av samtykke og reservasjoner.
12.5 Departementets vurdering
12.5.1 Etablering av en nasjonal løsning
Departementet foreslår at helseanalyseplattformen og Helsedataservice etableres som en nasjonal teknisk og organisatorisk løsning for tilgjengeliggjøring av helsedata. Løsningen skal hjemles i en ny helseregisterlov § 20 og reguleres nærmere i forskrifter gitt i medhold av denne bestemmelsen.
Formålet er en mer effektiv tilgjengeliggjøring av helsedata til sekundærformål. Løsningen skal gi enklere og raskere søknadsprosesser. Løsningen skal også gjøre det enklere å sammenstille opplysninger fra ulike registre.
Departementet viser til at det i høringen er bred støtte til at det etableres en nasjonal løsning for tilgjengeliggjøring av helsedata. Forslaget får støtte fra blant annet Forskningsrådet og sentrale forskningsmiljø, representanter for helsetjenesten, helseregisterforvalterne, Kreftforeningen, Sykepleierforbundet og representanter for helsenæringen. Ingen høringsinstanser går uttrykkelig imot løsningen.
Datatilsynet, Legeforeningen, Institutt for offentlig rett ved Universitetet i Oslo, De nasjonale forskningsetiske komiteer og Personvernombudet ved Oslo universitetssykehus etterlyser mer inngående vurderinger av konsekvensene og tiltak som skal forhindre brudd på den registrertes rettigheter.
Departementet viser til at det er gjort en overordnet personvernvurdering i sammenheng med konseptvalgutredningen og at personvernkonsekvensene og behovet for risikoreduserende tiltak skal vurderes etter hvert som de tekniske og organisatoriske løsningene utvikles. Se nærmere omtale av personvernkonsekvenser og -tiltak i punkt 12.5.2 nedenfor.
12.5.2 Vurdering av personvernkonsekvenser og -tiltak
Omfanget og kompleksiteten i behandlingen av helsedata på helseanalyseplattformen tilsier at det må gjennomføres grundige risiko- og sårbarhetsanalyser, personvernkonsekvensvurderinger og forhåndsdrøftelse med Datatilsynet før løsningen kan tas i bruk. Departementet forutsetter videre at helseanalyseplattformen utvikles i tråd med kravet til innebygd personvern etter personvernforordningen artikkel 25, noe som betyr at personvern skal tas hensyn til i alle ledd både ved anskaffelse, utvikling, videreutvikling, vedlikehold mv. av helseanalyseplattformen.
Datatilsynet sier i sitt høringssvar at det må oppstilles garantier for at personvernkonsekvensene vurderes løpende etter hvert som plattformen utvikles.
Departementet viser til det pågående arbeidet i Helsedataprogrammet med konsekvensvurderingene og forhåndsdrøftelse med Datatilsynet. Departementet forutsetter at personvernkonsekvensene og behovet for risikoreduserende tiltak skal vurderes i takt med at risikoen endrer seg og etter hvert som de tekniske og organisatoriske løsningene utvikles for å sørge for å bevare et likt eller forsterket personvern og informasjonssikkerhet sammenliknet med dagens situasjon. Den dataansvarlige skal for hvert steg gjennomføre en vurdering av personvernkonsekvensene i samsvar med personvernforordningen artikkel 35 (DPIA). Det skal også gjennomføres risiko- og sårbarhetsanalyser for å identifisere tiltak som er nødvendige for å ivareta informasjonssikkerheten og personvernet i de tekniske og organisatoriske løsningene.
Det er eller vil bli gjennomført vurdering av personvernkonsekvenser av innføring av søknadsskjema, innbyggertjenester og personverntjenester, filoverføringstjeneste, felles saksbehandlingsløsing, dataplattform og analyserom og øvrige deler av løsningen. Departementet vil bemerke at det ikke er mulig å gjøre alle disse vurderingene nå så lenge løsningen er under planlegging og utvikling. Ved hvert nye steg i utviklingen skal personvernkonsekvensene for løsningene vurderes på nytt for å unngå formålsglidning eller at det oppstår nye personvernkonsekvenser som ikke er vurdert.
I det følgende gis det et overordnet bilde av risikoene for personvernkonsekvensene for den registrerte og tiltak som vil bli satt i verk for å redusere risikoen. Departementet viser også til punkt 12.6 der det fremgår at det i forskrift vil bli fastsatt nærmere krav til den organisatoriske og tekniske løsningen for å sikre informasjonssikkerheten, registrertes rettigheter og andre personvernkrav.
12.5.2.1 Personvernprinsippene
Noen av personvernprinsippene i forordningen artikkel 5 kan bli særlig utfordret ved etablering av helseanalyseplattformen. Se om prinsippene i punkt 11.1.1.
Forordningen krever at det skal være åpenhet overfor de registrerte rundt behandlingen av egne opplysninger. Helseanalyseplattformen er en omfattende teknisk og organisatorisk løsning med et tilhørende stort aktørbilde med flere dataansvarlige som det vil være krevende for den registrerte å få oversikt over. Det vil bli flere dataansvarlige for de samme opplysningene, med både en dataansvarlig for selve helseregisteret og en annen dataansvarlig for datasettene (kopiene) som er overført til plattformen. Dette kan gjøre det uklart for den registrerte hvor de skal henvende seg for å ivareta egne rettigheter, og det kan bli uklart for de ulike dataansvarlige hvor den enes ansvar slutter og den andres ansvar begynner. Det at opplysninger du gir fra deg i en behandlingssituasjon og som føres i pasientjournalen, ender opp på en helseanalyseplattform der de tilgjengeliggjøres til forskning og andre sekundærformål, kan også være noe de fleste ikke uten videre har innsikt i. Dette gjelder særlig for de lovbestemte registrene der behandlingen skjer uten de registrertes samtykke.
Legeforeningen uttrykker bekymring for at det kan svekke tillitsforholdet mellom pasient og helsepersonell hvis bruken av data bryter med intensjonen for avgivelsen av helseopplysningene til helsepersonellet.
I lys av dette vil det være nødvendig med god informasjon til de registrerte om helseanalyseplattformen. Dette vil være en viktig oppgave for Helsedataservice. Det må gis generell informasjon til befolkningen om helseanalyseplattformen, hvem som behandler våre helsedata, hvordan og til hvilke formål dataene behandles. Det må gis nok informasjon til å forstå helheten i løsningen og hvordan data overføres fra helsetjenesten til helseregistrene og helseanalyseplattformen for den enkelte. Samfunnsnytten av helseanalyseplattformen, inkludert hvilket bidrag dette kan gi til forbedring av kvaliteten i helsetjenesten, til medisinsk forskning mv., må være en del av den generelle informasjonen. Det må også gis god informasjon til den registrerte om hvordan de enkelt kan benytte seg av sine rettigheter. Se også punkt 12.5.2.8.
Prinsippet om dataminimering kan være krevende å etterleve, særlig ved sammenstillinger. For å unngå at opplysningene brukes utenfor registrenes formål og uten at det er nødvendig for mottakerens aktuelle formål, kreves det teknisk og juridisk dybdekunnskap om de aktuelle helseregistrene. Det vil være behov for kunnskap om de enkelte variablene og om hvilke variabler som vil være relevante og nødvendige for et bestemt forskningsprosjekt. Dette forutsetter en omfattende prosess der forskere eller andre må begrunne hvorfor de har behov for de enkelte variablene til sitt formål. Det endelige utvalget av variabler i datasettet, krever teknisk og juridisk kunnskap om det enkelte registeret. Det vil være en risiko for både dataminimeringen og andre vurderinger som gjøres i forbindelse med tilgjengeliggjøringen av data, hvis ikke Helsedataservice blir tilført den nødvendige registerspesifikke kompetansen.
Det vil i lys av dette være behov for kompetanse fra registermiljøene som kan bidra til at det gjøres gode formålsvurderinger og avgrensninger av variabler når det skal tilgjengeliggjøres data. Departementet legger til grunn at overføringen av registerdata på helseanalyseplattformen skal skje ved at registrene i dialog med Helsedataservice lager dataprodukter og bidrar til å definere formål, bruksområder, hvordan dataene kan behandles osv. I punkt 12.5.6.3 forklarer departementet hvordan kompetansen til registerforvalterne skal trekkes inn i Helsedataservice sin behandling av opplysningene, og særlig i tilgangsforvaltningen.
Med opplysninger fra flere datakilder vil det være en utfordring å sørge for at dataene er korrekte og oppdaterte i tråd med prinsippet om riktighet. Det må sikres at uriktige opplysninger slettes eller rettes uten opphold. På helseanalyseplattformen kan det bli en utfordring at det er ulike krav til hvor oppdatert opplysningene må være. I Kommunalt pasient- og brukerregister vil det for eksempel kunne være krav til hyppige oppdateringer fordi den registrerte har rett til å motsette seg visse typer utleveringer av data. Denne reservasjonen skal speiles i dataproduktet på helseanalyseplattformen, for å unngå at det tilgjengeliggjøres data der den registrerte har reservert seg.
Departementet vil i arbeidet med forskriften om helseanalyseplattformen og Helsedataservice avklare fordelingen av ansvar og oppgaver for registerforvalterne og Helsedataservice, samt kravene til informasjon om dette til de registrerte (se punkt 12.6).
12.5.2.2 Opplysningene samles på ett sted
Samling av mange opplysninger på helseanalyseplattformen kan potensielt gi en forhøyet risiko for informasjonssikkerheten. Jo flere opplysninger som er samlet på samme sted om samme person, desto større vil skadepotensialet for den enkelte registrerte være. Faren for personidentifikasjon blir større. En nasjonal dataplattform med en omfattende samling av data vil også kunne bli et attraktivt mål for fremmede makter og organiserte kriminelle.
Å samle helsedata om den norske befolkningen på en nasjonal dataplattform vil i tillegg gi staten mye kunnskap, og dermed potensiell makt, over befolkningen. Selv om det ikke gjøres på individnivå, vil rask tilgang til analysetjenester basert på sammensatte helsedata gi norske myndigheter innsikt i demografiske trender, aggregerte bevegelsesmønstre, epidemiutbrudd, rusmisbruk og annen kunnskap som enkelte kan oppleve som overvåkning.
All ny behandling av personopplysninger, inkludert etablering av nye digitale tjenester, skal vurderes etter lovlighet, personvernkonsekvens, risiko og sårbarhet. Formålsbegrensningene for de ulike registrene betyr at det må settes i verk tekniske og juridiske tiltak som begrenser hvordan data skal kunne brukes og av hvem. Opplysningene for de fleste bruksområder lagres logisk adskilt og kryptert slik at informasjonssikkerhetstrusler fra inntrengere eller utro tjenere reduseres til et tilsvarende eller lavere risikonivå enn dagens distribuerte tekniske løsninger. Se nærmere i punkt 12.5.2.3 om tiltakene for å ivareta informasjonssikkerheten.
12.5.2.3 Informasjonssikkerhet
De informasjonssikkerhetstiltakene som er tilstrekkelig for dagens mindre helseregistre kan være utilstrekkelige for helseanalyseplattformen som vil ha en større samling av personopplysninger. Konsekvensene ved tap av konfidensialitet, integritet og tilgjengelighet vil for helseanalyseplattformen være betydelig større. Tekniske løsninger, organisatoriske strukturer, rutiner, styring og kontraktuelle bindinger som etableres for plattformen skal være tilpasset risikonivået.
Tillit i befolkningen er avgjørende for å kunne lykkes med helseanalyseplattformen. Helseanalyseplattformen omfatter mange aktører og mange behandlingsaktiviteter, noe som betyr at et sikkerhetsbrudd ett sted i løsningen potensielt kan påvirke tilliten og omdømmet til både helsetjenesten, helseregistrene og selve plattformen. Grundig arbeid med personvern og informasjonssikkerhet i alle ledd vil være en forutsetning for å ivareta tilliten i befolkningen.
Departementet mener at loven ikke bør fastsette konkrete krav til teknologien eller måten opplysningene skal behandles på. Det må tas høyde for at den teknologiske utviklingen skjer raskt. Reglene må være fleksible slik at de ikke står i veien for å ta i bruk nye og bedre tekniske løsninger i fremtiden.
Nye løsninger vil ikke bare kunne gi mer effektiv tilgjengeliggjøring, men vil også kunne gi bedre informasjonssikkerhet enn dagens teknologi kan gi. Det bør for eksempel ikke fastsettes konkrete tekniske krav til krypteringsløsninger eller regulering av bruk av skytjenester.
Opplysningenes konfidensialitet
Nye tekniske løsninger, datasett og organisatoriske funksjoner vil bidra til økt risiko for konfidensialitetsbrudd. Selvbetjeningsløsninger for innbyggerne vil kunne gi økt risiko for at funksjonelle applikasjonsfeil eller tekniske driftsproblemer fører til lekkasje av personopplysninger.
Dersom de tekniske løsningene ikke er tilstrekkelig testet og sikret, vil man kunne risikere at personopplysninger kan bakveisidentifiseres eller på annet vis bli tilgjengelige for personer som ikke har rett til å se opplysningene. De fleste konfidensialitetsbrudd antas imidlertid å komme fra utro tjenere eller ansatte som handler på feil eller misforstått grunnlag. Dersom personell uten tjenstlig behov får tilgang eller dersom ikke all tilgang fra ansatte logges, så vil dette kunne føre til snoking og misbruk av data uten at den registrerte blir kjent med dette.
Det vil bli innført hensiktsmessige automatiske og manuelle kontrolltiltak for å unngå at dette skjer. Helseanalyseplattformen skal baseres på at bruk av data skal utføres på en måte som i størst mulig grad unngår at noen får direkte tilgang til eller eksponering av personopplysninger. Kun et lite mindretall klarerte ansatte skal ha tilgang til sensitive personopplysninger. Ingen skal kunne ha tilgang til data uten at bruken logges og kan monitoreres for misbruk. Ved å bruke ulike krypteringsnøkler for ulike datasett og mekanismer for nøkkelhåndtering i norsk offentlig regi, kan risikoen for store konfidensialitetstap og misbruk reduseres. Dette vil blant annet sikre at myndighetene bevarer kontroll over norske data selv når de behandles av utenlandske tjenesteleverandører.
Med helseanalyseplattformen vil en del bruksområder kunne betjenes for eksempel ved å produsere syntetiske datasett maskinelt. Dette er datasett som har samme statistiske egenskaper som de reelle datasettene. Behandling og analyser på slike datasett vil for noen bruksområder være tilstrekkelig og gi samme verdi, uten at den registrerte utsettes for personvernrisiko eller -ulempe. Mange analyser kan også baseres på reelle data, men utføres uten at brukeren eller personell hos databehandleren har tilgang til opplysninger om den enkelte registrerte.
Se nærmere i punkt 12.5.9.6 om kohortutforskning og om tilgang i et sikkert og lukket analyserom.
Tilgjengelighet og robusthet
Etterhvert som helseanalyseplattformen blir et viktig verktøy for å følge med på befolkningens helse og drive analyser og forskning som er viktig for samfunnet, så vil også konsekvensene av nedetid og tap av tilgjengelighet kunne bli større. Registre som overfører data til plattformen vil derimot ikke bli berørt av angrep på eller nedetid for plattformen ettersom de skal forvaltes som separate løsninger.
Helseanalyseplattformen skal imidlertid gi en robust og sikret infrastruktur som skal tåle både høy bruk og målrettede angrep som har til hensikt å ramme samfunnet. Plattformen vil gi mulighet for høyere grad av oppetid og robusthet enn eldre tekniske løsninger med mer fragmenterte og manuelle verdikjeder for drift, forvaltning og behandling av data.
12.5.2.4 Kopier
En annen ulempe og risiko er knyttet til at plattformen skal motta og lagre kopier av utvalgte opplysninger fra helseregistrene. Bruk av data fra registre og andre datakilder skal skje ved lagring av dataprodukter på helseanalyseplattformen. Med dataprodukt menes her et datasett med anonyme eller personidentifiserbare opplysninger, metadata og betingelser utviklet av registerforvalteren i dialog med Helsedataservice. Dataproduktet kan inneholde data fra ett register eller være en sammenstilling av data fra to eller flere datakilder. Et dataprodukt vil kunne dekke et konkret behov som oppstår mer enn én gang, for eksempel tilgjengeliggjøring for forskningsformål. Dataprodukter med tydelige formål- og bruksvilkår vil legge til rette for lovlig bruk på helseanalyseplattformen, ved at vurderinger av formål og deler av dataminimeringsprosessen skjer i tett dialog med fagkompetansen hos registerforvalteren.
Dette innebærer at opplysninger skal overføres mellom ulike dataansvarlige, og at samme opplysninger vil bli lagret flere steder. Dette utfordrer kravet til dataminimering. Det kan ikke utelukkes at dette kan innebære en forhøyet personvernrisiko ved overføring og lagring. Det gir også særlige utfordringer knyttet til opplysningenes integritet, dvs. at opplysningene skal være riktige og oppdaterte.
Å håndtere disse risikoene vil forutsette tekniske mekanismer og organisatoriske rutiner som sørger for at registerdataene på helseanalyseplattformen holdes synkronisert og korrekte, i tillegg til at overføringen gjøres på en måte som ikke fører til tap av konfidensialitet og integritet.
En annen utfordring er å sikre at kopiene også speiler reservasjoner og tilbaketrekning av samtykker. Departementet forutsetter at det etableres systemer som ivaretar dette, eksempelvis gjennom innbygger- og personverntjenester på Helsenorge.no.
12.5.2.5 Økt faktisk bruk
Et formål med helseanalyseplattformen er økt bruk av helsedata. Økt bruk vil også bety økt datastrøm og at helseopplysninger i større grad må deles med flere aktører. Datatilsynet uttrykker i sitt høringssvar at økt bruk, også om det er innenfor eksisterende formål, er personverninngripende i seg selv.
Ved å gjøre opplysningene mer tilgjengelige gjennom helseanalyseplattformen og ved å forenkle sammenstillinger, må det antas at bruken av opplysningene øker. Økt bruk kan øke personvernbelastningen.
Departementet presiserer at helseanalyseplattformen ikke vil innebære noen utvidelse av adgangen til å tilgjengeliggjøre helseopplysninger. All tilgjengeliggjøring skal skje i samsvar med de samme vilkårene som gjelder for registerforvalterne (jf. forslaget til ny helseregisterlov § 19 a). Helseanalyseplattformen vil ikke innebære bruk til andre formål enn det som ligger innenfor formålet til helseregisterloven og det enkelte registeret og eventuelle samtykker og reservasjoner.
Departementet viser til at formålet for hvert enkelt helseregister er vurdert ved opprettelsen av registeret, og at bruk innenfor dette formålet må kunne ansees som lovlig og ønsket. Det er et mål at dataene i større grad utnyttes innenfor formålene. Departementet antar at det er påregnelig for de registrerte at opplysningene i helseregistrene skal brukes til formålene som de er samlet inn for.
12.5.2.6 Faren for bakveisidentifisering
Med stadig større mengder data om hver person og bedre tekniske muligheter for sammenstillinger, øker også faren for at enkeltpersoner vil kunne gjenkjennes (bakveisidentifisering).
Legeforeningen mener
det er nødvendig å vurdere risikoen ved avidentifiserte data og bakveisidentifikasjon. I dag kreves det få datapunkter om et enkeltindivid for å identifisere vedkommende selv om utgangspunktet er avidentifiserte data og «anonymiserte» datasett. Disse vurderingene bør knyttes til tilgjengeliggjøring av helsedata, og særlig for de store datasettene det legges opp til å etablere og kopiere.
Til dette vil departementet bemerke at muligheten for bakveisidentifikasjon skal vurderes ved behandling av opplysninger på helseanalsyeplattformen, som ved all annen behandling av helseopplysninger. Departementet viser til at all sammenstilling, tilgjengeliggjøring og annen behandling av opplysninger skal gjøres med så få opplysninger og med så liten grad av personidentifikasjon som mulig og bare så langt det er nødvendig for å oppnå formålet med behandlingen, jf,. prinsippet om dataminimering i personvernforordningen artikkel 5. Det er ikke registrene som sådan som skal overføres til plattformen, men kun datasett med utvalgte variabler. Videre vil de nye løsningene som etableres legge til rette for at helsedata i større grad vil kunne tilgjengeliggjøres anonymt.
12.5.2.7 Offentlig eierskap til helsedataene
Departementet presiserer at det er viktig å sikre en offentlig kontroll med forvaltning av helsedata som sikrer at disse brukes i tråd med formålene. Løsningen som foreslås for helseanalyseplattformen og Helsedataservice skal være regulert og kontrollert av norske myndigheter. Det er også bakgrunnen for forslaget om at Helsedataservice skal legges til en etat under Helse- og omsorgsdepartementet.
Departementet viser til høringsinnspill fra blant annet Forskningsrådet og Legeforeningen som understreker betydningen av at verdien av helsedata kommer felleskapet til gode og som mener at det bør stilles krav om gjenytelser fra de som får tilgang til helsedata. Se punkt 12.5.9.4 om mottakerne av opplysninger fra plattformen og punkt 12.5.12 om betaling for tilgjengeliggjøring, inkludert krav om gjenytelser i form av publisering eller retur av analyseresultater.
12.5.2.8 Den registrertes rettigheter
Etableringen av helseanalyseplattformen og Helsedataservice som en ny måte å tilgjengeliggjøre og sammenstille data på, utfordrer flere av de registrertes rettigheter etter personvernforordningen artikkel 12 til 22.
Med et omfattende aktørbilde med flere dataansvarlige kan det være utfordrende for de registrerte å forstå hvor de skal henvende seg for å ivareta sine rettigheter. Det vil være uheldig hvis den registrerte opplever å bli sendt rundt i systemet eller får ulik informasjon avhengig av hvor de henvender seg. Helsedataprogrammet gjennomførte våren 2019 en innbyggerundersøkelse som viste at nettopp kontroll over egne personopplysninger er viktig for innbyggerne, men at de i dag har liten oversikt over hvor de er registrert.
Ett kontaktpunkt for den registrerte og fellestjenester for digitalt innsyn i helseregistre vil gjøre det lettere for den registrerte å benytte seg av innsynsretten. I tillegg til å utvide digitalt innsyn i helseregistre på helsenorge.no, er det derfor et mål i Helsedataprogrammet at innbyggerne skal gis en helhetlig oversikt over alle helseregistre de er oppført i. En slik oversikt vil være en ny tjeneste som vil forsterke de registrertes kontroll over egne opplysninger utover kravene i personvernlovgivningen.
Legeforeningen sier i sitt høringssvar at det må være lett for enkeltpersoner å finne informasjon om hvor de skal henvende seg for å rette feil i egne opplysninger. Departementet bemerker i denne sammenheng at helselovgivningen i mange tilfeller setter begrensninger i den registrertes rett til retting og sletting, og at dette kravet ofte ikke er i behold for opplysninger som er lagret i helseregistrene.
Retting og sletting er ellers rettigheter som særlig utfordres når opplysningene skal behandles flere steder enn i den opprinnelige kilden. Når opplysningene kreves rettet eller slettet må det derfor vurderes hvor dette skal skje. Selv om retting eller sletting ikke skal skje på helseanalyseplattformen, forutsetter departementet at det etableres gode saksbehandlingsrutiner som ivaretar den registrertes henvendelse og at den rutes videre til det aktuelle helseregisteret. Den registrerte skal kunne gjøre en henvendelse direkte til Helsedataservice, som videre henvender seg til riktig mottaker for kravet.
12.5.3 Rettslig grunnlag
Den nasjonale løsningen for tilgjengeliggjøring av helsedata som departementet foreslår å etablere, vil innebære at store mengder personopplysninger med et særlig beskyttelsesbehov skal mottas, lagres, tilgjengeliggjøres og behandles på andre måter. Enhver behandling av personopplysninger vil kunne anses som et inngrep i den registrertes personvern. Et regelverk som skal hjemle behandling av personopplysninger på en nasjonal plattform som foreslått, må utarbeides innenfor rammene av den registrertes grunnleggende rettigheter. Det er en forutsetning for vårt demokrati at personopplysninger behandles på en måte som respekterer retten til privatliv, men også andre friheter som kommunikasjonsvern, tanke-, tros- og religionsfrihet, ytrings- og informasjonsfrihet, bevegelsesfrihet og forbud mot diskriminering.
Både Den europeiske menneskerettskonvensjon og EUs personvernforordning stiller vilkår for når inngrep i personvernet kan tillates. Beskyttelse av personvernet er anerkjent som en menneskerettighet jf. Den europeiske menneskerettskonvensjon artikkel 8 og Grunnloven § 102 om retten til respekt for privatliv og familieliv (se punkt 4.1.1). Jo mer inngripende behandlingen er, desto mer spesifikt må grunnlaget være.
Personvernforordningen krever at all behandling av helseopplysninger har et rettslig grunnlag i artikkel 6 og 9 (se punkt 4.2.1 og 11.1.1). Departementet legger til grunn at behandling av helseopplysninger og andre personopplysninger på helseanalyseplattformen, vil ha rettslig grunnlag etter artikkel 6 nr. 1 bokstav e og artikkel 9 nr. 2 bokstav g eller j. Artikkel 6 nr. 1 bokstav e tillater behandling av personopplysninger dersom «behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt». Det forutsettes at selve grunnlaget for denne behandlingen har hjemmel i nasjonal rett, jf artikkel 6, nr. 3. Etter artikkel 9 nr. 2 bokstav g er behandling av helseopplysninger tillatt dersom
Behandlingen er nødvendig av hensyn til viktige allmenne interesser, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.
Alternativt grunnlag er artikkel 9 nr. 2 bokstav g:
Behandlingen er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål i samsvar med artikkel 89 nr. 1 på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser
Når det gjelder kravene om at behandlingen må fastsettes i nasjonal rett, vil den foreslåtte bestemmelsen i helseregisterloven § 20 med tilhørende forskrifter være et slikt supplerende rettsgrunnlag. Disse reglene vil gi supplerende rettsgrunnlag for Helsedataservice til å motta, lagre og forvalte opplysningene. De vil også, sammen med lovforslaget § 19 a og § 19 c, gi supplerende rettsgrunnlag for Helsedataservice sin sammenstilling og tilgjengeliggjøring av opplysninger.
12.5.4 Opplysninger fra registre som er basert på samtykke eller reservasjonsrett
Departementet har vurdert om overføringen av opplysningene fra helseregistrene til Helsedataservice vil ha rettslig grunnlag også dersom det er tale om opplysninger fra samtykkebaserte helseregistre.
Det kan hevdes at overføring, samling og videre deling av opplysningene via et sentralt forvaltningsorgan innebærer en selvstendig behandling som den registrerte ikke har samtykket til. Dette kan tenkes å ha betydning for de registrerte, for eksempel dersom det er tale om et lokalt kvalitetsregister på et sykehus som er tett knyttet til fagmiljøet.
Noen høringsinstanser hevder også at helseanalyseplattformen betyr at det i praksis etableres et nytt helseregister. Datatilsynet anbefaler at hver enkelt datakilde vurderes grundig med tanke på deres rettslige grunnlag, og om dette kan tillate overføringen til helseanalyseplattformen. Det bør ifølge tilsynet ikke legges til grunn at overføringen kun har betydning for måten data tilgjengeliggjøres. Et viktig moment å vurdere er ifølge tilsynet om det opprinnelige hjemmelsgrunnlaget, for eksempel samtykkene, er tidsbegrenset. Plattformen må ha tekniske løsninger for å ivareta variasjoner mellom registrene.
Departementet mener at et samtykke til innsamling og behandling av helseopplysninger i et helseregister generelt ikke kan fortolkes slik at det ikke omfatter tilgjengeliggjøring via en helseanalyseplattform. En slik snever fortolkning av samtykket ville hindre at nye tekniske og organisatoriske løsninger for tilgjengeliggjøring, som det ikke var mulig å forutse da opplysningene ble samlet inn, ikke kan tas i bruk. At tilgjengeliggjøring kun skal skje direkte fra registerforvalteren er etter departementets syn ikke en vesentlig forutsetning ved et samtykke.
Departementet mener at det kun er tale om en måte å tilgjengeliggjøre opplysningene på. Det vises til at behandlingen av opplysningene på plattformen ikke vil ha noe eget selvstendig formål. Løsningen innebærer ikke noen utvidelse eller endring i vilkårene for tilgjengeliggjøring. Heller ikke skal det tilgjengeliggjøres opplysninger fra plattformen i strid med vilkårene i registerets rettslige grunnlag. For eksempel vil løsningen ikke åpne for bruk til formål i strid med registerets formål eller i strid med eventuelle samtykker eller reservasjoner. Dersom samtykket er tidsbegrenset vil dette dermed også begrense adgangen til å tilgjengeliggjøre opplysninger fra plattformen.
Videre må det legges vekt på at det fra plattformen først og fremst skal gis tilgang til personidentifiserbare opplysninger i et driftssikkert miljø. Vi viser også til at de registrerte skal få informasjon om overføringen, jf. personvernforordningen artikkel 14, og da vil få mulighet til å trekke eventuelle samtykker tilbake. Informasjonen kan gis for eksempel ved at det legges ut informasjon på helsenorge.no.
Departementet mener på denne bakgrunn at det ikke er nødvendig å innhente særlige samtykker fra de registrerte for at opplysninger om dem skal kunne legges på plattformen og tilgjengeliggjøres derfra. Alternativet ville være at det må innhentes nye og særlige samtykker fra alle registrerte.
Heller ikke bør de registrerte få en særlig rett til å reservere seg mot overføring til plattformen. Dette ville på samme måte som et krav om samtykke kunne gi et frafall slik at løsningen ikke ville fungere etter hensikten.
Departementet viser også til at de registrerte kan trekke samtykket tilbake. Dette vil begrense adgangen til overføring og tilgjengeliggjøring av opplysningene og må respekteres også av Helsedataservice. Tilbaketrekning av samtykke betyr at opplysningene – avhengig av samtykket og eventuelle tidsbegrensninger – ikke skal overføres til plattformen, at de skal slettes eller at de ikke skal tilgjengeliggjøres og sammenstilles. Et problem her er at i motsetning til rådataene som ligger i registrene, vil kopien som overføres til plattformen være statisk. Dersom kopien ikke oppdateres tilstrekkelig ofte, vil en risikere tilgjengeliggjøring av opplysninger som den registrerte ikke samtykker til.
Tilsvarende begrensninger gjelder også der den registrerte har brukt en reservasjonsrett til å motsette seg registrering eller bestemt bruk av opplysningene.
Før det kan tas inn samtykke- og reservasjonsrettsbaserte registre, må det derfor etableres en løsning som sikrer at samtykker, tilbaketrekninger av samtykker og reservasjoner speiles i datasettene som er overført til plattformen.
12.5.5 Nødvendighet og forholdsmessighet
Etter forordningen artikkel 6 og 9 er det et vilkår at behandlingen er nødvendig av hensyn til viktige allmenne interesser. Dette innebærer at det må foreligge et samfunnsmessig behov for behandlingen. Kravet om nødvendighet betyr at formålet ikke kan nås på andre mindre inngripende måter.
Videre må inngrepet i personvernet som behandlingen innebærer stå i forhold til det man vil oppnå med behandlingen. Menneskerettighetene og personvernforordningen krever med andre ord at personvernkonsekvensene må stå i forhold til gevinsten ved løsningen. For lovgiver er det på denne bakgrunn sentralt å vekte ulike hensyn opp mot hverandre. Både personvern, pasientinteresser og andre samfunnsinteresser som mer og bedre forskning som vil gi ny medisinsk kunnskap og en mer effektiv og rettferdig helsetjeneste, vil derfor være sentrale interesser som må vektes i en vurdering av forholdsmessighet.
Departementet mener at løsningen som foreslås ivaretar legitime og tungtveiende allmenne formål og at inngrepet i borgernes rett til privatliv i denne sammenheng må anses nødvendig og forholdsmessig. Gevinsten er forklart nærmere i punkt 3.1 om nytten av opplysningene, punkt 12.1 om behovet for mer effektiv tilgjengeliggjøring og punkt 12.4.1 om fordelene ved de nye tekniske løsningene. Departementet har i punkt 12.5.2 gjort rede for personvernkonsekvensene av behandlingen og tiltak som skal ivareta de registrertes rettigheter og interesser. Det fremgår av disse drøftelsene at løsningen vil ha store gevinster i form av mer effektiv tilgjengeliggjøring av helsedata og at opplysninger i helseregistre i større grad vil kunne nyttiggjøres i samsvar med de formålene de er innhentet for. Dette vil være et gode for de registrerte, for pasienter og for samfunnet generelt i form av bedre helse- og omsorgstjenester.
Departementet erkjenner at den foreslåtte løsningen innebærer en større datastrøm og at det kan være utfordrende at store mengder personopplysninger samles på ett sted. Dette er problemstillinger som vil måtte håndteres gjennom personvernfremmende funksjonalitet og strenge sikkerhetsmekanismer. Samtidig vil løsningen muliggjøre analyser uten utlevering av personidentifiserende opplysninger (se punkt 12.5.9.5). Løsningen vil også legge godt til rette for ivaretakelse av informasjonssikkerheten og effektive innbyggertjenester.
12.5.6 Organisering, oppgaver og kompetanse
12.5.6.1 Organisering
Departementet foreslår at helseanalyseplattformen og tilgangsforvalterfunksjonen må legges til et forvaltningsorgan som er underordnet Helse- og omsorgsdepartementet. Høringen viser at det er bred støtte til dette forslaget. Det samme gjelder departements forslag om at tilgangsforvalterfunksjonen og helseanalyseplattformen skal legges til ett og samme forvaltningsorgan. Se om høringssvarene i punkt 12.3.3.
Datatilsynet uttrykker imidlertid bekymring for at så mye beslutningsmakt legges til ett organ og mener at det vil være behov for en form for forvaltningskontroll. Datatilsynet mener videre at det er viktig å skille mellom de ulike rollene som er tiltenkt Helsedataservice. Folkehelseinstituttet mener at departementet bør vurdere om tilgangsforvalterfunksjonen bør legges til to ulike forvaltningsorganer – tilgangsforvalterfunksjonen til Folkehelseinstituttet og helseanalyselattformen til Direktoratet for e-helse. Instituttet mener at dette alternativet har lavere gjennomføringsrisiko.
Den foreslåtte løsningen vil etter departementets vurdering bidra til nødvendig forankring i sektoren og bidra til datakvalitet og nødvendig legitimitet når det gjelder personvern og informasjonssikkerhet. Departementet mener at en delt løsning vil kunne skape unødige uklarheter og overlapp med hensyn til oppgaver og ansvar mellom virksomhetene, og særlig kunne skape utfordringer når det gjelder grensene for dataansvaret. Se også omtalen av dataansvaret under punkt 12.5.7. Departementet understreker samtidig at forutsetningen om å organisere tilgangsforvalterfunksjonen som del av en offentlig etat, ikke er til hinder for at oppgaver knyttet til teknisk drift og forvaltning av helseanalyseplattformen med tilhørende systemer kan tjenesteutsettes, forutsatt at det gjennomføres nødvendige risikovurderinger.
Departementet ba høringsinstansene om innspill til spørsmålet om hvilken etat Helsedataservice bør legges til. Mange av høringsinstansene mener at tilgangsforvalterfunksjonen ikke bør legges til et organ som selv er bruker av dataene. Dette begrunnes med hensynet til å sikre integritet, uavhengighet og likebehandling. Det er flest høringsinstanser som peker på Direktoratet for e-helse. En viktig begrunnelse er at direktoratet ikke selv er bruker av data. I tillegg peker flere av disse høringsinstansene på direktoratets erfaring fra Helsedataprogrammet og interimsorganisasjonen for Helsedataservice, og på kompetansen på digitalisering og ansvaret for e-helseutviklingen. Det er imidlertid også noen høringsinstanser som legger større vekt på nærhet til helsetjenesten og på kompetansen på forvaltning av helsedata, og som derfor peker på Helsedirektoratet og Folkehelseinstituttet som aktuelle kandidater. Departementet understreker at dette ikke er en del av lovforslaget, men at innspillene fra høringsinstansene er viktig som grunnlag for forskriftsarbeidet og for vurderingen av hvilken etat som Helsedataservice bør legges til.
Departementet mener i tillegg at det er nødvendig å etablere en styringsstruktur som involverer brukere og fagmiljøer på tvers av de berørte sektorene i arbeidet med å videreutvikle Helsedataservice og helseanalyseplattformen. Bredden i brukere tilsier at det er behov for tverrsektorielle styringsmekanismer. Dette er i tråd med Kunnskapsdepartementets vektlegging av at tjenesten får en organisasjonsform som ivaretar interessene til alle brukere, også de som er utenfor helsesektoren. Kunnskapsdepartementet peker på betydningen av klare, forutsigbare og like vilkår for alle forskningsmiljøer, og at det tilrettelegges for samarbeid mellom disse for å sikre legitimitet og tillit i de ulike forskningsmiljøene.
Kunnskapsdepartementet er opptatt av at styringsmekanismene må sikre at et samlet forskningsmiljø er representert, blant annet tunge forskningsinstitusjoner som universitets- og høgskolesektoren. Unit peker også på viktigheten av at institusjonene i Kunnskapsdepartementets styringslinje, gis en tydelig plass i styringsstrukturen og har like muligheter for påvirkning som aktørene i styringslinjen til Helse- og omsorgsdepartementet. Oslo kommune skriver:
Oslo kommune understreker betydningen av fag- og brukermedvirkning både i den tekniske utviklingen av helseanalyseplattformen og i utviklingen av Helsedataservice som nasjonal løsning for øvrig. Kommunen støtter derfor departementet i at det må etableres en tverrsektoriell organisering for fag- og brukermedvirkning og forventer at kommunesektoren involveres aktivt i denne.
Departementet viser til at det i dag er Helsedataprogrammet med programstyre og referansegruppe som ivaretar behovet for slike tverrsektorielle mekanismer. Departementet viser til at programmet innen utgangen av 2021 skal erstattes av en mer varig struktur. Et områdeutvalg eller tilsvarende vil bli etablert som arena for fag- og brukermedvirkning i den videre utviklingen av løsningen. Dette er en arena som både skal ha representanter fra sentrale aktører i helse- og omsorgssektoren og representanter fra universitets- og høyskolesektoren. Det vil videre være aktuelt å vurdere om Statistisk Sentralbyrå, kommunesektoren, næringslivet, pasient- og brukerorganisasjoner, innbygger og eventuelt andre bør være representert.
I tillegg vil det være behov for fag- og brukermedvirkning i arbeidet med å utvikle Helsedataservice som tilgangsforvalter, utover det som gjelder utvikling av helseanalyseplattformen som en nasjonal e-helseløsning. Helsedataservice skal betjene mange brukergrupper, inkludert forskningsmiljøer, helsetjenestene, kommunene og næringslivsaktører. Det er viktig at utviklingen av tjenestene underlegges en organisering som reflekterer de brukerinteressene som dette innebærer.
Departementet mener derfor at det må etableres en tverrsektoriell organisering for fag- og brukermedvirkning som etter programperioden kan erstatte dagens programorganisering av Helsedataprogrammet. Den tverrsektorielle strukturen er ikke en del av selve lovforslaget, men vil bli vurdert forankret i forskriften.
12.5.6.2 Oppgaver
Departementet foreslår at Helsedataservice får som oppgave å veilede forskere og andre brukere av helseopplysninger, å behandle søknader og tilgjengeliggjøre helsedata, og å forvalte og utvikle tjenestetilbudet på helseanalyseplattformen. Tjenestetilbudet på helseanalyseplattformen omfatter data- og analysetjenester, tjenester knyttet til tilgangsforvaltning og tilgjengeliggjøring, informasjons- og veiledningstjenester og innbyggertjenester. Det er også bred støtte til denne delen av forslaget blant høringsinstansene som har gitt innspill.
Flere høringsinstanser legge vekt på betydningen av innbyggertjenester. Det gjelder for eksempel Sykepleierforbundet, Kreftforeningen, Stavanger kommune og Universitetet i Oslo. Stavanger kommune skriver:
Det kan også være vanskelig for pasienter og brukere å vite hvordan en skal samtykke eller reservere seg mot deling av personopplysninger. Helse- og omsorgsdepartementet bør prioritere å gi pasienter og brukere god informasjon slik at tillitsforholdet mellom pasientene, brukerne og det offentlige opprettholdes.
Pasienter og brukeres adgang til retting og sletting av helseopplysninger må i tillegg vurderes og reguleres i loven. Det bør klart fremgå hvor og hvordan den registrerte skal henvende seg for å få rettet eller slettet data.
Legemiddelindustrien (LMI) legger vekt på behovet næringslivet har for et profesjonelt kontaktpunkt og skriver:
Når det gjelder oppgaver og tjenester mener LMI at informasjon og veiledning bør strekke seg utover innbyggerne, og også inkludere forskningsmiljøer og næringsliv for å fremme utnyttelsen av dataressursene. Det bør også presiseres at i tillegg til å forvalte og utvikle et tjenestetilbud, etableres profesjonalitet i kontaktpunktet med næringslivet som inkluderer kontraktsmessige forhold som IPR [Intellectual Property Rights/immaterielle rettigheter], økonomi, eierskap, (tjeneste)leveranse.
Direktoratet for e-helse mener at Helsedataservice bør ha hjemmel til å utarbeide utvalgte typer statistikk. Sintef er positiv til at det skal kunne søkes om regelmessig tilgang til opplysninger til analyse. Universitetet i Bergen er opptatt av at forskere trenger tilgang til rådata, ikke kun bearbeidede data, for å kunne definere egne variabler. Videre legger universitetet vekt på at plattformen skal ivareta forskernes behov for analysekapasitet og tilgang til et rikt utvalg av oppdaterte statistikkverktøy.
Departementet viser til at dette er hensyn som vil kunne ivaretas innenfor de foreslåtte lovendringene og at oppgavene til Helsedataservice vil bli konkretisert nærmere i forskriftsarbeidet.
12.5.6.3 Kompetansebehov
Departementet legger vekt på at forvaltningsorganet som skal ha ansvaret for helseanalyseplattformen og tilgangsforvalterfunksjonen må ha tilgang til kompetanse på flere områder. Dette omfatter blant annet juridisk kompetanse, IKT-kompetanse og kompetanse på utvikling av større digitaliseringsprosjekter, medisinsk- og helsefaglig kompetanse, registerkompetanse og kunnskap om registrene, kompetanse på forskningsetikk og kompetanse innen forskning og annen bruk av data.
Dette er også bakgrunnen for at flere av høringsinstansene påpeker at det er avgjørende at Helsedataservice får tilført tilstrekkelige ressurser og kompetanse. Registerforvalterne Folkehelseinstituttet, Helsedirektoratet og Kreftregisteret er opptatt av at deres kompetanse må ivaretas og benyttes i tilgangsforvaltningen. Helsedirektoratet uttaler:
Innføring av «ett kontaktpunkt/én postkasse» for brukere av helsedata vil imidlertid ikke endre det faktum at komplekse søknader og utleveringer krever stor arbeidsinnsats i form av saksbehandling og tilrettelegging av data for tilgjengeliggjøring. Mange av oppgavene som saksbehandlere hos registerforvalterne utfører lar seg ikke automatisere, og både utfordringer og ressurs- og tidsbruk forbundet med nødvendige arbeidsprosesser vil bestå også dersom Helsedataservice får anledning til å etablere helseanalyseplattformen som et nytt helseregister med kopier av opplysninger fra andre registre. Tilstrekkelige saksbehandlingsressurser hos de ulike aktørene er med andre ord en absolutt forutsetning både for at systemene som er etablert og systemene som nå foreslås etablert kan fungere.
Kreftregisteret mener at det er urealistisk at Helsedataservice skal kunne bygge opp og tilby adekvat oppdatert fagkompetanse om detaljer i alle datakildene og skriver:
Dette er spesielt krevende ettersom helseregistrene er i kontinuerlig utvikling i tråd med medisinske fremskritt, samtidig som gjensidig og tett dialog med fagmiljøene er vesentlig for å kunne ha god og oppdatert registerkompetanse. Helsedataservice vil derfor fortløpende ha behov for faglig bistand fra registerforvalter, for å kunne tilby et minimum av nødvendig og oppdatert kompetanse, også utover selve etableringsfasen. Samtidig vil en rekke fagmiljøer også fremover ha behov for tett dialog med registerforvalter og fagekspertise i helseregistrene. Det er viktig at Helsedataservice ikke legger unødvendige hindre i veien for dette.
Både Helsedirektoratet og Folkehelseinstituttet legger vekt på at arbeidet med å etablere helseanalyseplattformen krever betydelige ressurser av registrene. Folkehelseinstituttet minner om at en stegvis tilnærming betyr at ansvaret for mange av oppgavene som overføres, vil foregå i de virksomhetene som forvalter registrene i lang tid framover. Helsedirektoratet uttaler også at tilrettelegging og utlevering av kopier til helseanalyseplattformen sannsynligvis vil bli en vedvarende oppgave som vil legge beslag på betydelige ressurser hos registerforvalterne. Det er også andre høringsinstanser som er opptatt av at registerforvalterne må sikres tilstrekkelige ressurser. Det helsevitenskapelige fakultet ved UiT Norges arktiske universitet viser til at de lokale forvaltningsorganisasjonene ivaretar omfattende oppgaver og har erfaring og kompetanse som ikke må gå tapt når det opprettes en nasjonal forvaltningsfunksjon.
Departementet viser til at deler av kompetansen og ressursene til registerforvalterne vil måtte overføres til Helsedataservice etter hvert som oppgaver overføres. Samtidig er det viktig å understreke at samarbeidet med registerforvalterne er avgjørende for at Helsedataservice skal lykkes. I dag ivaretas dette gjennom Helsedataprogrammet og det samarbeidet som er etablert mellom Direktoratet for e-helse og registerforvalterne i tilknytning til programmet. Når Helsedataprogrammet avsluttes vil det være behov for å etablere andre former for formalisert samarbeid mellom Helsedataservice og registerforvalterne.
Departementet vil legge vekt på å sikre Helsedataservice kompetanse og ressurser som er nødvendig for å ivareta oppgavene. Høringssvarene og erfaringene fra interimsorganisasjonen vil inngå som en viktig del av grunnlagsmaterialet både for det videre arbeidet med å utarbeide forskrifter etter den nye helseregisterloven § 20, og for arbeidet med å etablere en mer permanent organisering.
12.5.7 Dataansvaret
Forvaltningsorganet som Helsedataservice skal legges til skal ha dataansvaret for all behandling av helseopplysninger og andre personopplysninger som inngår i løsningen. Siden Helsedataservice ikke vil være en egen virksomhet i juridisk forstand, kan Helsedataservice ikke formelt være dataansvarlig. En annen sak er at oppgavene vil bli delegert til Helsedataservice internt i den dataansvarlige virksomheten.
Det er den dataansvarlige som har ansvaret for personvernet. Den dataansvarlige vil dermed ha plikt til blant annet å vurdere personvernkonsekvenser, identifisere risikoreduserende tiltak og sørge for informasjonssikkerhet, internkontroll og innsyn for de registrerte. Se punkt 4.10 om dataansvar.
Dataansvaret er ikke i veien for at drift av den tekniske løsningen settes ut til andre, inkludert private virksomheter, se punkt 4.11 om databehandlere. Det er ingen begrensninger med hensyn til hvor mange, hvor store og hva slags oppgaver som kan overføres til en databehandler. Men siden det vil være tale om en meget omfattende avtale, foreslår departementet at denne muligheten presiseres i loven. Departementet legger til grunn at dette vil bli lagt ut til Norsk Helsenett SF eller en annen nasjonal tjenesteleverandør på grunnlag av en databehandleravtale. Leverandøren vil bare kunne behandle opplysningene i samsvar med instruks fra den dataansvarlige. Leverandøren vil i samsvar med personvernforordningen få ansvar for sin egen behandling av opplysningene, og skal blant annet sørge for informasjonssikkerheten ved sin behandling av opplysningene. Ansvaret vil uansett fremdeles ligge hos det forvaltningsorganet som Helsedataservice er lagt til, som må kontrollere at databehandleren utfører oppgavene i samsvar med databehandleravtalen og vil også ha et ansvar dersom noe galt skjer.
Dataansvaret gjelder Helsedataservice sin egen behandling av opplysninger på plattformen. Vi viser til at dataansvaret er knyttet til behandlingen av opplysningene. Registerforvalterne vil derfor ikke ha noe ansvar for Helsedataservice sin behandling av de samme opplysningene. Se punkt 12.5.11. Forskeren/brukeren vil være dataansvarlig for sin egen bruk av opplysningene på plattformen, både for analysene som gjennomføres og for eventuelle uttrekk og analyseresultater som inneholder indirekte identifiserbare helseopplysninger.
I høringen kom det inn mange innspill om de ulike aktørenes roller, oppgaver og ansvar, og grenseoppgangen mellom dem, særlig mellom Helsedataservice, Helsenett SF og registerforvalterne. Dette vil bli vurdert og regulert nærmere i forbindelse med forskriftsarbeidet.
12.5.8 Hvilke opplysninger som skal legges på helseanalyseplattformen
Departementet foreslår at forskriftshjemmelen skal gi rom for en fremtidig løsning der plattformen kan omfatte opplysninger fra alle typer helseregistre etter helseregisterloven, jf. definisjonen i § 2 bokstav c.
Dette omfatter Norsk pasientregister, Kommunalt pasient- og brukerregister, det nye legemiddelregisteret og andre lovbestemte registre. Det kan også være medisinske kvalitetsregistre basert på samtykke eller reservasjonsrett. En annen type register er befolkningsbaserte helseundersøkelser.
Demografiske og sosioøkonomiske personopplysninger i Folkeregisteret og andre offentlige registre skal også kunne inngå i løsningen.
Helsedirektoratet uttaler i høringen at løsningen også bør omfatte andre opplysninger og registre, og nevner som eksempel fastlegeregisteret som en aktuell kilde til sammenstilling. Departementet mener at løsningen, i hvert fall foreløpig, bør begrenses til opplysninger og registre som reguleres av helseregisterloven. Det vises til at formålet med løsningen er mer effektiv tilgjengeliggjøring og økt bruk av helsedata innenfor rammene av helseregisterloven. Dette betyr ikke at helseopplysninger ikke vil kunne sammenstilles med andre opplysninger. Som nevnt i punkt 12.4.1 skal det for eksempel bli mulig for en forsker å ta med egne data og analyseverktøy inn i analyserommet og koble med registerdata.
Det er en forutsetning for at helseopplysninger fra registre basert på samtykke eller reservasjonsrett skal kunne overføres og viderebehandles på helseanalyseplattformen, at det utvikles sentrale løsninger som gir mulighet for å trekke samtykket eller å reservere seg, og at kopiene på plattformen er oppdaterte og gjenspeiler samtykke eller reservasjoner. Se punkt 12.5.4.
At lovens forskriftshjemmel åpner for at alle helseregistre kan legges på plattformen, betyr ikke at løsningen må bli så omfattende. Det skal fastsettes nærmere i forskrifter hvilke konkrete helseregistre og eventuelt andre registre som skal tilgjengeliggjøres fra plattformen (se punkt 12.6 om forskriftshjemmelen). Det vises til at løsningen skal utvides skrittvis. I første omgang vil plattformen omfatte opplysninger fra lovbestemte helseregistre og enkelte nasjonale medisinske kvalitetsregistre. Plattformen skal utvides med flere opplysninger etter hvert som de tekniske løsningene utvikles og registrene er i stand til å avlevere data. Det må gjøre konkrete vurderinger av hvert aktuelt register og hvilke opplysninger derfra som skal inkluderes. Enhver utvidelse forutsetter at det gjøres grundige vurderinger av personvernkonsekvensene. Utvidelsene vil kreve forskriftsendringer, som må sendes på høring på vanlig måte.
En eventuell utvidelse av den tekniske løsningen til å omfatte også opplysninger fra pasientjournaler er ikke mulig i dag, og ligger i tilfelle langt frem i tid og vil kreve nytt lovvedtak. Helsedataservice skal imidlertid få myndighet til å gi dispensasjon fra taushetsplikten også for opplysninger i pasientjournaler (se punkt 11.4.6). Det skal også bli mulig for forskere å ta med egne data, for eksempel fra pasientjournaler, inn i analyserommet og koble med registerdata (se punkt 12.5.9.2). Dersom opplysninger fra et helseregister legges på plattformen, skal registerforvalteren få plikt til å overføre opplysningene (se punkt 12.5.11).
Departementet presiserer at plattformen ikke skal omfatte humant biologisk materiale, for eksempel fra befolkningsbaserte helseundersøkelser. Utlevering av biologisk materiale og tillatelse til å bruke materialet i forskning, må besluttes etter reglene i helseforskningsloven, forskningsbiobankloven mv. Departementet foreslår ingen endringer i dette.
12.5.9 Tilgangsforvaltning
Departementet viser til forslaget i punkt 11.4.3 om at flest mulig av beslutningene knyttet til tilgjengeliggjøring skal tas av Helsedataservice. Etablering av Helsedataservice som en nasjonal tilgangsforvalterfunksjon endrer dagens ansvars- og oppgavedeling. Målet er en brukerorientert tjeneste som skal bidra til økt bruk av helsedata.
Departementet foreslår at Helsedataservice skal få myndighet til gi dispensasjon fra taushetsplikten og til å behandle søknader om tilgjengeliggjøring og sammenstilling av helseopplysninger fra helseregistre. Forslaget innebærer en sentralisering av beslutninger som i dag er spredt på de enkelte registerforvalterne, Helsedirektoratet og REK. Departementet foreslår at det lovfestes en hjemmel til å gi forskrifter om dette.
Departementet viser til at forslaget om sentralisering av beslutningene får støtte av mange av høringsinstansene.
Forskningsrådet uttaler at Helsedataservice
må bli inngangsporten for søkere som ber om tilgang til koblede data fra flere kilder og for søkere som kun trenger data fra én kilde. På denne måten kan man få den nødvendige oversikten og helheten til å utvikle den beste løsningen for alle.
Kreftregisteret mener at Helsedataservice
vil kunne ta gode avgjørelser om hvilke data som skal gjøres tilgjengelig ved sammenstillinger av data, så fremt Helsedataservice innhenter råd fra registerforvalter i forkant i tvilstilfeller.
Datatilsynet støtter derimot ikke dette forslaget, men mener at dispensasjonsmyndigheten og helseanalyseplattformen ikke bør legges til samme organ. Tilsynet
er kritiske til at så mange oppgaver og så stor beslutningsmyndighet samles på et sted som forslaget legger opp til. Når Helsedataservice i tillegg er tenkt underlagt Helse- og omsorgsdepartementet og organisert under organer som selv er brukere av Helseanalyseplattformen, mener vi at det er uheldig å også legge dispensasjonsmyndigheten til denne tjenesten. Vi mener en slik løsning vil kunne være egnet til å skape tvil om objektivitet og habilitet.
(…)
Helsedataservice skal ha flere oppgaver, dels rettet mot forvaltningen av helsedataservice og den andre delen innebærer at de får myndighet til å gi vedtak om dispensasjon fra taushetsplikt for sekundærbruk av helsedata. Det vil i den sammenheng være viktig å skille rollene fra hverandre, og det er viktig å sikre at deres beslutninger er objektive.
Helsedirektoratet er i utgangspunktet enig i at det kan fremstå som unødvendig at samme eller tilnærmet like vurderingstemaer vurderes av flere aktører. Direktoratet mener likevel at «involvering av flere aktører kan ha en verdi, og har sett at slik involvering har bidratt til at enkeltsaker har fått korrekt utfall».
Departementet mener at gjennom styring av Helsedataservice og den kompetanse organet skal ha, vil det kunne sikres objektivitet og kvalitet i tilgangsforvaltningen. Sentralisering av beslutningsmyndigheten vil også legge til rette for en samlet oversikt over hvilke data som utleveres til hvem. Helsedataservice sine vurderinger av om vilkårene er oppfylt, inkludert forholdene på mottakerens hånd, kan utgjøre en ordning som sikrer plikten til å ha nødvendige garantier ved sekundærbruk av data, jf. personvernforordningen artikkel 89.
Flere høringsinstanser er bekymret for om Helsedataservice vil få god nok kunnskap om dataene, slik som registerforvalterne har i dag. Departementet vil bemerke at det vil være et premiss ved organiseringen og saksbehandlingen i Helsedataservice at registerforvalternes kompetanse trekkes inn (se punkt 12.5.6.3).
12.5.9.1 Vurdere om vilkårene for tilgjengeliggjøring er oppfylt
Helsedataservice skal etter forslaget vurdere søknader og beslutte om helseopplysningene skal tilgjengeliggjøres. Først og fremst må Helsedataservice vurdere om vilkårene for tilgjengeliggjøring og sammenstilling etter helseregisterloven § 19 a og § 19 c er oppfylt. Departementet presiserer at forslaget ikke innebærer noen utvidelse av adgangen til tilgjengeliggjøring og sammenstilling. De materielle vilkårene skal være de samme som ved tilgjengeliggjøring direkte fra registerforvalterne.
Det kan eventuelt etableres en løsning der Helsedataservice autoriserer institusjoner basert blant annet på informasjonssikkerheten i virksomheten slik at saksbehandlingen i enkeltsaker kan forenkles (se om autorisasjonsordningen i punkt 11.4.5.7 om informasjonssikkerhet.
Dersom det er tale om medisinsk og helsefaglig forskning, må mottakeren ha REKs forhåndsgodkjenning. I disse tilfellene kan det være hensiktsmessig å organisere saksbehandlingen slik at Helsedataservice videresender søknaden til REK for en forskningsetisk vurdering, slik at søkeren bare trenger å sende én søknad og bare må forholde seg til én aktør. Se punkt 11.4.8.3 om REKs forhåndsgodkjenning.
Videre må Helsedataservice vurdere om det er nødvendig med unntak eller dispensasjon fra taushetsplikten og i tilfelle fatte vedtak om dette (se punkt 12.5.9.2).
Departementet legger til grunn at mange av søknadene vil innebære relativt enkle og kurante vurderinger. Enkelte søknader vil imidlertid være mer krevende. Dette gjelder særlig der det søkes om tilgjengeliggjøring av store mengder data som skal sammenstilles fra flere registre. I slike tilfeller vil det være hensiktsmessig at Helsedataservice rådfører seg med de aktuelle registerforvalterne. Helsedataservice vil også kunne rådføre seg med Datatilsynet i store og kompliserte saker med høy personvernrisiko.
Dersom vilkårene er oppfylt skal Helsedataservice tilgjengeliggjøre opplysningene. Helsedataservice bestemmer hvordan opplysningene skal tilgjengeliggjøres (måten). Dersom Helsedataservice også har myndighet til å fatte vedtak om tilgjengeliggjøring av opplysninger som ikke ligger på plattformen, men som skal utleveres direkte fra registrene, vil registerforvalteren få plikt til å utlevere i samsvar med vedtaket.
12.5.9.2 Dispensasjon fra taushetsplikten
Departementet foreslår at myndigheten til å gi dispensasjon fra taushetsplikten for helseopplysninger overføres fra Helsedirektoratet og REK til Helsedataservice.
Forslaget innebærer en forenkling ved at beslutningene om tilgjengeliggjøring og dispensasjon etter helsepersonelloven kan koordineres, samt at tilgjengeliggjøringen vil involvere færre aktører og færre søknader. Etter gjeldende regler må den som skal behandle helseopplysninger, i tillegg til å søke om forhåndsgodkjenning eller konsesjon, også søke Helsedirektoratet eller REK om dispensasjon fra taushetsplikten (se punkt 11.1.3).
Departementet viser til at Helsedatautvalget foreslo at myndigheten til å gi dispensasjon fra taushetsplikten samles og overføres til tilgangsforvalteren.
Dette forslaget får støtte fra flere av høringsinstansene (Helsedirektoratet, Senter for klinisk dokumentasjon og evaluering (SKDE), Kreftregisteret, Helse Midt Norge RHF, St Olavs Hospital HF, Norges teknisk-naturvitenskapelige universitet (NTNU), NSD mfl). SKDE mener dette er et av de viktigste tiltakene for å nå målsettingen om å effektivisere søknadsprosessen og hindre ulik tolkning av samme regulering. Helse Midt-Norge RHF uttaler at det «er positivt at det legges til rette for at Helsedataservice i denne sammenheng overtar rollen til den regionale komiteen for medisinsk og helsefaglig forskning, da dette vil forenkle søknadsprosessen.»
Datatilsynet anbefaler derimot at myndigheten til å gi dispensasjon fra taushetsplikt etter helseregisterloven legges til et organ som er uavhengig av Helsedataservice og oppgaver knyttet til forvaltningen av helseanalyseplattformen. Den nasjonale forskningsetiske komité for medisin og helsefag og de regionale komiteer for medisinsk og helsefaglig forskningsetikk (NEM og REK) og Finnmarkssykehuset HF er uenige i at dispensasjon fra taushetsplikten ikke lenger skal kunne vurderes av REK. De viser til at en slik endring vil føre til at forskere med andre forskningsprosjekter, som ikke er knyttet til registerdata, må søke to instanser. Dette kan ifølge disse høringsinstansene bidra til økt byråkrati og potensiell motstrid mellom vurderinger fra REK og Helsedataservice. Universitetet i Oslo
anbefaler at man tar en ytterligere vurdering av om det er hensiktsmessig at den enheten som får servicefunksjonen overfor forskere parallelt skal få i oppgave å gi en forskningsetisk vurdering som må ligge til grunn for å gi dispensasjon for taushetsplikten.
Departementet foreslår at dispensasjonsmyndigheten skal gjelde opplysninger fra alle helseregistre, ikke bare fra de registrene som inkluderes i helseanalyseplattformen. Helsedataservice skal etter forslaget kunne gi dispensasjon for opplysninger både fra pasientjournaler og fra andre helseregistre, jf. forslaget til ny helseregisterlov § 19 e og helsepersonellov § 29. Dette tilsvarer den myndigheten Helsedirektoratet og REK har i dag. Helse- og omsorgsdepartementets myndighet etter forvaltningsloven § 13 d skal etter forslaget også overføres.
Forslaget innebærer at dispensasjonsmyndigheten overføres til den etaten som får ansvar for Helsedataservice. Departementet foreslår at delegasjon av dispensasjonsmyndigheten reguleres i forskrift. Forslag om forskrift med nærmere regler om rekkevidden av dispensasjonsmyndigheten vil bli sendt på egen høring.
Andre organer kan også gi dispensasjon etter andre regler. For eksempel skal søknader om dispensasjon fra taushetsplikten etter barnevernloven, adopsjonsloven, familievernloven eller ekteskapsloven sendes til Barne- ungdoms- og familiedirektoratet. Departementet foreslår ingen endringer i dette.
12.5.9.3 Hvilke opplysninger
Et annet spørsmål er hvilke opplysninger og registre Helsedataservice sin tilgangsforvaltning skal omfatte. Departementet foreslår at forskriftshjemmelen skal gi rom for en fremtidig løsning der Helsedataservice kan beslutte tilgjengeliggjøring av opplysninger fra alle typer helseregistre.
Tilgangsforvalterfunksjonen skal først og fremst gjelde opplysninger fra registre som er lagt inn på helseanalyseplattformen. Departementet legger opp til en skrittvis utvikling av plattformen, der en begynner med enkelte lovbestemte helseregistre og deretter utvider med flere registre etter som de tekniske og organisatoriske løsningene utvikles.
Direktoratet for e-helse mener at Helsedataservice også bør få vedtaksmyndighet for å kunne fatte vedtak om tilgjengeliggjøring av data som ikke ligger fysisk på helseanalyseplattformen:
Som et ledd i å etablere Helseanalyseplattformen jobbes det for å kopiere dataprodukter bestående av de mest brukte og relevante kvalitetssikrede registervariablene over på Helseanalyseplattformen. Det vil ikke være hensiktsmessig å flytte all data fra dagens registre til Helseanalyseplattformen. Fra et personvern- og sikkerhetsperspektiv er det også ønskelig å begrense datamengden på plattformen til det som er relevant og nødvendig. Dette innebærer at en betydelig andel av de innsamlede opplysningene fortsatt vil ligge distribuert i dagens registre. For å kunne sikre effektiv tilgang til helsedata bør Helsedataservice likevel ha adgang til å gjøre den juridiske saksbehandlingen ved søknader om tilgang til helsedata selv om opplysningene ikke ligger fysisk på Helseanalyseplattformen. Dette innebærer at Helsedataservice bør få vedtaksmyndighet til å tilgjengeliggjøre data som helseregistrene er dataansvarlig for.
Departementet er enig i at Helsedataservice også bør kunne få myndighet til å ta beslutninger om opplysninger som ikke ligger på plattformen. Det presiseres at tilgangsforvalterfunksjonen og helseanalyseplattformen ikke nødvendigvis må ha samme anvendelsesområde. Departementet foreslår at Helsedataservice også skal få myndighet til å gi dispensasjon fra taushetsplikten for helseopplysninger (se punkt 12.5.9.2). Dette betyr at Helsedataservice vil behandle søknader om dispensasjon fra taushetsplikten også når det gjelder registre som ikke ligger på plattformen. Dette vil være en videreføring av det Helsedirektoratet og REK har myndighet til etter gjeldende regler.
Det bør også vurderes om Helsedataservice skal kunne ta beslutninger om tilgjengeliggjøring i andre tilfeller, for eksempel dersom opplysninger fra et register skal sammenstilles med opplysninger som ligger på plattformen, eventuelt i alle tilfeller der opplysninger fra ulike registre skal sammenstilles.
Forutsetningen i slike tilfeller må være at registerforvalteren blir bundet av Helsedataservice sitt vedtak, dvs. at registerforvalteren vil få plikt til å tilgjengeliggjøre opplysningene i samsvar med Helsedataservice sitt vedtak. Registerforvalteren vil da ha rettslig grunnlag for tilgjengeliggjøringen og skal ikke ha ansvar for eventuelle feil ved vedtaket eller konsekvenser av tilgjengeliggjøring som har skjedd i samsvar med vedtaket.
Departementet foreslår på denne bakgrunn at den nye helseregisterloven § 20 skal gi hjemmel til å fastsette forskrifter som gir Helsedataservice myndighet til å ta beslutninger om tilgjengeliggjøring også for opplysninger som ikke ligger på plattformen eller som det søkes om dispensasjon for. Departementet vil vurdere nærmere i forskriftsarbeidet hvilke opplysninger Helsedataservice sin myndighet skal omfatte. Departementet legger til grunn at Helsedataservice sitt ansvarsområde vil utvides etter hvert, innenfor rammene av forskriftshjemmelen.
12.5.9.4 Mottakerne av opplysninger. Private aktører
Et særlig spørsmål er om tilgjengeliggjøringen og andre tjenester som tilbys av Helsedataservice bør kunne brukes av private aktører og i tilfelle på hvilke vilkår.
Departementet foreslo i høringsnotatet at alle tjenestene bør kunne benyttes også av private aktører og på samme vilkår som offentlige aktører. Det er delte meninger blant høringsinstansene om dette.
Det er flere sentrale høringsinstanser som legger vekt på den positive betydningen av at også private og eventuelt kommersielle aktører får tilgang til helsedata. Folkehelseinstituttet viser til at sekundærbruk av helsedata i økende grad er viktig både i legemiddelutvikling, for å utvikle fremtidens helse- og omsorgstjenester og for å bidra til innovasjon og næringsutvikling. Forskningsrådet synes det er meget positivt dersom også næringsaktører skal kunne få tilgang til helsedata og kunne søke om helsedata på samme vilkår som offentlige aktører. Direktoratet for e-helse mener at det har vært en utbredt praksis at helsedata ikke kan benyttes av kommersielle aktører. Direktoratet er derfor positive til at departementet i høringsnotatet kommer med eksempler på formål der også næringslivsaktører kan benytte helsedata til å utvikle produkter og tjenester såfremt det ikke svekker individets personvern eller kontroll over egne helsedata. Forskningsinstituttenes Fellesarena (FFA) mener at likebehandling av private og offentlige søkere er viktig for at løsningen skal gi de forventede effektene i forskning, helsetjenesteutvikling og næringsutvikling. Tekna er positive til at også næringsliv, innovatører og andre private aktører skal kunne søke om helsedata på samme vilkår som offentlige aktører. Novartis finner det positivt at høringen understreker verdipotensialet som ligger i norske helsedata for både helsevesen, næringsliv og samfunn.
Det er imidlertid flere av høringsinstansene som har merknader til departementets forslag om at offentlige og private kommersielle aktører skal likebehandles når det gjelder betalingen for tilgang til helsedata og andre tjenester på helseanalyseplattformen. Se nærmere i punkt 12.5.12.
Private aktører innen næringsliv, innovasjon mv. bør etter departementets vurdering kunne søke om tilgang til helsedata på samme vilkår som offentlige aktører. Det er et mål at helsedata i større grad enn i dag skal gjøres tilgjengelige for aktører innen næringsliv, innovasjon mv. Dersom vilkårene for tilgjengeliggjøring og eventuelt sammenstilling er oppfylt skal de ha rett til å få opplysningene. Det følger av dette at de bare vil få opplysninger dersom de skal brukes til et formål som faller innenfor det enkelte registerets formål. Ikke bare forskningsinstitusjoner og offentlige virksomheter, men også private virksomheter, skal kunne benytte helsedataene i tråd med registrenes formål.
Dersom dataene skal brukes kommersielt «som sådan», for eksempel til å lage reklame, medieoppslag eller forsikringstjenester, vil Helsedataservice derimot ikke kunne gi ut opplysningene fordi dette faller utenfor formålet for helseregistrene.
En annen sak er det om for eksempel et legemiddelfirma ønsker å bruke dataene til å forske for å utvikle nye legemidler. Dette vil være innenfor formålet. Det at firmaet også vil tjene penger på eventuelle nye legemidler som utvikles, er ikke i veien for at firmaet får tilgang til opplysningene. Det samme gjelder for eksempel private aktører som gjennomfører konsulentoppdrag på vegne av myndigheter og helsetjenesten. Det at virksomheten også har et kommersielt formål og vil ha en økonomisk gevinst av analyseresultatene, skal altså ikke være noe hinder.
Departementet er enig i at hensynet til fellesskapet er viktig. Slike forhold vil uansett inngå i vurderingen av prosjektets samfunnsnytte etter reglene om dispensasjon fra taushetsplikten og i REKs forskningsetiske vurdering. Departementet foreslår også at det i forskrift skal kunne settes krav om publisering eller retur av analyseresultater (se punkt 12.5.12).
12.5.9.5 Tilgang i et sikkert og lukket analyserom
Løsningen innebærer at tilgjengeliggjøring av helseopplysninger på helseanalyseplattformen kan skje i sikre analyserom. Slike analyserom skal gi forskere og andre brukere direkte adgang til opplysninger på egen pc, analyseverktøy og mulighet for å koble og kombinere data fra ulike registre på individnivå.
Et sentralt prinsipp er at brukeren ikke skal kunne ta ut sensitive opplysninger fra rommet og laste dem ned. Det skal bare være mulig å hente ut analyseresultatene. Alle slike datauttrekk fra analyserommet vil loggføres for å kunne kontrollere at brukerne håndterer datamaterialet i tråd med godkjent tilgang. Denne løsningen vil bety mindre deling av personidentifiserende opplysninger enn dagens utleveringer.
Departementet foreslår at det ikke reguleres hvordan opplysningene skal tilgjengeliggjøres. Prinsippet om dataminiminering i personvernforordningen artikkel 5 nr. 1 bokstav c, jf. lovforslaget til helseregisterloven § 19 a, krever imidlertid at graden av personidentifiserbarhet skal være minst mulig. Dette betyr at opplysninger skal tilgjengeliggjøres fra plattformen i slike sikre analyserom, såfremt dette vil være forenlig med mottakerens formål. Unntaksvis kan det være tilfeller der mottakeren trenger personidentifiserende data og ikke vil kunne oppnå formålet med behandlingen dersom opplysningene tilgjengeliggjøres i analyserommet på plattformen. Det bør derfor være en åpning for å utlevere personidentifiserende opplysninger fra plattformen i særlige tilfeller, se forslaget til ny helseregisterlov § 19 a andre ledd som åpner for tilgjengeliggjøring av opplysninger med direkte personidentifiserende kjennetegn i særlige tilfeller.
12.5.9.6 Kohortutforskning og andre sammenstillinger for tilgjengeliggjøring av anonyme opplysninger
Departementet foreslår at Helsedataservice skal utarbeide og utlevere statistikk etter søknad med hjemmel i den nye helseregisterloven § 19. Helsedataservice vil som dataansvarlig ha adgang til å gjøre de sammenstillingene med opplysninger i andre registre som er nødvendige for å utarbeide og tilgjengeliggjøre statistikk og andre anonyme opplysninger (se 11.4.11).
På helseanalyseplattformen kan det etableres en kohortutforsker som en åpen løsning der forskere og andre sluttbrukere kan komme frem til en kohort/ utvalg ved å filtrere på reelle helsedata gjennom definerte kriterier. Lovforslaget vil gi hjemmel for å gjøre de sammenstillingene som er nødvendige for å finne frem til utvalget.
Videre må tjenesten utformes slik at resultatet av sammenstillingene og opplysningene forskerne får ut er anonyme. Dette vil bidra til at enkelte typer analyser som i dag krever utlevering eller tilgang til indirekte identifiserbare opplysninger heller kan utføres som anonyme analyser uten utlevering. Det er ofte behov for kobling av data mellom registre som gjør at personopplysninger må utleveres til forsker, men dersom koblingen og analysen gjøres maskinelt i helseanalyseplattformen, reduseres dette behovet.
Det må også vurderes nærmere hvordan det kan sikres at statistikkproduksjonen avgrenses til formål som faller innenfor de respektive registerforskriftenes formål, jf. forslaget til helseregisterlov § 19.
12.5.10 Klage
Departementet har vurdert om det skal være adgang til å klage på beslutningene til Helsedataservice om tilgjengeliggjøring av opplysninger fra helseregistrene.
Dersom det er tale om et enkeltvedtak etter forvaltningsloven § 2 bokstav b skal det i utgangspunktet være klageadgang. Klageorganet vil etter forvaltningslovens regler være departementet. Dersom det skal være et annet klageorgan eller klageadgangen skal avskjæres, kreves det lov- eller forskriftsvedtak.
Ingen av høringsinstansene gikk imot departementets forslag om et eksternt klageorgan. Forskningsrådet uttaler at det må «etableres et eksternt sammensatt klageorgan da avslag på tilgang til data, forsinket utlevering og andre begrensninger vil få konsekvenser for hvilken kunnskap som kan genereres og for tilliten i befolkningen.»
Departementet mener at det uansett bør være klageadgang på Helsedataservice sine beslutninger. Muligheten for en to-instansbehandling kan sikre kvaliteten på beslutningene. En beslutning om tilgjengeliggjøring kan få avgjørende konsekvenser for mulighetene til å gjennomføre et prosjekt. En søker kan ha behov for å få overprøvet et avslag eller fastsatte vilkår, for eksempel spørsmålet om hvilke opplysninger mottakeren skal få tilgang til eller om fastsatte vilkår er uforholdsmessig tyngende.
Her kan det vises til at i forarbeidene til statistikkloven legger Finansdepartementet til grunn at avslag på søknad om tilgang til opplysninger kan påklages i medhold av forvaltningsloven. Siden klageadgangen allerede følger av forvaltningsloven anses det ikke hensiktsmessig å lovfeste klageadgangen. Finansdepartementet vil være klageinstans (Prop. 75 LS (2018–2019) punkt 6.2.4.5).
Det kan også vises til at i Finland har søkerne klageadgang på vedtak fra Tillståndsmyndigheten (Findata). De har rett til en ny vurdering som eventuelt kan påklages til Forvaltningsdomstolen. Når det gjelder det danske Forskerservice, har søkeren rett til å kreve ny vurdering og eventuelt klage til departementet.
Departementet legger til grunn at Helsedataservice sine vedtak om tilgjengeliggjøring vil kunne påklages til departementet etter alminnelige forvaltningsregler. Departementet vil kunne delegere denne myndigheten til et underliggende organ.
Departementet mener at klager på avgjørelser fra Helsedataservice ikke bør behandles av departementet. Departementet vil kunne delegere denne myndigheten til et underliggende organ, for eksempel Nasjonalt klageorgan for helsetjenesten (Helseklage). Helseklage er et statlig forvaltningsorgan underlagt Helse- og omsorgsdepartementet, som i dag behandler klager på vedtak fra en rekke ulike områder og spørsmål innenfor helse- og omsorgstjenesten.
Departementet vil komme tilbake til spørsmålet om en eventuell delegering av myndighet til å avgjøre klager, i forbindelse med arbeidet med forskriften etter den nye helseregisterloven § 20.
Det vil ikke være aktuelt å legge overprøving av REKs vurderinger av etiske spørsmål og eventuelle klager over vedtak fattet av registerforvaltere, til dette klageorganet. Klager på REKs vedtak skal følge gjeldende regler i helseforskningsloven § 10 tredje ledd.
12.5.11 Registerforvalternes rolle og ansvar
Departementet viser til at flere høringsinstanser etterlyser nærmere avklaringer av fordelingen av oppgaver og ansvar mellom registerforvalterne og Helsedataservice. Departementet angir her hovedtrekkene, men viser til at ansvar og oppgaver vil bli nærmere avklart og regulert i forbindelse med forskriften som skal regulere løsningen.
Departementet legger til grunn at de dataansvarlige for helseregistrene som inngår i den nye løsningen, fremdeles skal ivareta sentrale oppgaver knyttet til registrene. Helseregistrene skal motta, samle inn og kvalitetssikre opplysningene. Fagmiljøet og kompetansen i registrene er avgjørende for forvaltning av registrene og for datakvaliteten. Det er viktig at denne kompetansen bevares og brukes. Dette fremheves av flere høringsinstanser, blant annet Helsedirektoratet som uttaler følgende:
Per i dag er det i praksis slik at de siste og avgjørende vurderingene når det gjelder f. eks. spørsmålet om dataminimering gjøres av medarbeidere hos registerforvalterne som har som oppgave å tilrettelegge opplysninger for tilgjengeliggjøring. Dette skjer ofte etter omfattende dialog med søker og etter at vedtak om tilgjengeliggjøring av registerdata er fattet. Det er vår erfaring at spørsmålet om dataminimering (ofte formulert som et spørsmål om relevans og nødvendighet) vanskelig kan vurderes av personer uten inngående kjennskap til de aktuelle opplysningene. Det er derfor et viktig at regelverket legger til rette for at vurderinger knyttet til dataminimering gjøres av en etat/virksomhet med nødvendig kjennskap til dataene.
Departementet legger også til grunn at Helsedataservice skal rådføre seg med registerforvalteren i tilknytning til søknader som innebærer krevende vurderinger som forutsetter gode kunnskaper om opplysningene i registeret. Dette gjelder særlig der det søkes om tilgjengeliggjøring av store mengder data som skal sammenstilles fra flere registre.
Registerforvalterne vil få en rett og plikt til å overføre kvalitetssikrede opplysninger til helseanalyseplattformen. Denne plikten vil bli regulert i forskriften. Registerforvalteren vil ikke få dataansvar for behandlingen av opplysningene når de er overført. Dette ansvaret går ved overføringen over på forvaltningsorganet som Helsedataservice er lagt til, som vil bli dataansvarlig alene for lagring, tilgjengeliggjøring og annen behandling på helseanalyseplattformen (se punkt 12.5.7).
Departementet mener at registerforvalterne ikke bør kunne utlevere de samme opplysningene og til samme formål som Helsedataservice. Slike «parallellutleveringer» kan føre til at en mister kontroll over hva som blir levert ut og hva den enkelte bruker av helsedata har tilgang til, noe som kan gi en større risiko for bakveisidentifisering. Det kan også føre ulik praksis med hensyn til tilgjengeliggjøring, i strid med et av formålene med løsningen. Søkere som får avslag på en søknad, ville i tilfelle kunne sende ny søknad om det samme. Eller søkere ville kunne velge hvor de vil søke ut fra en oppfatning om hvordan søknadene blir håndtert.
Virksomhetene som har ansvaret for registrene vil imidlertid kunne ha behov for å bruke opplysninger til å utarbeide statistikk, og til analyser for å kunne utføre sine oppgaver knyttet til styring, beredskap, kvalitetsforbedring av tjenester osv. Registerforvaltere som har slike oppgaver skal fortsatt kunne bruke opplysningene for å ivareta disse oppgavene, så langt de har rettslig grunnlag for det, men uten at de trenger å søke Helsedataservice. Registerforvalterne skal fortsatt ha tilgang til egne data for analyse, statistikkproduksjon og kvalitetssikring i henhold til lov- og forskriftsfestet formål med registeret og etatenes samfunnsoppdrag. Et eksempel er Helsedirektoratets løpende styringsinformasjon som underlag til finansiering, pakkeforløp, ventetid osv. Andre eksempler er Kreftregisterets løpende analyser for screeningprogrammene og Folkehelseinstituttets behov for data til overvåking på smittevernområdet.
Helsedataservice skal likevel være det sentrale kontaktpunktet når registerforvaltere trenger tilgang til datasett til analyse og statistikk fra andre kilder enn de registrene de forvalter. Registerforvalterne vil også måtte søke Helsedataservice og eventuelt REK på samme måte som andre, dersom de skal forske på opplysninger i eget register som er overført til plattformen.
Se også omtale av behovet for et formalisert samarbeid mellom Helsedataservice og registerforvalterne knyttet til etablering og tilrettelegging for overføring av data til helseanalyseplattformen punkt 12.5.6.3.
Nærmere bestemmelser om ansvar og oppgaver, og forbud mot parallellutleveringer, for registerforvalterne vil bli fastsatt i forskrift med hjemmel i den nye helseregisterloven § 20 (se punkt 12.6).
12.5.12 Betaling for tilgjengeliggjøring og drift av løsningen
Departementet viser til at det skal utarbeides en finansieringsmodell for helseanalyseplattformen som innebærer at forvaltning og drift finansieres gjennom ulike former for brukerbetaling. Departementet foreslår å videreføre dagens hjemmel for dataansvarlige til å kunne kreve betaling for tilrettelegging av statistikk og annen behandling av helseopplysninger. Samlede inntekter skal ikke overstige de faktiske utgiftene for etablering og tilrettelegging av de aktuelle dataene det søkes om tilgang til. Se punkt 11.4.14 om forslaget til ny helseregisterlov § 19 g.
Departementet mener at det også bør kunne kreves betaling som skal bidra til å finansiere kostnadene ved å produsere og levere tjenester fra helseanalyseplattformen utover kostnadene direkte knyttet til tilgjengeliggjøringen. Departementet foreslår derfor en hjemmel til å fastsette forskrifter om betaling som åpner for å dekke utgifter knyttet til drift av løsningen og som ikke dekkes av betaling etter § 19 g. Det skal i forskriftsarbeidet vurderes hvilke kostnader som skal kunne inngå i brukerbetalingen, inkludert forvaltning og tilrettelegging av opplysninger i løsningen, informasjonssikkerhetstiltak, veiledning til brukere og tjenester rettet mot de registrerte samt utvikling av tjenesten. Det skal vurderes hvordan brukerbetalingen kan gi Helsedataservice mulighet for å få dekket inn utgifter knyttet til forvaltning og videreutvikling av plattformen. Det skal legges vekt på å etablere en brukerbetaling som gjør det mulig å utvikle tjenestene på helseanalyseplattformen med et bredt tilbud av data- og analysetjenester til brukerne. Departementet legger til grunn at videreutviklingen av løsningen vil være en integrert og avgjørende del av forvaltningen. Uten videreutvikling vil plattformen raskt bli utdatert og ikke kunne fylle formålet.
Forskriften skal angi rammene for hvilke kostnader som kan inngå i betalingen. Betalingen skal beregnes på grunnlag av disse kostnadene samlet, med fradrag for betaling for tilgjengeliggjøring og statistikk samt andre inntekter. Det skal ikke legges inn krav til overskudd i beregningsgrunnlaget. Departementet viser i denne sammenheng til at Direktoratet for e-helse i høringssvaret legger vekt på at hjemmelen for Helsedataservice til å ta betalt for ulike tjenester må være vid nok til å legge til rette for bruk av ulike prisingsmekanismer for ulike tjenester. Departementet er enig i dette.
Det skal etter forslaget kunne tas betaling for behandling av søknader uavhengig av om opplysningene skal tilgjengeliggjøres fra helseanalyseplattformen eller direkte fra registerforvalteren. Departementet viser til punkt 12.5.12 om at Helsedataservice skal kunne få myndighet til å fatte beslutninger om tilgjengeliggjøring også for opplysninger som ikke er tilknyttet plattformen.
Det er flere høringsinstanser som mener at helsedata er et offentlig gode som bør være gratis. Det gjelder blant annet Legeforeningen som mener at forskere som er statsfinansierte eller ansatte forskere i statsfinansierte institusjoner som universiteter og helseforetak ikke bør internfaktureres av et annet statsfinansiert organ. Foreningen mener at tilgangen til registerdata og søknadsbehandlingen bør være en gratis tjeneste, i det minste for offentlig finansierte brukere. Forskningsinstituttet Norce mener at så lenge dataene benyttes i forskning- og kvalitetssikringsprosjekter som finansieres av det offentlige, har et ikke-kommersielt formål og resultatene blir allment tilgjengelig, bør de stilles til rådighet kostnadsfritt. Abelia påpeker at markedet og bruksområdet er svært sammensatt, fra de ideelle forskningsinstitutter, til gründere og oppstartsbedrifter til universiteter og store legemiddelfirmaer. Som prinsipp mener Abelia at offentlige data i størst mulig grad bør legges åpent og fritt tilgjengelig, i tråd med prinsippene for tilgjengeliggjøring av offentlige data.
I tillegg er det en del høringsinstanser som er opptatt av at betalingen ikke må bli så høy at den virker begrensende på forskningen. Tekna mener for eksempel at departementet må vurdere om betalingen bør ha et tak, eller vurdere en annen hensiktsmessig betalingsmodell, som bidrar til at aktører av økonomiske grunner ikke kan benytte seg av databanken. Norges Farmaceutiske Forening er opptatt av at betalingen ikke må bli så høy at forskning, spesielt i regi av det offentlige og utdanningsinstitusjonene, reduseres på grunn av manglende ressurser. Universitetet i Bergen mener at det er viktig at prisen for den enkelte forsker ikke blir så høy at utnyttelsen av plattformen hemmes. Universitetet mener at departementet bør synliggjøre faktiske kostnader for brukerne og gå i dialog med sektoren om bærekraftige finansieringsmodeller. Legemiddelverket mener også at det er viktig å velge en finansieringsmodell som ikke undergraver formålet med helseanalyseplattformen og viser til at det er avgjørende for etater og forskeres bruk av data, for eksempel i løpende legemiddelovervåking, at kostnaden ikke hindrer at data benyttes etter intensjonen. Helse Bergen HF mener at det er avgjørende at det utvikles gode bærekraftige finansieringsmodeller som ikke går på bekostning av det offentlige eierskapet av infrastrukturen og dataene.
I tillegg er det flere høringsinstanser som problematiserer forslaget om å fastsette betaling likt for offentlige og private. Forskningsinstituttenes Fellesarena FFA og Fakultet for medisin og helsevitenskap ved Norges teknisk-naturvitenskapelige universitet (NTNU) legger vekt på at brukerbetaling bør differensieres etter brukernes samfunnsoppdrag og betalingsevne. Universitetet i Oslo skriver:
Våre fagmiljøer har påpekt at det pr i dag er unormalt store prisforskjeller mellom registrene når det gjelder kostnader til registerkobling og saksbehandling. Videre understrekes det at ikke-kommersielle aktører som universitet og sykehus bidrar med data inn i registrene og med åpen formidling av kunnskap til samfunnet. Det kan derfor være grunnlag for å vurdere om det skal være ulik betaling for offentlige forskningsaktører og næringslivsaktører
Forskningsrådet mener at det bør vurderes å stille krav om publisering og krav om retur av data og analyseresultater til helseanalyseplattformen. Forskningsrådet legger vekt på at verdiene som skapes på basis av offentlige helsedata bør kommer fellesskapet til gode, og metoder for dette bør utredes nærmere. Flere andre høringsinstanser har tilsvarende merknader.
Det er også høringsinstanser som er positive til at betalingen fastsettes likt for aktørene. Abelia og Melanor uttaler at innføring av samme gebyr for offentlige og private aktører kan være positivt for muligheten til å bygge en norsk helsenæring. Sintef støtter forslaget og legger vekt på at betalingssystemet må være transparent.
Se også punkt 12.5.9.4 om private brukere av helsedata.
Departementet viser til at brukerne også i dag betaler for kostnadene ved å få tilgang til helsedata. I tillegg er det i dag ressurs- og tidkrevende å få tilgang til data, særlig i tilfeller der det er behov for data fra flere datakilder. Formålet med etablering av helseanalyseplattformen og Helsedataservice er at tilgangen til helsedata og avanserte analyser skal bli enklere og mer effektiv. Brukerbetaling er nødvendig for å forvalte og utvikle plattformen, men totalt sett skal dette legge til rette for mer effektiv ressursutnyttelse også hos brukerne av helsedata.
Departementet forutsetter at det gjennomføres tiltak for begrense brukerkostnadene samtidig som hensynet til oppdatering og videreutvikling ivaretas.
Departementets vurdering er at betalingen bør fastsettes likt for offentlige og private mottakere av data for like tjenester, men viser til at rammene for betalingen skal vurderes nærmere i forskriftsarbeidet. Systemet for fastsettelse bør være mest mulig transparent og forutsigbart for søkerne. Særlige satser for private aktører vil etter departementets vurdering bryte med målet om å stimulere til innovasjon og næringsutvikling. Å ta betaling fra offentlige aktører vil være i samsvar med alminnelig praksis om internfakturering av tjenester i offentlig sektor.
Departementet viser til at blant andre Forskningsrådet og Legeforeningen legger vekt på at det må stilles krav til brukerne av data som sikrer at verdiene som skapes, kommer fellesskapet til gode. Legeforeningen mener at befolkningens helsedata ikke kan gjøres fritt tilgjengelig for både offentlige og private aktører uten noen former for gjenytelser og rettigheter for de registrerte:
Det anmodes om at departementet må vurdere nærmere hvordan offentlige data kan benyttes for å få tilgang til de nye metodene som utvikles og der bidraget med data enten må kompenseres ved anvendelsen eller senere gjennom eierskap til metodene. På dette punktet bør helsemyndighetene bruke erfaringer fra andre land og fra Norge når det gjelder metoder for å begrense kostnadene til nye metoder. Det innebærer at kommersielle aktører, f.eks. legemiddelindustrien, som søker tilgang til helsedataene må kompensere økonomisk for denne tilgangen.
Departementet viser til at det er et viktig mål at norske helsedata utnyttes på en måte som gir best mulig nytte for befolkningen. Dette kan være gjennom kvalitetsforbedring, forskning, legemiddelutvikling mv. I mange tilfeller vil dette skje i samarbeid med private aktører. Det er viktig at bruk av helsedata kommer samfunnet til gode i form av publisering av forskningsresultater, utvikling av nye metoder og produkter, osv. Departementet viser til at slike forhold uansett vil inngå i vurderingen av prosjektets samfunnsnytte etter reglene om dispensasjon fra taushetsplikten og av REKs forskningsetiske vurdering. Det kan imidlertid også være ønskelig med gjenytelser for eksempel i form av publisering av analyseresultater eller retur av resultatene til helseanalyseplattformen.
Departementet viser til at det pågår et arbeid med å utrede en finansieringsmodell for Helsedataservice og helseanalyseplattformen i regi av Helsedataprogrammet. Finansieringsmodellen skal ivareta et bredt sett av hensyn. Den skal bidra til å sikre finansiering av kostnadene til forvaltning og drift av løsningen, ivareta fellesskapets interesser, være rettferdig og forutsigbar og bidra til å sikre enkeltindividets rettigheter. Det legges til grunn at forskjellige produkter vil kunne prises forskjellig i den grad prisen reflekterer kostnadene til produktet. Det vil også bli vurdert ulike former for abonnements- og partnerskapsmodeller som kan inneholde betingelser om motytelser i form av tilbakeføring av data, publikasjoner eller resultater av forskningen til plattformen. Slike betingelser kan også knyttes til reduserte priser og muligheter for tilbakebetaling eller lignende.
Departementet foreslår en hjemmel i den nye helseregisterloven § 20 til å gi nærmere bestemmelser om brukerbetaling og krav om gjenytelser i form publisering eller retur av analyseresultater, i tillegg til betaling etter § 19 g.
12.6 Forskriftshjemmel
Departementet foreslår at det lovfestes en forskriftshjemmel i den nye helseregisterloven § 20 for å kunne fastsette bestemmelser om etablering av en nasjonal organisatorisk og teknisk løsning som skal utarbeide statistikk og tilgjengeliggjøre opplysninger fra helseregistre. Demografiske og sosioøkonomiske personopplysninger i Folkeregisteret og andre offentlige registre skal også kunne inngå i løsningen
Den nye bestemmelsen vil, sammen med forskriften og § 19 a og § 19 c, gi supplerende rettsgrunnlag for Helsedataservice sin behandling av opplysningene (se punkt 12.5.3).
I forskriften skal det fastsettes nærmere bestemmelser om løsningen. Forskriften skal fastsette hvilke helseregistre og andre registre som skal omfattes av løsningen, både hvilke opplysninger som skal overføres til plattformen og hvilke opplysninger som skal omfattes av Helsedataservice sin tilgangsforvaltning.
Forskriftshjemmelen omfatter alle slags helseregistre som omfattes av helseregisterloven, jf. definisjonen i § 2 bokstav c. Helseanalyseplattformen skal i første omgang omfatte opplysninger fra lovbestemte helseregistre og enkelte nasjonale medisinske kvalitetsregistre. Plattformen skal utvides med flere opplysninger etter hvert som de tekniske løsningene utvikles og registrene er i stand til å avlevere data. Se nærmere i punkt 12.5.9.3.
Det er viktig å presisere organisatoriske og tekniske krav til løsningen for å sikre informasjonssikkerheten, innbyggertjenester og andre personvernkrav.
Videre kan forskriften blant annet angi nærmere hvilke oppgaver Helsedataservice skal ha og hva som skal være ansvaret for det forvaltningsorganet som Helsedataservice legges til.
Forskriften kan også regulere oppgaver og ansvar til registerforvalterne, inkludert plikt til å overføre kvalitetssikrede helseopplysninger til løsningen og forbud mot parallell utlevering av opplysninger som er overført til plattformen (se punkt 12.5.11).
I forskriften kan det fastsettes nærmere bestemmelser om betaling for tilgjengeliggjøring. Det skal også kunne fastsettes krav om publisering eller retur av analyseresultater (se punkt 12.5.12).
13 Legemiddelregister
Departementet foreslår at det pseudonyme Reseptregisteret endres til et direkte personidentifiserbart legemiddelregister. Departementet foreslår en ny bokstav k «Legemiddelregister» i helseregisterloven § 11 første ledd. Dette vil gi Kongen i statsråd hjemmel til å fastsette en forskrift om et legemiddelregister med direkte personidentifiserbare opplysninger som kan behandles uten de registrertes samtykke eller reservasjonsrett.
Legemiddelregisteret skal baseres på og erstatte dagens Reseptregister. Reseptregisteret er et landsomfattende ikke-samtykkebasert register for reseptbasert legemiddelstatistikk. Departementet presiserer at det ikke er tale om å etablere et nytt register, men kun en endring i måten opplysningene vil bli lagret på. Formålet er i større grad å kunne nyttiggjøre seg opplysningene i samsvar med registerets formål.
Registeropplysninger om legemiddelbruk er viktig for å få økt kunnskap om legemidlenes effekt og sikkerhet. Legemidler er viktig ved behandling og forebygging av sykdom. Behovet for strukturert og tilgjengelig informasjon om legemiddelbruk på individnivå er stadig økende. Selv om det foreligger dokumentasjon av effekt, sikkerhet og kvalitet for alle legemidler før de kan godkjennes for salg, vil det kunne fremkomme nye opplysninger om dette når legemidlene tas i alminnelig bruk i befolkningen.
Stortinget ga ved behandlingen av legemiddelmeldingen sin tilslutning til å utrede etablering av et direkte personidentifiserbart legemiddelregister, jf. Meld. St. 28 (2014–2015) og Innst. 151 S (2015–2016). Dette er foreslått som ett av flere registre på helseanalyseplattformen (Direktoratet for e-helse, Referansearkitektur og fellestjenester for helseregistre, 2016). På oppdrag fra departementet har Folkehelseinstituttet på denne bakgrunn utredet en løsning for direkte personidentifiserbare legemiddeldata til sekundærbruk. Departementet viser til rapporten Direkte personidentifiserbare legemiddeldata til sekundærbruk i et nytt nasjonalt legemiddelregister. En vurdering av datakilder og behov for tekniske løsninger fra 2017.
Departementets forslag innebærer en endring fra pseudonyme til direkte personidentifiserbare opplysninger.
Et direkte personidentifiserbart legemiddelregister vil legge bedre til rette for å nyttiggjøre seg dataene slik at vi får et bedre kunnskapsgrunnlag for å øke pasientsikkerheten og kvaliteten på helsetjenestene. Dette innebærer en endring i måten opplysningene vil bli lagret på. Tekniske og juridiske forhold knyttet til pseudonymiseringen skaper en unødig tidkrevende og tungvint prosess for datautleveringen, samt risiko for feil ved sammenstillingen, noe som har ført til svak tilgjengelighet og begrensninger i bruk av data fra Reseptregisteret. Særlig gjør den pseudonyme formen det vanskelig å sammenstille dataene med andre opplysninger.
Andre og nye tekniske løsninger vil gi like godt personvern for de registrerte som pseudonymiseringen. Endringen vil også gi bedre mulighet for å kvalitetskontrollere opplysningene i registeret.
Et direkte personidentifiserbart legemiddelregister er viktig for å hente ut gevinster av helseanalyseplattformen fordi legemiddeldata inngår i svært mange forskningsprosjekter. Med et pseudonymt register vil sammenstillinger med andre datakilder ikke kunne gjøres på helseanalyseplattformen, og legemiddelopplysninger vil ikke kunne omfattes av de nye analysemulighetene som plattformen vil gi.
Pseudonymiseringen er også til hinder for kvalitetskontroll av dataene.
Pseudonymiseringen med ekstern kryptering av direkte identifiserbare personopplysninger ble i sin tid valgt for å sikre opplysningenes konfidensialitet. Det finnes nå andre gode og sikre løsninger som ivaretar dette minst like godt.
Departementet foreslår å endre fra pseudonyme til direkte personidentifiserbare opplysninger også for eksisterende data i Reseptregisteret, slik at «det historiske Reseptregisteret» vil inngå i det nye legemiddelregisteret. Å samle både eksisterende og nye data om legemidler i ett register vil legge til rette for å få med kontinuiteten i legemiddelbruken uten brudd i tidsserien. På denne måten unngår en også utfordringer og kostnader knyttet til samtidig forvaltning av to registre med henholdsvis pseudonyme og direkte personidentifiserbare legemiddelopplysninger.
13.1 Gjeldende rett
13.1.1 Forskriftshjemlene i helseregisterloven
Helseregisterloven § 9 bokstav b gir hjemmel til å fastsette forskrifter om registre der opplysningene behandles uten at den dataansvarlige har tilgang til navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn. Direkte personidentifiserende opplysninger kan behandles med hjemmel i forskrifter etter § 9 bokstav a om samtykkebaserte registre. I tillegg kan det fastsettes forskrifter om behandling av direkte personidentifiserende helseopplysninger uten samtykke, med hjemmel i § 10 om registre basert på reservasjonsrett eller i § 11 om lovbestemte registre.
13.1.2 Reseptregisterforskriften
Reseptregisteret er etablert i forskrift om Reseptregisteret. Forskriften har hjemmel i helseregisterloven § 9 bokstav b.
Reseptregisteret er et landsomfattende register for reseptbasert legemiddelstatistikk, som ble etablert i 2004.
Formålet med Reseptregisteret er etter § 1-3 å
samle inn og behandle data om legemiddelbruk hos mennesker og dyr for å:
kartlegge forbruket i landet og belyse endringer over tid,
fremme og gi grunnlag for forskning og utredning for å kunne belyse positive og negative effekter av legemiddelbruk,
gi myndighetene et statistisk grunnlag for kvalitetssikring av legemiddelbruk og overordnet tilsyn, styring og planlegging,
gi legemiddelrekvirenter et grunnlag for internkontroll og kvalitetsforbedring.
Reseptregisteret inneholder opplysninger fra alle resepter og rekvisisjoner som er ekspedert ved norske apotek, både til human og veterinær bruk. Forskriften åpner også for å inkludere data om legemiddelmiddelbruk i institusjon. Dette er imidlertid avhengig av tekniske løsninger for innrapportering som ikke er realisert enda.
Opplysningene kan behandles uten samtykke fra den registrerte i den utstrekning det er aktuelt og nødvendig for å oppnå formålet med registeret (jf. § 1-8 fjerde ledd).
Forskriften gir bestemmelser om innsamling, lagring, tilgjengeliggjøring og annen behandling av opplysningene i registeret. Forskriften utgjør et supplerende rettsgrunnlag for behandling av opplysningene (se punkt 4.2.1 om rettslig grunnlag).
Det er Folkehelseinstituttet som er dataansvarlig.
Opplysninger om pasient og rekvirent skal være pseudonymisert, jf. § 1-8 tredje ledd. Formålet med pseudonymisering er å sikre opplysningenes konfidensialitet. Med pseudonyme helseopplysninger menes helseopplysninger der identitet er kryptert eller skjult på annet vis, men likevel individualisert slik at det lar seg gjøre å følge hver person uten at identiteten røpes (jf. § 1-2 nr. 1). Definisjonen av pseudonyme opplysninger sier ikke noe om omfanget eller karakteren av opplysningene tilknyttet pseudonymet. Det vil i gitte situasjoner kunne være mulig å finne tilbake til enkeltindividet på bakgrunn av variablene eller fordi det finnes «en nøkkel» som knytter hvert individ til opplysningene. Pseudonyme opplysninger er derfor ikke nødvendigvis anonyme. De er derfor omfattet av personvernreglene og taushetsplikten på samme måte som andre helseopplysninger er.
Begrepet pseudonymisering ble innført i helseregisterloven i 2001. Det finnes i dag kun to pseudonyme helseregistre i Norge, Reseptregisteret og IPLOS-registeret, etablert i henholdsvis 2004 og 2007. Pseudonymiseringen med ekstern kryptering av direkte identifiserbare personopplysninger ble den gang vurdert som spesielt hensiktsmessig med hensyn på å sikre personvernet til de registrerte.
Etter etableringen av IPLOS har det ikke blitt etablert flere pseudonyme helseregistre. Det har derimot blitt etablert flere direkte personidentifiserbare helseregistre, for eksempel Norsk Pasientregister og Kommunalt pasient- og brukerregister. Og nye opplysninger som tidligere ble samlet inn til IPLOS-registeret skal nå behandles i Kommunalt pasient- og brukerregister. Dette betyr at det nå bare er Reseptregisteret som samler inn nye data pseudonymt.
Alle individer som er registrert i Reseptregisteret er tildelt et individspesifikt pseudonym, og alle helseopplysninger og andre personopplysninger i Reseptregisteret er lagret tilkoblet individets pseudonym. Reseptregisterforskriften krever at det skal være en uavhengig instans, en tiltrodd pseudonymforvalter, som tildeler og forvalter pseudonymer på oppdrag fra den dataansvarlige, jf. § 1-2 nr. 5. For Reseptregisteret er pseudonymforvalteren Statistisk sentralbyrå (SSB), jf. § 1-7. Ingen – verken SSB, dataansvarlig eller databehandler – skal kunne få samtidig tilgang til pseudonym, reseptopplysninger og fødselsnummer eller helsepersonellnummer (jf. forbudet mot samtidig tilgang i § 4-1).
SSB tildeler pseudonymer for fødselsnummeret og helsepersonellnummeret. Utstedelsen av pseudonymer skal skje i en prosess som bare involverer SSB. Hver måned blir det laget et automatisk uttrekk av alle resepter og rekvisisjoner som ble ekspedert på apoteket foregående måned. Dette uttrekket kalles reseptmelding. Meldingen blir sendt via apoteknettet til SSB. Hos SSB blir individets fødselsnummer/D-nummer erstattet med et pseudonym som er personentydig slik at det lar seg gjøre å følge hvert individ, men uten at identitet røpes. Det samme gjelder for rekvirentens helsepersonellnummer.
SSB kan ikke ha tilgang til andre opplysninger fra resept eller rekvisisjon. SSB har kun tilgang til pasientens fødselsnummer og rekvirentens helsepersonellnummer. SSB kan ikke lese noen annen informasjon fra reseptene fordi denne informasjonen er kryptert før SSB mottar reseptmeldingen. Reseptmeldingen overføres deretter elektronisk til Reseptregisteret. Ved mottak i Reseptregisteret blir meldingen dekryptert og kontrollert før den lagres. Når reseptmeldingene sendes mellom de forskjellige aktørene er de kryptert slik at de ikke kan leses av utenforstående.
Det er Folkehelseinstituttet (dataansvarlig) som behandler helseopplysningene tilkoblet pseudonymet. Prosjekter som behandler data fra Reseptregisteret mottar aktuelle helseopplysninger tilkoblet individets prosjektspesifikke løpenummer som er tildelt av Folkehelseinstituttet. Slik sikres det at ingen skal kunne få samtidig tilgang til pseudonym, reseptopplysninger (helseopplysninger) og fødselsnummer/D-nummer eller helsepersonellnummer.
Indirekte identifiserbare opplysninger kan tilgjengeliggjøres i samsvar med § 5-2. Det står i § 5-3 første ledd at sammenstillinger må utføres slik at enkeltpersoner ikke kan gjenkjennes ved hjelp av de sammenstilte opplysningene. Det er ikke tillatt å gjenskape et fødselsnummer eller et helsepersonellnummer på grunnlag av et pseudonym, jf. § 3-1 tredje ledd. Et pseudonymt register kan heller ikke brukes for å skape kontakt mellom pasient og en tredjepart (Ot.prp. nr. 49 (2005–2006) punkt 3.3).
Det er viktig å merke seg at kravet om pseudonymisering etter reseptregisterforskriften er strengere enn det som følger av definisjonen av pseudonymisering i personvernforordningen. Med pseudonymisering menes etter forordningen «behandling av personopplysninger på en slik måte at personopplysningene ikke lenger kan knyttes til en bestemt registrert uten bruk av tilleggsopplysninger, forutsatt at nevnte tilleggsopplysninger lagres atskilt og omfattes av tekniske og organisatoriske tiltak som sikrer at personopplysningene ikke kan knyttes til en identifisert eller identifiserbar fysisk person», jf. artikkel 4 nr. 5. Det står i fortalen punkt 28 at pseudonymisering kan redusere risikoen for de registrerte, men at formålet med å innføre begrepet i forordningen ikke er å utelukke andre tiltak for vern av personopplysninger.
Det er også viktig å merke seg at forordningen ikke stiller krav om pseudonymisering. Dette er bare et av flere mulige tiltak for å sikre informasjonssikkerhet og at prinsippet om dataminimering overholdes (jf. artikkel 32 nr. 1 bokstav a og artikkel 89 nr. 1). Pseudonymisering kan likevel i konkrete tilfeller være nødvendig for å etablere tilstrekkelige egnede tiltak.
Verken krav om en tiltrodd psesudonymforvalter eller kravet om at registeret skal være irreversibelt (forbud mot å gjenskape de registrertes identitet), følger av definisjonen i forordningen. Det presiseres derfor i reseptregisterforskriften at definisjonen i personvernforordningen ikke gjelder bestemmelsene om pseudonyme opplysninger i forskriften.
Se nærmere om pseudonymisering i punkt 13.4.2.
13.1.3 Bivirkningsregisteret
Bivirkningsregisterforskriften fra 2019 regulerer behandlingen av opplysninger i et system for bivirkningsrapportering. Forskriften gjelder register for bivirkninger av legemidler til mennesker, og er en videreføring og videreutvikling av det etablerte systemet for bivirkningsmeldinger. Registeret skal bidra til sikker og effektiv legemiddelbruk ved at det fortløpende og systematisk registreres, behandles og analyseres bivirkningsmeldinger og fanges opp bivirkningsinformasjon fra legemiddelbruk så tidlig som mulig (primærformål). Opplysninger i registeret kan også gjøres tilgjengelig for styring, planlegging og kvalitetsforbedring av legemidler og legemiddelbruk samt til forskning (sekundærformål). Registrering av opplysninger i Bivirkningsregisteret krever ikke samtykke fra pasientene, jf. helseregisterloven § 11. De registrerte har rett til å motsette seg (reservasjonsrett) at opplysninger gjøres tilgjengelige fra registeret til sekundærformål.
13.2 Forslaget i høringsnotatet
Departementet foreslo i høringsnotatet en ny bokstav k i helseregisterloven § 11 om lovbestemte helseregistre. Forslaget innebar at det pseudonyme Reseptregisteret endres til et direkte personidentifiserbart legemiddelregister. Departementet foreslo at det nye legemiddelregisteret også skulle omfatte historiske data fra Reseptregisteret.
I høringsnotatet ble det også lagt frem forslag til forskrift om legemiddelregisteret. Oppfølgingen av forskriftsforslaget vil skje i en egen prosess når Stortingets lovvedtak foreligger.
13.3 Høringsinstansenes syn
13.3.1 Fra pseudonymt til direkte personidentifiserbart register
Forslaget om å endre Reseptregisteret til et direkte personidentifiserbart, lovbestemt legemiddelregister får støtte fra mange av høringsinstansene: Norsk sykepleierforbund, Universitetssykehuset Nord-Norge HF, Finnmarkssykehuset HF, Helse Midt-Norge RHF, Kreftforeningen, Universitetet i Oslo, Legemiddelverket, Funksjonshemmedes Fellesorganisasjon (FFO), Direktoratet for e-helse, Legemiddelindustrien, Fakultet for medisin og helsevitenskap ved Norges teknisk-naturvitenskapelige universitet (NTNU), Forskningsrådet, Statens arbeidsmiljøinstitutt (STAMI), St Olavs hospital HF, Kreftregisteret, Folkehelseinstituttet, Senter for klinisk dokumentasjon og evaluering (SKDE), Helsedirektoratet, Helse Bergen HF, Sintef, Oslo kommune, Helse Vest RHF, Akershus Universitetssykehus HF, KS, Helse Sør Øst RHF og Universitetet i Bergen.
Helsedirektoratet skriver at det foreslåtte registeret vil forenkle behandling av opplysningene til de regulerte formålene, blant annet som kunnskapsgrunnlag for å øke pasientsikkerheten. Kreftregisteret påpeker at gevinstpotensialet til helseanalyseplattformen er sterkt knyttet til at de foreslåtte endringene gjennomføres. Gevinstrealiseringen for legemiddelutvikling er helt avhengig av at disse dataene tilgjengeliggjøres på en betraktelig mer fleksibel måte enn i dag. Sykepleierforbundet mener at det foreslåtte legemiddelregisteret vil være et betydningsfullt fremskritt for å kunne skape ny og viktig kunnskap om bruk og effekter av legemidler på ulike områder. KS uttaler at informasjon om legemiddelbruk på individnivå er viktig for å få bedre kunnskap om legemidler etter at de er tatt i bruk i befolkningen, blant annet for å studere effekt, sikkerhet, feilbruk, etterlevelse av behandling og kostnader knyttet til bruken. Det utvikles løpende nye og dyre legemidler innen kreftbehandling, revmatologi osv., og kommunene forventes å få en stadig større rolle i behandlingen knyttet til slike områder.
St Olavs hospital HF mener at de foreslåtte endringene vil forenkle bruk av registeret til forskning og andre formål. Det vil også øke nytteverdien av medisinske kvalitetsregistre, som ved kobling til legemiddelregisteret vil kunne kartlegge kvaliteten på legemiddelforskrivning og legemiddelbruk. Helse Bergen HF viser til at dagens pseudonyme reseptregister er et av de mest brukte helseregistrene i Norge. Det har gitt oss verdifull kunnskap. Den pseudonyme registerformen gjør det imidlertid komplisert å drive registeret og setter store begrensninger på bruken av data fra registeret.
Personverngevinsten ved pseudonymiseringen er ifølge Helse Bergen HF marginal. Folkehelseinstituttet mener at personvernet i det pseudonyme Reseptregisteret totalt sett ivaretas dårligere enn i direkte personidentifiserbare helseregistre. Pseudonymiteten begrenser i tillegg muligheten til å ta i bruk moderne tekniske løsninger.
Høringsinstanser som er i mot eller som uttaler seg kritisk til forslaget er Datatilsynet, Legeforeningen og Personvernombudet ved Oslo universitetssykehus.
Datatilsynet mener at det ikke er pseudonymiseringen og bruken av en ekstern tredjepart som sådan som utgjør det største praktiske problemet ved utlevering fra Reseptregisteret. Snarere synes dette å være knyttet til kravet om at sammenstilte datasett som utleveres skal være anonyme, slik Datatilsynet mener forskriften skal forstås. Departementet har ifølge tilsynet ikke godtgjort at nytteverdien av Reseptregisteret er så redusert at de betydelige inngrepene i personvernet som er foreslått, kan legitimeres. At utlevering er tungvint eller upraktisk, eller et ønske om at alle sammenstillinger skal kunne gjøres direkte i helseanalyseplattformen, er ifølge Datatilsynet ikke tilstrekkelig gode begrunnelser. Tilsynet mener at det må vurderes mer inngående
om gevinstene ved den foreslåtte løsningen oppveier det faktum at (mer omfattende) opplysninger om den registrerte får dårligere beskyttelse. Det kan ikke legges til grunn at Legemiddelregisteret vil gi like godt personvern som det pseudonyme Reseptregisteret.
Personvernombudet ved Oslo universitetssykehus mener at risikoen ved endringen var noe underkommunisert i høringsnotatet.
Legeforeningen «stiller seg uforstående» til departementets uttalelse om at de registrertes personvern ikke vil svekkes ved å endre fra et pseudonymt register til et direkte personidentifiserbart register. Foreningen mener at endringen vil kunne oppfattes som en betydelig og omfattende endring for mange pasienter. Dette gjelder særlig dersom legemiddelregisteret skal inngå i helseanalyseplattformen. Foreningen mener at omfanget av de endringene som foreslås er bagatellisert, og at virkningene i for liten grad er beskrevet.
13.3.2 Ikke samtykke eller reservasjonsrett
I høringen uttalte Forskningsrådet, Folkehelseinstituttet, Legemiddelindustrien og Universitetet i Bergen at de var enige i at legemiddelregisteret ikke bør baseres på samtykke eller reservasjonsrett. Datatilsynet, Legeforeningen og Funksjonshemmedes Fellesorganisasjon (FFO) er derimot kritiske til forslaget.
13.3.3 Historiske data
Direktoratet for e-helse, Folkehelseinstituttet, Antibiotikasenteret for primærmedisin ved Universitetet i Oslo, Biobank Norge, Sintef og Universitetet i Bergen støtter forslaget om å inkludere historiske data fra Reseptregisteret i det nye legemiddelregisteret. Direktoratet for e-helse uttaler at personidentifiserbare historiske data vil være av vesentlig betydning for fremtidig medisinsk og farmasøytisk forskning, og vil legge til rette for blant annet tryggere og mer effektiv legemiddelutvikling. Slike data vil etterspørres i så lang tid som 20–30 år, og det vil være svært kostbart og lite effektivt å opprettholde en pseudonym løsning for historikken i registeret. Ifølge Antibiotikasenteret for primærmedisin ved Universitetet i Oslo er det i kvalitetsforbedringsarbeid helt nødvendig å følge endringer over tid.
Datatilsynet stiller spørsmål ved om en innlemming av historiske data vil være i strid med Grunnloven § 97 om tilbakevirkende kraft.
13.4 Departementets vurdering
13.4.1 Nytten av opplysninger om bruk og effekter av legemidler
Opplysninger fra Reseptregisteret er mye brukt. I 2016 utleverte registeret data til totalt 153 prosjekter (i 2018 ble det «kun» levert ut data til 110 prosjekter, men denne nedgangen antas å ha sammenheng med innføringen av personvernforordningen). Blant helseregistrene som Folkehelseinstituttet forvalter var det til sammenlikning 161 utleveringer fra Dødsårsaksregisteret og 117 fra Medisinsk fødselsregister i 2018.
Legemidler er viktig ved behandling og forebygging av sykdom, og behovet for strukturert og tilgjengelig informasjon om legemiddelbruk på individnivå er stadig økende. Strukturert informasjon om legemiddelbruken i befolkningen gir et bedre kunnskapsgrunnlag og økt kvalitet og pasientsikkerhet i helsetjenesten. Kunnskap om legemidler etter at de er tatt i bruk i befolkningen er viktig blant annet for å studere effekt, sikkerhet, feilbruk, etterlevelse av behandling og kostnader knyttet til bruken.
Før et legemiddel tillates solgt på det norske markedet, må det ha markedsføringstillatelse. For å få tillatelse må det foreligge dokumentasjon av effekt, sikkerhet og kvalitet. For å fremskaffe slik dokumentasjon må det ha vært gjennomført kontrollerte kliniske studier. Studiene gjennomføres imidlertid på selekterte pasientgrupper når det gjelder alder, kjønn og sykelighet. Antallet pasienter som er inkludert i studiene er også begrenset og behandlingsvarigheten er relativt kort. Studiene er heller ikke designet eller egnet til for eksempel å fange opp sjeldne bivirkninger eller bivirkninger som oppstår etter lang tids bruk.
Utstedelse av markedsføringstillatelse for nye legemidler er en balansegang mellom å redusere tiden det tar før pasienter skal få tilgang til medisinske nyvinninger og krav til dokumentasjon av sikkerhet og effekt for legemidler som kommer på markedet. For pasienter med sjeldne, alvorlige eller livstruende sykdommer ser man i økende grad at nye, innovative legemidler kommer på markedet, men hvor markedsføringstillatelse gis på særskilte vilkår. Godkjenningen er ofte basert på et sparsomt kunnskapsgrunnlag. I slike tilfeller har man mindre informasjon om sikkerhet og bivirkninger på tidspunktet for markedsføringstillatelsen. Legemidler i denne kategorien har ofte høy pris selv om effekten kan være usikker.
Mange viktige kliniske og epidemiologiske spørsmål står derfor ubesvarte når et nytt legemiddel tas i alminnelig bruk i befolkningen. Eventuelle uventede sikkerhetsproblemer knyttet til andre aldersgrupper, andre samtidige sykdommer og annen samtidig legemiddelbruk avdekkes i all hovedsak ofte først etter at markedsføringsføringstillatelsen er gitt og legemidlet er tatt i bruk. Data fra legemiddelregistre er derfor viktige fordi de kan brukes til å dokumentere effekt og sikkerhet av et legemiddel når det er i praktisk bruk i befolkningen. Bruk av legemiddeldata kan også, ved å koble effekten av behandling opp mot annen sykdomshistorikk, brukes til å oppdage potensielle nye anvendelsesområder for legemidlet.
Den sentrale EU-myndigheten for legemidler (EMA) pålegger i økende grad produsentene å gjøre såkalte Post Authorisation Safety Studies (PASS) for å identifisere, karakterisere eller kvantifisere sikkerhetsrisiko, bekrefte sikkerhetsprofil eller måle effekten av iverksatte risikominimeringstiltak for det nye legemidlet etter at det er tatt i bruk. Bruk av registerdata for å dokumentere effekt og sikkerhet er derfor ekstra viktig for slike legemidler. Reseptregistre i Norden brukes mer og mer i slike PASS og bidrar med viktig kunnskap og dokumentasjon av blant annet sjeldne bivirkninger og langtidseffekter.
For å avdekke uforutsette bivirkninger av et legemiddel så raskt som mulig, er det opprettet et system for innrapportering av legemiddelbivirkninger (Bivirkningsregisteret, se punkt 13.1.3). Underrapportering av bivirkninger er en utfordring.
Opplysninger fra legemiddelregisteret koblet med andre helseopplysninger kan gi viktig informasjon om uheldige legemiddeleffekter som ikke fanges opp av bivirkningsregisteret. Det vil ikke være overlapp mellom registrene, de vil derimot utfylle hverandre. De har ulike formål og de vil ikke ha det samme utvalget av registrerte. For kontroll av bivirkninger skal primært bivirkningsregisteret benyttes. Opplysninger fra legemiddelregisteret vil imidlertid gi informasjon om hele populasjonen som bruker legemidlet. Dette er opplysninger som kan være nyttige ved vurdering av bivirkninger meldt til Bivirkningsregisteret. Og selv om legemiddelregisteret ikke skal registrerte innmeldte bivirkninger, så vil registeret likevel kunne brukes til å fange opp eventuelle bivirkninger som ikke er meldt inn.
Boks 13.1 Noen konkrete eksempler der legemiddeldata har gitt nyttig kunnskap
Infertilitet rammer om lag 10 prosent av alle par. Forekomsten er økende. Parallelt stiger behovet for og bruken av legemidler ved fertilitetsbehandling. I Norge fødes nå om lag 2 500 barn årlig etter fertilitetsbehandling. Ved å sammenstille data om aktuelle legemidler fra Reseptregisteret brukt i fertilitetsbehandling med data fra Medisinsk fødselsregister og Kreftregisteret, har Folkehelseinstituttet studert om hormonbehandling av kvinner for infertilitet kan være assosiert med økt kreftrisiko hos kvinner. I denne norske studien, som blant annet brukte informasjon fra Reseptregisteret, ble det ikke funnet økt risiko for brystkreft, verken hos kvinner som fødte barn eller ikke fikk barn etter behandlingen, med unntak av forhøyet risiko blant en undergruppe kvinner som fødte etter hormonbehandling.
Warfarin (Marevan®) var lenge det eneste tilgjengelige orale antikoagulant (blodfortynnende) for forebygging av hjerneslag hos pasienter med atrieflimmer. De siste årene har flere direkte virkende orale antikoagulasjonsmidler kommet på det norske markedet. Data fra Reseptregisteret er brukt i flere registerstudier for å følge opp endringene i bruksmønster i befolkningen, samt studier av sikkerhet og effekt av denne nye legemiddelgruppen.
Studier fra flere land tyder på at barn som er yngst i sin skoleklasse har betydelig høyere risiko for å få en ADHD-diagnose eller få ADHD-legemidler enn sine eldre medelever. I en norsk studie anvendte forskerne data fra Reseptregisteret (legemidler), Norsk pasientregister (diagnoser fra spesialister) og KUHR-databasen (diagnoser fra fastleger) for å studere om diagnoser og legemiddelbruk for ADHD varierer med fødselsmåned i Norge. Studien fant at sannsynligheten for å få ADHD-legemidler eller diagnose var høyere for barn født sent på året enn de født tidlig på året.
Opplysninger fra Reseptregisteret blir bearbeidet og tilrettelagt for å kunne bidra til kvalitetsforbedring av legers forskrivning, både på enkeltlegenivå og på gruppenivå. Riktigere antibiotikabruk i kommunene (RAK) er et igangsatt tiltak i handlingsplanen mot antibiotikaresistens. I RAK er data fra Reseptregisteret essensielt for å gi legene grunnlag for å diskutere kvalitetsforbedring av egen antibiotikaforskrivning. Kommuneleger benytter statistiske opplysninger om forskrivning av blant annet vanedannende legemidler og antibiotika i sitt arbeid med kvalitetsforbedring av forskrivning i kommunene.
For nye legemidler som hovedsakelig brukes i primærhelsetjenesten er Reseptregisteret en viktig kilde til informasjon om kostnader. Opplysninger fra registeret ble blant annet benyttet for å se på utviklingen av forbruk av hepatitt C-legemidler før og etter at finansieringsansvaret ble overført fra folketrygden til helseforetakene i 2016. Opplysninger fra registeret har også blitt brukt for å undersøke kostnader ved behandling av kreft i Norge. Ettersom de fleste nye, dyre legemidler kun benyttes i sykehus er informasjonen i dagens Reseptregister om disse legemidlene begrenset. Ved en fremtidig utvidelse av registeret med informasjon om legemiddelbruk i institusjon vil registeret bli en enda bedre kilde til informasjon om nye legemidler.
Reseptregisteret har bidratt til at Somadril ble trukket fra markedet i 2008, både i Norge og de andre landene i legemiddelsamarbeidet i Europa. Data fra registeret, sammen med andre studier fra Norge, viste økt risiko for forgiftninger, misbruk eller avhengighet ved bruk av legemidlet. Senere studier har vist at avregistreringen har hatt positive konsekvenser for de mange problemene som fulgte Somadril-bruken, og at de som tidligere brukte legemidlet i liten grad gikk over til å bruke andre legemidler med misbrukspotensiale etter avregistreringen.
13.4.2 Fra pseudonyme til direkte personidentifiserbare opplysninger
Departementet mener at det er behov for enklere tilgang til personidentifiserende opplysninger om legemiddelbruken i befolkningen. Departementet viderefører derfor forslaget fra høringen om et direkte personidentifiserbart legemiddelregister, som skal erstatte det pseudonyme Reseptregisteret.
13.4.2.1 Sammenstillinger
Pseudonymiseringen vanskeliggjør sammenstillinger og forlenger tiden før prosjektet får utlevert opplysningene. Ved sammenstillinger der opplysninger fra Reseptregisteret skal inngå, må alle opplysninger sendes til Reseptregisteret for pseudonymisering via tiltrodd pseudonymforvalter og sentralisert kobling. Dette har sammenheng med forbudet mot samtidig tilgang til fødselsnummer og/eller helsepersonellnummer, pseudonym og øvrige reseptopplysninger.
Med dagens organisering av helseregisterfeltet og tilgjengelige tekniske løsninger er distribuert kobling den mest effektive modellen for sammenstilling av opplysninger fra ulike helseregistre. Ved distribuert kobling er prinsippet om å unngå unødvendig spredning av store mengder helseopplysninger ivaretatt ved at registrene ikke utveksler helseopplysninger, men kun utveksler informasjon om hvem som er med i studiepopulasjonen (de registrerte som skal studeres i prosjektet).
Et register sender en fil med fødselsnumre og løpenumre («nøkkelfil») til de andre registrene som inngår i koblingen. Dataleverandørene for disse registrene bruker fødselsnumrene i nøkkelfilen til å trekke ut opplysninger fra sitt register for alle individene som inngår i studiepopulasjonen. Ved hjelp av nøkkelfilen erstatter disse dataleverandørene fødselsnumrene med løpenumre og utarbeider en datafil som kun inneholder løpenumre og opplysninger fra registeret. Denne datafilen sendes direkte til forskeren. Forskeren får dermed utlevert data fortløpende fra de ulike registrene, og sammenstiller selv opplysningene fra alle registrene ved bruk av de felles prosjektspesifikke løpenumrene i filene.
Distribuert kobling er verken tillatt eller mulig for Reseptregisteret. I stedet må sammenstillingen skje ved sentralisert kobling. Ved sammenstilling av data fra et pseudonymt register med data fra andre datakilder må alle datafilene som skal inngå i sammenstillingen sendes til det pseudonyme registeret for pseudonymisering og sammenstilling. Dette innebærer at store mengder helseopplysninger må sendes mellom registrene som inngår i koblingen, før de kan sammenstilles av Reseptregisteret.
I praksis skjer sammenstillingen ved at opplysninger fra andre registre deles i en nøkkelfil (som kun inneholder fødselsnummer, D-nummer eller helsepersonellnummer og datakildens løpenummer) og en datafil (som inneholder datakildens løpenummer og aktuelle helseopplysninger som skal sammenstilles med data fra Reseptregisteret) før oversendelse til Folkehelseinstituttet som dataansvarlig for Reseptregisteret. Nøkkelfilen krypteres med Reseptregisterets eget krypteringsprogram før oversending. Programmet krypterer nøkkelfilen med en nøkkel som kun SSB har tilgang til, slik at kun SSB kan dekryptere nøkkelfilen. Når Folkehelseinstituttet mottar en kryptert nøkkelfil i et prosjekt, videresendes denne over lukket nett til SSB. Via dette nettet går filene så direkte til SSBs pseudonymiseringsløsning. Etter pseudonymisering returnerer SSB nøkkelfilen til Folkehelseinstituttet som trekker helseopplysninger ut fra Reseptregisteret basert på pseudonymet i nøkkelfilene. Folkehelseinstituttet erstatter pseudonymet i datafilen fra Reseptregisteret og alle løpenumre i datafilene fra de andre datakildene med nye prosjektspesifikke løpenummer før tilgjengeliggjøring. Forskeren sammenstiller selv opplysningene ved bruk av de felles prosjektspesifikke løpenumrene i filene.
Med et personidentifiserbart legemiddelregister vil man i stedet kunne benytte samme distribuerte koblingsmodell som benyttes av andre helseregistre. Ved distribuert kobling blir alle datafiler utlevert så raskt som mulig til forskeren, direkte fra hver enkelt datakilde. Dermed kan prosjektet starte analysen av deler av datasettet i påvente av et komplett datasett. Dette er mer effektivt enn ved sentralisert kobling hvor data fra alle aktuelle registre må samles ett sted for sentralisert sammenstilling før utlevering. Distribuert kobling vil forenkle tilgangen til sammenstilte data fra legemiddelregisteret, fordi hele leddet med tiltrodd pseudonymforvalter også vil falle bort ettersom fødselsnumrene og helsepersonellnumrene lagres i registeret. Det ville også føre til at færre helseopplysninger må sendes mellom registrene i forbindelse med koblinger.
Departementet viser til at data fra legemiddelregisteret planlegges inkludert i helseanalyseplattformen. Det innebærer at sammenstillingene på sikt vil gjennomføres av Helsedataservice på plattformen, og gjøres tilgjengelig for analyse uten utlevering av personidentifiserende opplysninger, og uten behov for distribuert eller sentralisert kobling som beskrevet ovenfor. Dette forutsetter imidlertid at legemiddelregisteret etableres som et direkte personidentifiserbart register.
13.4.2.2 Definering av studiepopulasjon
For prosjekter der studiepopulasjonen (utvalget) skal baseres på informasjon fra et pseudonymt register, er koblingsprosedyren spesielt omfattende og krever unødvendig oversendelse av helseopplysninger mellom registrene. Dersom et utvalg skal defineres basert på opplysninger i det pseudonyme registeret (for eksempel alle individer som har fått utlevert et bestemt legemiddel), vil det ikke være mulig for det pseudonyme registeret å sende informasjon om individene i utvalget til de andre datakildene fordi registeret ikke inneholder fødselsnummer. I stedet må opplysninger om alle individer som er registrert i datakildene som skal inngå i sammenstillingen, sendes til det pseudonyme registeret. Etter pseudonymisering må det pseudonyme registeret slette opplysningene for alle individer som ikke skal inngå i utvalget, før dataene utleveres til forskeren.
Denne prosedyren medfører at store mengder helseopplysninger om individer som ikke skal inngå i den endelige sammenstillingen, sendes mellom datakilder. Pseudonymiseringen av opplysninger i Reseptregisteret har ført til at prosjekter, der det i utgangspunktet ville vært enkelt å definere utvalget basert på personidentifiserbare opplysninger, har måttet finne andre løsninger for å definere studiepopulasjonen, løsninger som er mindre hensiktsmessige og mer tidkrevende enn dem som kan brukes for direkte personidentifiserende registre.
Et legemiddelregister med direkte personidentifiserbare opplysninger vil derimot kunne benyttes til å definere studiepopulasjonen på lik linje med andre helseregistre ved hjelp av den distribuerte koblingsmodellen. Det vil da kun være nødvendig å sende informasjon om hvem som er med i studiepopulasjonen fra legemiddelregisteret til de andre datakildene. Når helseanalyseplattformen er etablert med nødvendige datakilder vil dette kunne gjøres på plattformen, og det vil ikke være behov for distribuert kobling.
13.4.2.3 Merarbeid og lang saksbehandlingstid
Pseudonymisering medfører et betydelig merarbeid ved sammenstillinger, både fordi nøkkelfilene må pseudonymiseres og fordi løpenummer fra alle datakilder må erstattes med et nytt prosjektspesifikt løpenummer fra Reseptregisteret. Reseptregisteret utleverer i utgangspunktet ikke data til prosjektet før øvrige datakilder har levert data til Reseptregisteret. Prosessen frem til utlevering og til prosjektet kan starte opp, tar derfor mye lenger tid enn i en distribuert modell.
I tillegg er prosessen ofte vanskelig å forstå for de som søker om data. Saksbehandlere ved Reseptregisteret bruker derfor mye tid på å veilede søkere om dataflyt og koblingsprosedyrer. I tillegg kan Reseptregisterets preprosesseringsprogram for kryptering av fødselsnummer, D-nummer og/eller helsepersonellnummer være tungvint og vanskelig å bruke for de som skal oversende data til Reseptregisteret for sammenstilling.
Krevende prosedyrer for sammenstilling kan føre til at forskere velger å ikke benytte opplysninger fra Reseptregisteret for å unngå risiko for lang og uforutsigbar saksbehandlingstid, selv om dette ville ha gitt et bedre datagrunnlag.
13.4.2.4 Kvalitet i forvaltningen av legemiddelregisteret
Et personidentifiserbart legemiddelregister vil kunne få bedre datakvalitet enn et pseudonymt register. Departementet viser til at pseudonymiseringen begrenser muligheten for å kvalitetssikre opplysningene i registeret. Reseptregisteret er avhengig av at kilden til opplysningene (per i dag apotekene) og tiltrodd psesudonymforvalter (SSB), har gode rutiner for kvalitetssikring av fødselsnumre opp mot riktig versjon av Folkeregisteret og av helsepersonellnumre mot Helsepersonellregisteret. Reseptregisteret har imidlertid begrenset mulighet for innsikt i disse prosessene knyttet til validering og pseudonymisering. Feil blir ofte oppdaget for seint eller ikke i det hele tatt. I de tilfellene der feilen er tilknyttet fødselsnummer eller helsepersonellnummer må de aktuelle rapportene sendes på nytt fra apotekene fordi det ikke er mulig å gå tilbake fra pseudonym til fødselsnummer eller helsepersonellnummer. Slik feilretting krever betydelige ressurser både av apotekene og av Reseptregisteret. Det har aldri vært mulig å få inn alle berørte rapporter fra apotekene i slike tilfeller, noe som har ført til at Reseptregisteret har mistet viktige data.
Et eksempel er feil som har skjedd ved pseudonymisering hos SSB fordi det ble brukt en versjon av Folkeregisteret som ikke var oppdatert med nye fødselsnumre. Dette førte til at noen årganger i Reseptregisteret har ufullstendig informasjon om legemiddelbruk hos barn. For barn født i enkelte år er det derfor kun delvis mulig å følge barnets legemiddelbruk gjennom det første leveåret. Dette påvirker spesielt prosjekter som studerer legemiddelbruk hos små barn, som må ta hensyn til at det er manglende opplysninger om legemiddelbruk blant de yngste barna i disse årene.
Eksempelet illustrerer at siden nøkkelinformasjon i registeret er erstattet med pseudonym, er det vanskelig å avdekke feil i registeret, og kommunikasjonen med tiltrodd psesudonymforvalter og apotekene i forbindelse med feilsøking blir unødvendig komplisert fordi ingen har lov til å ha tilgang til alle nødvendige opplysninger samtidig.
Som følge av at Reseptregisteret ikke inneholder fødselsnummer eller helsepersonellnummer, er det ikke mulig for registeret å benytte de samme grunndata/masterdatakildene som de andre helseregistrene for å innhente nødvendige opplysninger om helsepersonell og personer (som for eksempel profesjon eller geografi). Dermed må egne spesialløsninger for Reseptregisteret utvikles og vedlikeholdes.
13.4.2.5 Oversikt over egen forskrivning
Et av formålene med Reseptregisteret er å gi forskrivere av legemidler et grunnlag for internkontroll og kvalitetsforbedring av egen forskrivning. Dette er teknisk og praktisk vanskelig siden helsepersonellnummeret også er pseudonymisert. Dette medfører at nummeret for hver enkelt rekvirent må sendes til pseudonymisering før opplysninger om utleveringer knyttet til pseudonymet for helsepersonellnummeret kan hentes fra Reseptregisteret. Dette er en tidkrevende prosess.
13.4.2.6 Personvernet vil ikke svekkes. Konfidensialitet og kryptering
Departementet mener at de registrertes personvern ikke vil svekkes ved å endre fra et pseudonymt register til et direkte personidentifiserbart register. Det vises til at formålet med pseudonymisering er å sikre opplysningenes konfidensialitet, dvs. at personene som opplysningene er knyttet til ikke skal kunne identifiseres.
Departementet mener at dette oppnås like godt ved andre og moderne tekniske løsninger. I et lovbestemt og direkte personidentifiserbart legemiddelregister vil det være strenge krav til trygg behandling av opplysningene i registeret. Registeret vil bli basert på innebygd personvern med tekniske og organisatoriske løsninger som gjennomfører personvernkravene. Siden Reseptregisteret ble etablert i 2004 er det utviklet bedre og sikrere løsninger for intern kryptering av direkte personidentifiserbar informasjon, logging av dekryptering, rutiner for tilgangsstyring mv. Slike løsninger benyttes av de andre lovbestemte helseregistrene.
Intern kryptering vil begrense tilgangen til direkte identifiserbare opplysninger. I alle lovbestemte helseregistre skal direkte personidentifiserende opplysninger lagres kryptert, jf. helseregisterloven § 21. I reseptregisterforskriften § 1-2 er kryptering definert som «omforming av opplysninger slik at de ikke kan leses eller rekonstrueres av uvedkommende». Av Prop. 99 L (2011–2012) følger at dette skal tolkes likt etter helseregisterloven. I forskriften om kommunalt pasient- og brukerregister kreves det i tillegg at disse opplysningene skal separeres og lagres adskilt fra helseopplysninger jf. § 5-2. Det samme skal gjelde i legemiddelregisteret.
I forarbeidene til helseregisterloven § 11 første ledd bokstav g om Norsk pasientregister (NPR) er det forklart nærmere hvordan kravet om kryptering kan gjennomføres:
Et eksempel på hvordan en krypteringsløsning kan bygges opp er for eksempel ved at fødselsnummer blir skilt fra pasientdata allerede når opplysningene meldes fra sykehusene. På samme måte som for dagens avidentifiserte NPR kan det sammen med pasientdataene rapporteres et løpenummer som er unikt innen hver enkelt institusjon (PID), i stedet for fødselsnummeret. Fødselsnumre kan så rapporteres i separat forsendelse sammen med alle løpenumrene og identifikasjon av institusjon. Det kan så etableres løsninger som innebærer at forsendelsen med fødselsnummer lastes inn i et separat krypteringssystem på egen server sikret med egen brannmur. Tilgang til disse forsendelsene kan begrenses til særskilt autoriserte ansatte i registeret.
I et separat krypteringssystem krypteres fødselsnumrene. En viktig forutsetning for en slik løsning er at krypteringssystemet skal ende opp i ett, og bare ett kryptert fødselsnummer. Alder og kjønn blir avledet av fødselsnummer og sendt videre til NPR for validering av innholdet i pasientdataene, sammen med løpenummer (PID) og identifikasjon av institusjon. I NPR knyttes løpenumrene fra krypteringssystemet og sykehuset, og kryptert fødselsnummer legges til det enkelte opphold for unik identifikasjon av pasienten. Det lagres ikke informasjon i selve krypteringssystemet. Nøklene lagres i et eksternt system. I dette systemet vil ikke fødselsnummer på noe tidspunkt lagres sammen med helseopplysninger og fødselsnummer vil heller ikke lagres etter at kryptering er gjennomført.
For å sikre systemet som en helhet kan det for eksempel iverksettes tiltak som kryptering av kommunikasjon mellom de forskjellige systemene, autentisering av alle brukere/ maskiner og brannmur foran hver maskin (eller samling av maskiner) i systemet.
Når opplysninger skal gjøres tilgjengelig for forskning, kvalitetssikring, innsynsbegjæringer fra de registrerte eller liknende vil det være aktuelt å dekryptere. Dette kan også gjøres gjennom separate forsendelser. Ved all forsendelse av data fra registeret vil opplysningene være kryptert.
Kilde: (Ot.prp. nr. 49 (2005–2006) punkt 7.4)
Dette er bare noen eksempler på hvordan opplysningene kan krypteres. Se også punkt 12.5.2.3. Den teknologiske utviklingen skjer fort. Det anses derfor ikke hensiktsmessig å regelfeste nærmere hvordan kryptering skal skje, da dette kan binde registeret til de teknologiske løsningene vi kjenner i dag og hindre at nye og bedre løsninger kan tas i bruk.
13.4.2.7 Innsynsmuligheter
Endring til direkte personidentifiserbare opplysninger vil også gi en fordel for de registrerte ved at registeret kan nyttiggjøre seg nye brukervennlige fellesløsninger som utvikles for de lovbestemte, direkte personidentifiserbare registrene. Dette vil gjøre det enklere for de registrerte å få innsyn i hvilke opplysninger som er registrert om dem og hva opplysningene er brukt til. Se nærmere i punkt 12.4.3 og 12.5.2.8. Løsningene vil kunne anvendes for alle opplysninger på helseanalyseplattformen, men kan ikke uten videre benyttes av et pseudonymt register.
13.4.2.8 Reseptregisteret må moderniseres
Det er nødvendig å modernisere og oppgradere de tekniske løsningene i Reseptregisteret. Dagens løsninger er ikke lenger egnet til formålet. Det vises til Folkehelseinstituttets utredning Direkte personidentifiserbare legemiddeldata til sekundærbruk i et nytt nasjonalt legemiddelregister. En vurdering av datakilder og behov for tekniske løsninger fra 2017. Etableringen av et nytt legemiddelregister vil redusere kostnadene til oppgradering og modernisering. Særlig vil kostnadene bli mindre dersom legemiddelregisteret også skal inneholde historiske data fra Reseptregisteret (se punkt 13.4.6).
13.4.3 Tilgjengeliggjøring av sammenstilte opplysninger fra registeret
Sammenstillinger med opplysninger i Reseptregisteret må etter gjeldende regler utføres slik at enkeltpersoner ikke skal kunne gjenkjennes ved hjelp av de sammenstilte opplysningene, jf. forskrift om Reseptregisteret § 5-3 første ledd. Dette kravet medvirker til at datautleveringen blir tidkrevende og tungvint, og i noen tilfeller ikke mulig. Kravet har reist flere tolkningsspørsmål og krever ofte skjønnsmessige vurderinger for det enkelte prosjekt. Uklarhet og tolkningstvil har medført at opplysninger fra registeret benyttes i mindre grad enn ønskelig til forskning og helseanalyse.
Dette ble påpekt sist av Helsedatautvalget i rapporten Et nytt system for enklere og sikrere tilgang til helsedata (2017) punkt 3.2.3. Det er ofte behov for en omfattende og tidskrevende dialog mellom søkeren og Reseptregisteret om omfanget av og detaljeringsgraden for opplysningene som kan gjøres tilgjengelige for prosjektet i samsvar med reglene i forskriften, og som samtidig kan svare på problemstillingene i prosjektet. Ved sammenstilling vil kravet gjelde det totale datasettet, og kan dermed føre til at dataansvarlige for alle registrene som skal inngå må gjøre strenge vurderinger av hvilke opplysninger datasettet kan inneholde. Dette gjør at det kan oppleves som vanskelig å planlegge prosjekter der opplysninger fra Reseptregisteret skal inngå. I tillegg vil det å søke opplysninger fra registeret gi økt risiko for at prosjektet ikke kan gjennomføres som planlagt. Ikke alle prosjekter ønsker å ta denne risikoen, og dette kan føre til at forskningsprosjekter med viktige problemstillinger ikke blir gjennomført.
Departementet foreslår at dette kravet ikke blir videreført i det nye legemiddelregisteret. Departementet mener at dette ikke innebærer et personverninngrep av betydning. Det vises til forslaget til ny helseregisterlov § 19 a i punkt 11.4.5.5 og 11.4.5.6 om dataminimering og at graden av personidentifikasjon ikke skal være større enn det som er nødvendig for formålet. Prosjektet må da begrunne at opplysningene det søkes om er nødvendige og relevante for å oppfylle formålet med prosjektet. Men det vil ikke være særlige krav til graden av identifisering ved tilgjengeliggjøringen som kun gjelder for opplysninger om legemidler. Endringen vil gi enklere og klarere regler. Det vises også til at helseanalyseplattformen vil bety at behovet for å tilgjengeliggøre personidentifiserende opplysninger reduseres.
13.4.4 Spørsmålet om de registrertes selvbestemmelse
Departementet mener at legemiddelregisteret – på samme måte som Reseptregisteret – ikke bør være basert på samtykke eller reservasjonsrett. Dette bør gjelde både for registrering av opplysningen i registeret og for bruk av opplysningene. Departementet legger vekt på at den store nytteverdien av registeret er avhengig av komplette data og på at det samtidig skal stilles strenge personvernkrav ved behandling av opplysninger i registeret.
13.4.4.1 Høringsinstansenes syn
Forskningsrådet, Folkehelseinstituttet, Legemiddelindustrien og Universitetet i Bergen uttaler at de er enige i forslaget om at registeret ikke skal baseres på de registrertes samtykke eller reservasjonsrett.
Datatilsynet mener at dette spørsmålet ikke var reelt eller godt nok vurdert i høringsnotatet. Legeforeningen uttaler at dette er et eksempel på den konflikten som oppstår mellom hensynet til sårbare grupper og mulighetene for å registrere data, uten at det er problematisert hvilke virkninger dette kan gi, for eksempel om det vil føre til at denne gruppen vil forsøke å gå veien utenom det regulerte helsevesenet for å skaffe seg legemidlene. Det er ifølge foreningen ikke godt nok redegjort for hvorfor en lav andel av befolkningens behov for reservasjon tilsidesettes. Funksjonshemmedes Fellesorganisasjon (FFO) kan ikke forstå behovet for ikke å ha en reservasjonsrett og mener at pasientenes selvbestemmelse må være førende. Erfaringsmessig så er det ifølge FFO få som reserverer seg i fra å la seg registrere i helseregistre.
13.4.4.2 Samtykke og reservasjonsrett
De registrertes selvbestemmelse over opplysninger om seg selv er et viktig element av personvernet. Større selvbestemmelse vil redusere personvernulempen som helseregistrene innebærer. Hvor inngripende en behandling av opplysninger er henger sammen med graden av selvbestemmelse og den enkeltes mulighet for kontroll og påvirkning. Både samtykke og reservasjonsrett vil gi de registrerte selvbestemmelse. Dersom behandlingen i registeret skjer uten samtykke eller reservasjonsrett, vil dette være et inngrep i den enkeltes rett til selv å bestemme over opplysningene om seg selv.
Reservasjonsrett benyttes som en løsning for å begrense personverninngrepet som en behandling av opplysninger i legemiddelregisteret uten samtykke kan utgjøre. Det fremgår av forarbeidene til helseregisterloven at et krav om samtykke og en reservasjonsrett likevel er av noe ulik karakter:
Mens et krav om samtykke innebærer at man uttrykkelig må godta behandling av helseopplysninger, krever bruk av reservasjonsretten at man uttrykkelig må motsette seg at egne helseopplysninger behandles. Krav om samtykke innebærer at det ikke kan registreres opplysninger om den enkelte før vedkommende uttrykkelig har samtykket til dette. En reservasjonsrett innebærer derimot at opplysninger om den enkelte kan bli registrert før den enkelte har hatt anledning til å reservere seg.
Kilde: (Prop. 72 L (2013–2014) punkt 18.4.2)
Hvor inngripende behandlingen er beror imidlertid på flere forhold enn selvbestemmelsen. Behandling av direkte identifiserbare opplysninger anses som mer inngripende enn indirekte identifiserbare. Hvilke opplysningstyper som omfattes, hvor mange opplysninger, detaljeringsgraden og hvor lenge opplysningene skal behandles er andre momenter. Det må også legges vekt på at den registrertes interesser, inkludert konfidensialiteten, vil bli ivaretatt ved andre tekniske og organisatoriske løsninger for legemiddelregisteret.
13.4.4.3 Frafall, datakvalitet og nytteverdi
Departementet mener at det må legges avgjørende vekt på at nytteverdien av et komplett legemiddelregister vil være stor. Det vises til at Reseptregisteret ikke er basert på samtykke eller reservasjonsrett. Da beslutningen om etableringen av Reseptregisteret ble tatt i 2002, ble dette ansett som en vesentlig forutsetning for registerets verdi. Det ble påpekt at dette ikke kunne oppnås dersom registeret skulle være basert på samtykke fra den registrerte eller på reservasjonsrett. Flertallet av høringsinstansene støttet dette. Heller ikke har noen av dagens lovbestemte helseregistre krav om samtykke eller reservasjonsrett når det gjelder registrering. At registeret er så komplett som mulig har vært viktig for at helseregistrene skal kunne tjene sine formål.
Et krav om samtykke eller en reservasjonsrett mot registrering i registeret vil kunne gi redusert datakvalitet, noe som kan få konsekvenser for helseanalyser, forskning og annen bruk av data fra legemiddelregisteret. En skjevhet i hvem som ikke gir samtykke eller som reserverer seg vil kunne påvirke registerets kvalitet. Innenfor visse behandlingsområder vil dekningsgraden i legemiddelregisteret kunne bli så lav at man ikke kan stole på resultatene fra registeret. For noen problemstillinger vil selv et lite frafall kunne gi alvorlige feil. Erfaringen med andre helseregistre viser at hvis pasientene faller fra og frafallet er skjevt, kan det bli alvorlige feil i datagrunnlaget som påvirker resultatene av registerstudiene. Det er ellers vanskelig å forutse hva som kan bli konsekvensene og hvor store de blir.
Det er likevel grunn til å tro at pasienter og brukere som reserverer seg har spesielle preferanser eller kjennetegn, som for eksempel alder, kjønn og bosted. Det kan tenkes at flere av de som for eksempel misbruker legemidler eller som bruker legemidler som oppfattes som spesielt sensitive, vil reservere seg. Da vil registeret ikke kunne gi et godt grunnlag for informasjon om legemiddelbruk i disse pasientgruppene, og det igjen vil gjøre det utfordrende for myndighetene å ta gode beslutninger på området.
Legeforeningen mener at frafall fra sårbare grupper tvert imot bør være et argument for at det bør være et krav om samtykke eller reservasjonsrett:
Dette er et eksempel på den konflikten som oppstår mellom hensynet til sårbare grupper og mulighetene for å registrere data, uten at det er problematisert hvilke virkninger dette kan gi, for eksempel om det vil føre til at denne gruppen vil forsøke å gå veien utenom det regulerte helsevesenet for å skaffe seg legemidlene. Det er ikke godt nok redegjort for hvorfor en lav andel av befolkningens behov for reservasjon tilsidesettes.
Funksjonshemmedes Fellesorganisasjon (FFO)
kan ikke forstå behovet for ikke å ha en reservasjonsrett. FFO mener i denne sammenheng at pasientenes selvbestemmelse må være førende. Erfaringsmessig så er det få som reserverer seg i fra å la seg registrere i helseregistre, så spørsmålet om kompletthet for registeret er mer av akademisk interesse.
Departementet legger til grunn at for å få gode studier er man avhengig av komplette, pålitelige datakilder med informasjon om bruk av legemidler i hele befolkningen. Departementet viser til at behovet for data om legemidlenes effekt, sikkerhet og bruk i den kliniske hverdagen har økt betydelig de senere årene (se punkt 13.4.1). I et ufullstendig datagrunnlag kan for eksempel signaler om sjeldne og potensielt alvorlige bivirkninger bli oversett, og anslag for hvor ofte bivirkningen forekommer kan bli underestimert. Et mer ufullstendig datagrunnlag vil innebære at det kan ta lenger tid før viktige effekter og/eller bivirkninger oppdages, hvis de i det hele tatt fanges opp. Resultatene fra studier vil også ha begrenset verdi hvis det er usikkerhet knyttet til påliteligheten og gyldigheten av resultatene. Et krav om samtykke eller reservasjonsrett kan altså føre til at et av de viktigste formålene med registeret ikke kan innfris.
Videre er det slik at konsekvensene for påliteligheten og gyldigheten av resultatene vil være spesielt store i tilfeller der antallet hendelser er få. Dette gjelder også for legemidler som få individer bruker. Mange av de nye legemidlene som kommer på markedet er godkjente til bruk for sjeldne sykdommer (for eksempel nyere kreftlegemidler og immunterapi), og dermed er det kun en liten gruppe individer som vil ta legemidlet i bruk. Hvis en høy andel av disse individene reserverer seg, vil det være vanskelig å studere effekten og sikkerheten av legemidlene etter at de er tatt i bruk. Nye legemidler er i tillegg ofte dyre, og i en situasjon hvor det er nødvendig å gjøre vanskelige prioriteringer på legemiddelfeltet kan det få uheldige konsekvenser at informasjonen om bruk av dyre legemidler ikke er komplett.
Et alternativ kunne vært en rett til å reservere seg mot noen typer bruk, men ikke mot å være registrert i registeret. En slik løsning ville bety at selv om den registrerte bruker reservasjonsretten vil det likevel kunne gjøres frafallsanalyser.
Departementet mener at det likevel ikke bør fastsettes en rett til å reservere seg mot noen typer bruk. Dette er en løsning som ble valgt for kommunalt pasient- og brukerregister og bivirkningsregisteret. Disse registrene har fastsatte hovedformål for innsamlingen av data, og sekundærformål som opplysningene kan brukes til og som de registrerte kan reservere seg mot. Hovedformålene er knyttet til myndighetenes oppgaver, mens for eksempel forskning, kvalitetsforbedring og beredskap er sekundærformål.
Departementet viser til at Reseptregisteret derimot har flere formål som alle er likestilte (forskning, utredning, styring osv.). Det er ikke grunnlag for å skille ut noen av disse formålene som viktigere enn de andre. Dersom det skulle være reservasjonsrett for noen typer bruk, vil opplysningene ikke kunne brukes til de formålene de er samlet inn for.
13.4.5 Dataansvaret
Departementet foreslår at Folkehelseinstituttet blir dataansvarlig for legemiddelregisteret, og at dette fastsettes i forskrifter etter helseregisterloven § 11. Instituttet er i dag dataansvarlig for Reseptregisteret. Det er flere fordeler med å videreføre Folkehelseinstituttet som dataansvarlig. Instituttet har allerede et fagmiljø med erfaring og kompetanse knyttet til forvaltning av personidentifiserbare helseregistre generelt, for eksempel Dødsårsaksregisteret, Meldingssystem for smittsomme sykdommer (MSIS), Medisinsk fødselsregister og Reseptregisteret. Folkehelseinstituttet har også ansvar for Verdens helseorganisasjons senter for kodeverket (ATC/DDD) som er et internasjonalt senter for klassifisering av legemidler. Nærhet til dette senterets fagmiljø er viktig for forvaltningen av Reseptregisteret fordi dette er det viktigste kodeverket i registeret. I tillegg har Folkehelseinstituttet et forskningsmiljø innenfor samme organisasjon med god kunnskap om opplysningene i registeret.
Departementet understreker at dataansvaret ikke gir større rett til å bruke dataene enn det andre har. Folkehelseinstituttets egen bruk av opplysningene utover forvaltning av registeret og tilretteleggelse for tilgjengeliggjøring av data, må ha rettslig grunnlag på samme måte som andre aktørers bruk. Det presiseres at forskere ved Folkehelseinstituttet også i dag må søke om tilgjengeliggjøring av data fra Reseptregisteret på tilsvarende måte som alle andre.
På sikt kan det bli aktuelt å vurdere om dataansvaret for legemiddelregisteret og andre nye registre som inkluderes på helseanalyseplattformen bør legges til Helsedataservice, slik at det forvaltningsorganet som Helsedataservice legges til får ansvaret også for forvaltning av disse registrene.
13.4.6 Historiske data
Departementet foreslår at data som nå er registrert i Reseptregisteret skal inkluderes i legemiddelregisteret.
Departementet viser til at opplysninger fra dagens Reseptregister vil være etterspurt for forskningsformål i lang tid etter opprettelsen av et direkte personidentifiserbart legemiddelregister. Data om legemiddelbruk over lang tid er viktig i legemiddelepidemiologisk forskning.
Å samle både eksisterende og nye data om legemidler i ett register vil legge til rette for å få med kontinuiteten i legemiddelbruken uten brudd i tidsserien. Antibiotikasenteret for primærmedisin ved Universitetet i Oslo støtter dette og påpeker at i «kvalitetsforbedringsarbeid er det helt nødvendig å følge endringer over tid. Det er derfor viktig at det planlagte Legemiddelregisteret også vil omfatte data bakover i tid.»
Direktoratet for e-helse uttaler at det
er av stor betydning at også de historiske dataene i Reseptregisteret innlemmes, fordi det er et stort behov for å se på kontinuiteten i legemiddelbruken f. eks for bivirkninger, legemiddelskader og feilmedisinering. Personidentifiserbare historiske data vil være av vesentlig betydning for fremtidig medisinsk og farmasøytisk forskning, og vil legge til rette for blant annet tryggere og mer effektiv legemiddelutvikling. Etter vår forståelse vil historiske data fra Reseptregisteret etterspørres i så lang tid som 20–30 år, og det vil være svært kostbart og lite effektivt å opprettholde en pseudonym løsning for historikken i registeret.
Et eksempel er studier av forebyggende legemiddelbehandling, fordi det kan ta lang tid fra behandlingen startes til det er mulig å innhente informasjon om effekten av behandlingen i den generelle befolkningen. Et annet eksempel er behovet for lange, sammenhengende tidsserier for å kunne gjennomføre studier av kreftutvikling eller andre bivirkninger som kan oppstå etter langtidsbruk av legemidler. Det samme gjelder for legemidler som benyttes av få individer eller som har bivirkninger og effekter som forekommer sjelden eller i utvalgte pasientgrupper. Det er da nødvendig å inkludere individer over en lang periode for å sikre tilstrekkelig antall inkluderte, og dermed oppnå nødvendig statistisk styrke i analysene for kunne skape et sikrere kunnskapsgrunnlag.
Dersom det i stedet skal være to registre (et personidentifiserbart legemiddelregister og et pseudonymt Reseptregister), vil ulempene ved pseudonymiseringen bli videreført, inkludert ulempene knyttet til sammenstillinger og tilgjengeliggjøring som er beskrevet i punkt 13.4.3. Samtidig vil vi miste de fordelene som et direkte personidentifiserbart legemiddelregister vil innebære, både med hensyn til tilgjengelighet, konfidensialitet og informasjonssikkerhet. Nytten og gevinsten knyttet til legemiddeldata på helseanalyseplattformen vil ikke kunne realiseres så tidlig som planlagt.
Videreføring av det historiske Reseptregisteret vil kreve parallell forvaltning av to registre med legemiddelopplysninger. Det vil være langt mer ressurskrevende teknisk og juridisk å forvalte både et pseudonymt Reseptregister og et personidentifiserbart legemiddelregister, sammenliknet med kun å forvalte ett personidentifiserbart legemiddelregister. For at et «historisk Reseptregister» skal kunne bevares i ubegrenset tid, må det gjennomføres en nyskriving av store deler av dagens løsning fordi det er behov for en modernisering. Dette må skje i tillegg til at en ny løsning for legemiddelregisteret etableres og forvaltes. Folkehelseinstituttet anslår at de totale kostnadene knyttet til investering og drift de første fem årene til å bli 35 millioner kroner mindre dersom det historiske Reseptregisteret i stedet inkluderes i legemiddelregisteret (se nærmere i punkt 15.3).
Dersom opplysningene i dagens Reseptregister fortsatt skal være pseudonyme, kan en heller ikke nyttiggjøre seg nye brukervennlige fellesløsninger som utvikles for de lovbestemte, direkte personidentifiserbare registrene. Det må utvikles og vedlikeholdes egne løsninger for opplysningene i dagens Reseptregister knyttet til for eksempel innsyn. Registrerte som ønsker innsyn, må i tilfelle søke om dette fra to ulike registre.
Dette er likevel løsningen som er valgt for inkluderingen av IPLOS-registeret i Kommunalt pasient- og brukerregister. Opplysningene som samles inn i registeret i fremtiden vil være direkte identifiserbare, mens de eksisterende dataene i IPLOS vil forbli pseudonyme. IPLOS-opplysningene kan brukes, men bare i samsvar med pseudonymiseringskravene i IPLOS-forskriften. En viktig forskjell er imidlertid at IPLOS-dataene brukes minimalt til forskning og helseanalyse sammenliknet med data fra Reseptregisteret. Heller ikke er det samme behov for lange tidsserier for IPLOS-data. Forskriften ble også fastsatt før arbeidet med helseanalyseplattformen var kommet så langt som nå, slik at dette ikke var et aktuelt moment å legge vekt på.
Departementet mener at en innlemming av historiske data fra Reseptregisteret i det nye legemiddelregisteret ikke vil være i strid med forbudet i Grunnloven § 97 mot å gi lover tilbakevirkende kraft. Departementet viser til at hvorvidt tilbakevirkningen er rettsstridig vil avhenge av en helhetsvurdering der det legges stor vekt på hvor alvorlig inngrepet er for den enkelte, hva lovgivers formål har vært, hvor forutsigbart inngrepet var og hvor fremtredende de tilbakevirkende elementene er (jf. Dokument 16 (2011–2012) Rapport fra Menneskerettighetsutvalget om menneskerettigheter i Grunnloven, avgitt 19. desember 2011, punkt 25.2).
Departementet deler ikke Datatilsynets oppfatning om at det er tale om et alvorlig inngrep i de registrertes rettsstilling. Departementet viser til at opplysningene er samlet inn uten de registrertes samtykke. Det som endres er måten konfidensialiteten beskyttes på. I det nye registeret vil konfidensialiteten og andre personvernkrav bli ivaretatt like godt som i det eksisterende pseudonyme registeret. Det vises også til at formålet med lovendringen er at opplysningene skal bli brukt i større utstrekning i samsvar med de formålene de opprinnelig ble innhentet for.
Departementet mener at heller ikke personvernreglene er i veien for lovendringen. Departementet viser til at det rettslige grunnlaget etter forordningen artikkel 6 og 9 fremdeles vil være det samme.
13.4.7 Samlet vurdering av personvernkonsekvensene og forholdsmessigheten
Departementet foreslår flere endringer knyttet til legemiddelregisteret som kan få betydning for de registrertes personvern. Departementet foreslår å endre registeret fra å inneholde pseudonyme personopplysninger til å inneholde direkte identifiserbare personopplysninger, og at dette også skal gjelde for historiske persondata. Videre foreslås det at registeret ikke skal baseres på samtykke eller reservasjonsrett. Kravet om at sammenstillinger med opplysninger må utføres slik at enkeltpersoner ikke skal kunne gjenkjennes ved hjelp av de sammenstilte opplysningene, videreføres ikke. Det at opplysninger fra legemiddelregisteret skal tilgjengeliggjøres og sammenstilles fra helseanalyseplattfiormen, vil føre til flere sammenstillinger og økt bruk av dataene. Samlet og isolert sett innebærer disse endringene en større personvernbelastning enn gjeldende regler.
Departementet mener imidlertid at dette må ses i lys av andre endringer, som vil redusere ulempene og som til dels også vil kunne gi bedre personvern på enkelte områder. Dette er det gjort rede for i punkt 13.4.2 og 13.4.3. Departementet viser her særlig til at nye og moderne krypteringsløsninger kan tas i bruk, det vil bli mindre datastrøm ved sammenstillinger, at helseanalyseplattformen skal gjøre det mulig å bruke opplysningene uten at brukeren får utlevert eller sett personidentifiserbare data og at det vil bli bedre kvalitetskontroll.
Uansett mener departementet at nytten av økt bruk av legemiddeldata til befolkningens beste, klart overstiger disse ulempene. Videre er det også slik at heller ikke Reseptregisteret er basert på samtykke eller reservasjonsrett.
13.4.8 Forskriftshjemmel
Departementet foreslår en ny bokstav k «Legemiddelregister» i helseregisterloven § 11 første ledd. Dette vil gi Kongen i statsråd hjemmel til å fastsette en forskrift om et legemiddelregister med direkte personidentifiserbare opplysninger som kan behandles uten de registrertes samtykke eller reservasjonsrett.
Forskriften skal ha bestemmelser om registerets formål (hva opplysningene i registeret skal kunne brukes til) og om hvilke opplysninger registeret kan inneholde. Registeret skal ha samme formål som Reseptregisteret.
Legemiddelregisteret skal i utgangspunktet inneholde de samme opplysningene som Reseptregisteret. Det bør imidlertid åpnes for å utvide registeret med enkelte opplysningstyper. Hvilke opplysninger registeret skal inneholde vil bli vurdert nærmere i arbeidet med forskriften. Det samme gjelder datakilder, rapporteringsplikt og måten opplysningene skal samles inn på.
Departementet viser til at forslag til forskriften har vært på høring, og at disse spørsmålene vil bli vurdert nærmere i forskriftsarbeidet.
14 Demografiske og sosioøkonomiske opplysninger
Departementet foreslår endringer i helseregisterloven § 14 slik at demografiske og sosioøkonomiske bakgrunnsopplysninger fra Skatteetaten og NAV skal kunne gjøres tilgjengelig for helseregistre uten hinder av taushetsplikten.
14.1 Høringsinstansenes syn
Følgende høringsinstanser støtter forslaget: Direktoratet for e-helse, Helsedirektoratet, Folkehelseinstituttet, Forskningsrådet, Arbeidstilsynet, Barne-, ungdoms- og familiedirektoratet, Kreftregisteret, Helse Midt-Norge RHF, Helse Sør Øst RHF, Helse Bergen HF, Oslo universitetssykehus HF, St Olavs hospital HF, Akershus Universitetssykehus HF, Oslo kommune, Kreftforeningen, Legeforeningen, Norce, Unit, Universitetet i Oslo, Universitetet i Bergen, Forskningsinstituttenes Fellesarena (FFA), Senter for klinisk dokumentasjon og evaluering (SKDE), Statens arbeidsmiljøinstitutt (STAMI), Sintef, Legemiddelindustrien, Abelia og Biobank Norge.
Disse høringsinstansene legger vekt på at tilgang til demografiske og sosioøkonomiske bakgrunnsopplysninger på individnivå er viktig for å kunne følge med på utviklingen i, og sammenhengene mellom, sosioøkonomiske forhold og forskjeller i tjenestetilbud og tjenesteforbruk både i spesialisthelsetjenesten og den kommunale helse- og omsorgstjenesten.
Datatilsynet mener at dette er en endring som må vurderes nærmere og med et bredere perspektiv enn det som gikk frem av høringsnotatet. Personvernombudet ved Oslo universitetssykehus påpeker at inkluderingen av flere opplysninger gir potensielt flere identifiseringsmarkører slik at opplysninger som i utgangspunktet er anonyme ikke lenger er det.
14.2 Departementets vurdering
Den foreslåtte lovendringen vil legge til rette for at et begrenset sett med demografiske og sosioøkonomiske bakgrunnsopplysninger gjøres tilgjengelig for helseregistre etablert med hjemmel i lov og forskrift. Kreftregisteret, Norsk pasient- og brukerregister, Kommunalt pasient- og brukerregister, det nye legemiddelregisteret og medisinske kvalitetsregistre er eksempler på registre som omfattes av forslaget.
Det må fastsettes i forskrift dersom de aktuelle opplysningene skal kunne inngå i registeret. Helseregistre som Kommunalt pasient- og brukerregister, Kreftregisteret og medisinske kvalitetsregistre har allerede hjemmel til å behandle demografiske og sosioøkonomiske opplysninger om de registrerte.
Helsedatautvalget viste til viktigheten av tilgang til korrekte demografiske og sosioøkonomiske data på individnivå for å kunne analysere helsedata med hensyn til demografiske og sosioøkonomiske forhold, både for statistikk, helseanalyser og forskning, kvalitetsforbedring, planlegging og styring. Utvalget fremhevet at disse bakgrunnsfaktorene for eksempel er nødvendige for å analysere ulikheter i helse og helsetjenesteforbruk i befolkningen og for kvalitetsindikatorer for helse- og omsorgstjenestene.
Aktuelle demografiske og sosioøkonomiske data kan være:
landbakgrunn og innvandringskategori
utdanningsnivå
arbeidstilknytning, trygdestatus og inntektsnivå
grunnkretsdata på individnivå (en grunnkrets er et geografisk sammenhengende område innenfor en kommune)
Selv om enkelte helseregistre har hjemmel til å innhente slike opplysninger via helse- og omsorgstjenestene, mener departementet at denne typen grunnleggende persondata bør kunne innhentes og gjenbrukes fra eksisterende datakilder i statsforvaltningen. Skatteetaten og Arbeids- og velferdsetaten (NAV) er primærkildene for opplysningene.
Innhentede opplysninger som skal inngå i helseregistrene vil lagres med egen hjemmel i helseregisterloven og registerforskriftene. Bruk av disse opplysningene sammen med helsedata vil gi analysene betydelig merverdi og bidra til et bedre kunnskapsgrunnlag. Demografiske og sosioøkonomiske bakgrunnsopplysninger er faktorer som kan være forbundet med ulikheter i livsstil og helse og avgjørende for å kunne styre og planlegge i helsesektoren.
Et helseregister inneholder primært helseopplysninger. At det lovfestes at demografiske og sosioøkonomiske data kan innhentes fra primærkilden endrer ikke risikobildet. Departementet viser til at det er tale om opplysninger som registrene må ha hjemmel for å motta og behandle etter registerforskriftene. De aktuelle opplysninger er etter departementets vurdering i mange sammenhenger offentlig informasjon og i begrenset utstrekning av sensitiv karakter. Videre vil endringen bidra til større sikkerhet for at opplysningene som behandles er korrekte, jf. personvernforordningen artikkel 5 bokstav d. Helseregistrene er uansett underlagt strenge krav til informasjonssikkerhet.
Ny statistikklov er vedtatt, men bare i begrenset utstrekning trådt i kraft. Loven åpner ikke for utlevering fra Statistisk sentralbyrå på en måte som kan ivareta behovene for helseregistrene på en tilfredsstillende måte, se Prop. 72 LS (2018–2019). Det europeiske statistikkregelverket setter begrensninger for bruken av opplysninger innhentet for statistikkformål, som ikke kan fravikes i den norske statistikkloven. Dersom opplysninger innhentet med opplysningsplikt utleveres fra Statistisk sentralbyrå, følger disse begrensningene med.
15 Økonomiske og administrative konsekvenser
15.1 Vilkår for tilgjengeliggjøring og sammenstilling
Departementet foreslår i kapittel 11 lovfestede vilkår for tilgjengeliggjøring og sammenstilling. Dette skal bidra til likebehandling, forutsigbarhet og forenkling ved tilgjengeliggjøring av helseopplysninger fra helseregistre til bruk i forskning, styring, beredskap, kvalitetsforbedring og andre sekundære formål. Lovendringen vil ikke ha administrative konsekvenser eller gi økte kostnader, men kan gjennom forenkling av regelverket bidra til reduserte kostnader for brukerne av helsedata og bidra til mer kostnadseffektiv søknadsbehandling for forvaltningen.
15.2 Etablering av Helsedataservice og utvikling av helseanalyseplattformen
Det er i all hovedsak registerforvalterne som har innspill til omtalen av økonomiske og administrative konsekvenser av forslaget i kapittel 12 om å etablere en nasjonal løsning for tilgjengeliggjøring av helsedata (helseanalyseplattformen og Helsedataservice). Helsedirektoratet uttaler for eksempel at en eventuell flytting av ressurser og kompetanse til Helsedataservice ikke kan gjennomføres før det er avklart hvilken betydning etableringen får for oppgavene til registerforvalterne. Folkehelseinstituttet mener at de foreslåtte lov- og forskriftsendringene vil ha både store administrative konsekvenser og gi betydelig økte kostnader for registerforvalterne, ikke bare i etableringsfasen, men også i videre drift. Folkehelseinstituttet viser til at registerforvaltere fremdeles skal ha ansvar for data inn i registrene, kvalitetssikring og regelmessig avlevering av data til helseanalyseplattformen. Samlet sett mener Folkehelseinstituttet derfor at dagens kapasitet hos registerforvalterne sannsynligvis bør økes spesielt for å ivareta høy kvalitet på dataene og fordi det er forventet en økt etterspørsel.
Senter for klinisk dokumentasjon og evaluering (SKDE) viser i sin høringsuttalelse til at de fleste medisinske kvalitetsregistrene i svært liten grad har dedikerte stillingsandeler til analyse og utlevering av data.
Departementets forslag om å etablere Helsedataservice som en nasjonal løsning for å forvalte tilgang til helsedata, innebærer at ansvar og oppgaver knyttet til tilgjengeliggjøring av helsedata vil bli flyttet fra eksisterende registerforvaltere og samles hos en etat under Helse- og omsorgsdepartementet. Det skal også etableres en tverrsektoriell organisering for fag- og brukermedvirkning som etter programperioden kan erstatte dagens programorganisering av Helsedataprogrammet med programstyre og referansegruppe.
Etablering av Helsedataservice vil avlaste registerforvalterne for oppgaver knyttet til søknadsbehandling og tilgjengeliggjøring av data. Forslaget innebærer at det må flyttes ressurser og kompetanse fra etater som forvalter tilgang til data fra registrene i dag til den etaten som får ansvar for Helsedataservice. Det vil imidlertid være mindre relevant for de medisinske kvalitetsregistrene i regi av helseforetakene som i liten grad forvalter ressurser til denne typen aktiviteter i dag. Det er anslått at 40 årsverk ble brukt til arbeidet med å forvalte tilgang til helsedata i 2016. Direktoratet for e-helse har, i rapporten Alternative løsninger for tilgangsforvalterfunksjonen og organisatorisk forankring av Helseanalyseplattformen fra 2018, gjort noen foreløpige anslag på årsverksbehov gitt ulike nivåer av tjenestetilbud. I følge disse anslagene vil Helsedataservice ha behov for 20–30 årsverk gitt et svært begrenset tjenestetilbud og begrenset overføring av funksjoner (årsverksbehov hos registerforvalterne er ikke anslått), 40–50 årsverk gitt et redusert tjenestetilbud og full overføring av funksjoner, og 70–80 årsverk gitt et fullt utbygd tjenestetilbud og full overføring av funksjoner. Årsverksanslagene er ikke direkte sammenliknbare med anslagene fra 2016 fordi Helsedataservice vil ha andre oppgaver knyttet til tilgjengeliggjøring av data enn dagens registerforvaltere. Det gjelder særlig alternativet med et fullt utbygd tjenestetilbud. Direktoratet for e-helse har fått i oppdrag å gjøre en nærmere vurdering og konkretisering av oppgavene til Helsedataservice som grunnlag for beslutningen om organisatorisk forankring. Overføring av oppgaver og kompetanse fra registerforvalterne skal gjøres stegvis og gjennomføringsplanen skal være basert på oppdaterte vurderinger av økonomiske og administrative konsekvenser.
Departementet er enig med registerforvalterne i at helseanalyseplattformen vil innebære merarbeid for dem i etableringsfasen. Tiltaket vil ha omstillingskostnader knyttet til blant annet innføring av felles saksbehandlingsløsning og søknadstjeneste, etablering av felles metadataforvaltning og tilrettelegging for overføring av data til helseanalyseplattformen. Videre vil etablering av Helsedataservice medføre rutineendringer, regelverksutvikling, kompetanseutvikling og tilpasning til nye verktøy. Deler av disse utgiftene vil finansieres gjennom eksisterende bevilgninger til helsedataprogrammet. Øvrige utgifter finansieres innenfor registerforvalternes gjeldende bevilgninger. Departementet understreker videre at registerforvalterne fremdeles vil ha ansvar for data inn i registrene, kvalitetssikring og regelmessig avlevering av data til helseanalyseplattformen. Omfanget av ressurser og kompetanse som skal overføres fra registerforvalterne til Helsedataservice må vurderes i lys av dette.
I tillegg vil det være betydelige investeringskostnader knyttet til utvikling av fellesløsninger for helseregistrene, etablering av felles søknadsskjema og saksbehandlingsløsning, og den tekniske infrastrukturen som gjør det mulig å gjennomføre analyser på helseanalyseplattformen. Dette er arbeid som allerede pågår og som er finansiert gjennom midler fra Forskningsrådet og særskilte bevilgninger over statsbudsjettet. Helseanalyseplattformen kommer inn under statens prosjektmodell for store investeringer. Det ble våren 2019 gjennomført en ekstern kvalitetssikring (KS2) av styringsunderlag og kostnadsoverslag for investeringene i analyserom, dataplattform og analysetjenester. Ekstern kvalitetssikrer anbefalte at tiltaket gjennomføres innenfor en styringsramme på 560 millioner kroner.
Gevinstene av tiltaket er betydelige. Den samfunnsøkonomiske analysen fra konseptvalgutredningen synliggjorde at tiltaket har et gevinstpotensial som langt overstiger kostnadene. Vurderingene fra den eksterne kvalitetssikringen bekrefter dette. I konseptvalgutredningen ble gevinstene anslått til 7,5 milliarder kroner over 15 år. Analysen inkluderer prissatte virkninger av økt verdiskapning i helseindustrien, mer effektiv legemiddelutvikling, tidsbesparelser for forskere og registerforvaltere, og reduserte drifts- og investeringskostnader for helseregistre og forskning. I tillegg kommer de ikke-prissatte virkningene av mer og bedre helseforskning, bedre styringsdata og bedre beslutningsstøtte for helsepersonell. Gevinstene vil være avhengig av framdriften i den stegvise realiseringen av helseanalyseplattformen. Helsedataprogrammet oppdaterer analysen jevnlig og per juni 2019 ble den samfunnsøkonomiske lønnsomheten anslått til 6,8 milliarder kroner.
Kostnadene til søknadsbehandling og til forvaltning og drift av helseanalyseplattformen skal dekkes gjennom ulike former for brukerbetaling. Helsedataservice skal kunne ta betalt for faktiske utgifter til administrativt arbeid, tilrettelegging og tilgjengeliggjøring av data. I tillegg foreslår departementet at Helsedataservice skal kunne ta betalt for kostnader knyttet til tilgjengeliggjøring av helsedata utover faktiske utgiftene ved saksbehandlingen av de konkrete søknadene. I punkt 12.5.12 foreslår departementet at det skal kunne gis forskrifter om betaling fra mottakere av data fra helseanalyseplattformen for å finansiere kostnader ved å produsere og levere tjenester fra plattformen. Dette er brukerbetaling som skal bidra til å finansiere vedlikehold og videreutvikling av helseanalyseplattformen. Direktoratet for e-helse utreder nå den framtidige finansieringsmodellen for Helsedataservice og helseanalyseplattformen i regi av Helsedataprogrammet.
15.3 Legemiddelregisteret
Etablering av et personidentifiserbart legemiddelregister basert på dagens reseptregister som foreslås i kapittel 13, vil først og fremst ha økonomiske konsekvenser i form av etablerings- og investeringskostnader for Folkehelseinstituttet. Folkehelseinstituttet har anslått kostnadene ved realisering av dagens Reseptregister som et personidentifiserbart legemiddelregister til mellom 30 og 35 millioner kroner. Kostnadene er blant annet knyttet til etablering av en ny IT-løsning og overføring av data fra dagens Reseptregister. En ny IT-løsning er nødvendig for at registeret og behandlingen av opplysningene skal oppfylle helseregisterlovens krav om blant annet sikring av opplysningene, tilgangsstyring, logging og de registrertes rett til innsyn for et personidentifiserbart register. Registeret og alle tilhørende applikasjoner vil bli utviklet i tråd med prinsippene om innebygd personvern som beskrevet i Datatilsynets veileder Programvareutvikling med innebygd personvern. Deler av kostnadene dekkes innenfor Folkehelseinstituttets budsjett og framdriften i etablering av registeret vil for øvrig være avhengig av det økonomiske handlingsrommet.
Endringen fra et pseudonymt reseptregister til et personidentifiserbart legemiddelregister, vil ikke få økonomiske og administrative konsekvenser for aktørene som melder inn legemiddeldata. Siden legemiddelregisteret etableres som et personidentifiserbart register, vil imidlertid funksjonen som tiltrodd psesudonymforvalter i Statistisk sentralbyrå ikke lengre være nødvendig.
Målet er at legemiddelregisteret på sikt skal inneholde legemiddeldata fra institusjon, men dette er et arbeid som pågår uavhengig av forslag til regelendringer i denne proposisjonen. Folkehelseinstituttet har startet arbeidet med å planlegge et prosjekt for utrede løsninger for å innhente data fra institusjon. Vurdering av økonomiske og administrative konsekvenser for institusjonene vil være en del av dette planleggingsarbeidet.
Det må forventes at etablering av et personidentifiserbart legemiddelregister vil gi noe økte kostnader til forvaltning og drift sammenliknet med dagens reseptregister. Folkehelseinstituttet har anslått kostnadsøkningen til om lag 2,5 millioner kroner årlig ved overgang til et personidentifiserbart register. Dette er kostnader til økt systemforvaltning, økte driftskostnader i Norsk Helsenett og kostnader til helsenorge.no for innsynsløsninger.
Etablering av et personidentifiserbart legemiddelregister vil gi store gevinster. I konseptvalgutredningen for helseanalyseplattformen er det gjennomført en samfunnsøkonomisk analyse av helseanalyseplattformen som inkluderer gevinster innenfor legemiddelområdet. Nåverdien av mer effektiv utvikling og oppfølging av legemidler er beregnet til 3,9 milliarder kroner over 15 år. En stor del av denne gevinsten forutsetter at legemiddeldata er tilgjengelige på helseanalyseplattformen og at sammenstilling med andre data kan utføres enkelt og effektivt.
Apotekforeningen etterlyser omtale av økonomiske og administrative konsekvenser for apotekene. Departementet understreker at etablering av dagens Reseptregister som personidentifiserbart legemiddelregister ikke vil ha konsekvenser for apotekene. Når det gjelder innrapportering av eventuelle nye opplysninger, vil departementet komme tilbake til Apotekforeningens innspill i sammenheng med forskriftsarbeidet. Det er imidlertid ikke lagt opp til at apotekene skal ha plikt rapportere informasjon som ikke allerede registreres i apoteksystemene.
16 Merknader til de enkelte bestemmelsene
16.1 Endringer i helsepersonelloven
Til § 29 Opplysninger til statistikk, helseanalyser, forskning, kvalitetsforbedring, planlegging, styring og beredskap (dispensasjon fra taushetsplikten)
Helseopplysninger i pasientjournaler mv. er taushetsbelagte, jf. helsepersonelloven §§ 21 flg. Dersom opplysninger i pasientjournaler skal tilgjengeliggjøres må enten de registrerte ha samtykket til tilgjengeliggjøringen eller så må tilgjengeliggjøringen være i samsvar med unntak eller dispensasjon fra taushetsplikten.
Helsepersonelloven § 29 regulerer vedtak om dispensasjon fra taushetsplikten (se punkt 11.4.6). Bestemmelsen erstatter gjeldende helsepersonellov § 29 og § 29 b, og helseforskningsloven § 35, når det gjelder tilgjengeliggjøring fra pasientjournaler. Bestemmelsen viderefører gjeldende materielle vilkår og vurderingstema for vedtak om dispensasjon fra taushetsplikten. Det er imidlertid gjort lovtekniske og språklige endringer. Vurderingstemaene som i praksis innfortolkes i gjeldende bestemmelse er nå konkretisert og synliggjort i lovteksten.
Gjeldende § 29 gjelder i utgangspunktet helsepersonells tilgjengeliggjøring av opplysninger fra pasientjournaler. Ved tilgjengeliggjøring fra andre helseregistre gjelder bestemmelsen tilsvarende, jf. gjeldende helseregisterlov § 17 første ledd første punktum. Dette deles nå i to bestemmelser i henholdsvis helsepersonelloven § 29 og i helseregisterloven § 19 e.
Bestemmelsen gjelder i utgangspunktet enkeltutleveringer av opplysninger. Periodiske utleveringer kan imidlertid også være aktuelt.
Den nye bestemmelsen i helsepersonelloven § 29 gjelder tilgjengeliggjøring av opplysninger i pasientjournaler og andre behandlingsrettede helseregistre, dvs. der opplysningene tilgjengeliggjøres fra helsepersonell. Ved tilgjengeliggjøring av opplysninger fra helseregistre som reguleres av helseregisterloven, gjelder dispensasjonsbestemmelsen i helseregisterloven § 19 e.
Det skal gjøres en konkret vurdering der samfunnsnytten skal veies opp mot personvernulempene for den enkelte. Hensynene bak taushetsplikten og pasientens rett til vern mot spredning av opplysninger skal veie tungt. Tilgjengeliggjøringen må også vurderes i lys av kravene i forordningen artikkel 6 og 9, jf. helsepersonelloven § 29 femte ledd. For eksempel kan det tenkes at kravet om proporsjonalitet vil sette en grense for hva slags eller hvor omfattende behandling som kan forankres i bestemmelsen. Dette henger sammen med at vedtaket vil gi mottakeren supplerende rettsgrunnlag for behandlingen, jf. også Den europeiske menneskerettskonvensjon artikkel 8 og Grunnloven § 102 om retten til privatliv og familieliv. Se punkt 11.1.1.1 der det fremgår at dispensasjonsvedtaket gir supplerende rettsgrunnlag for mottakerens behandling.
Første ledd
Vilkårene for å gi dispensasjon står i første ledd. Dispensasjonsmyndigheten må vurdere hva søkeren skal bruke opplysningene til, om søkeren har rettslig grunnlag for sin behandling, hvordan informasjonssikkerheten i søkerens virksomhet skal ivaretas mv. Alle vilkårene må være oppfylt. Vilkårene er harmonisert med helseregisterloven § 19 a om vilkår for den dataansvarliges (registerforvalterens) tilgjengeliggjøring dersom det ikke er gitt dispensasjon fra taushetsplikten. Forskjellen mellom disse bestemmelsene er i første rekke hvem som skal vurdere om vilkårene er oppfylt. Dersom det gis dispensasjon fra taushetsplikten etter helsepersonelloven § 29 vil det være departementet. Det følger av punkt 12.5.9.2 at myndigheten skal delegeres til Helsedataservice.
Bokstav a: Bestemmelsen fastsetter hvilke formål det kan gis dispensasjon for. Listen i gjeldende § 29 er supplert med statistikk, slik at bestemmelsen korresponderer med formål og virkeområde til helseregisterloven, jf. § 1 og § 3. Planlegging og styring omfatter også blant annet finansiering. Utviklingsarbeid regnes som medisinsk og helsefaglig forskning og vil dermed omfattes av dispensasjonshjemmelen. Med utviklingsarbeid menes «systematisk virksomhet som anvender eksisterende kunnskap fra forskning og praktisk erfaring som er rettet mot å utvikle nye eller forbedrede produkter, prosesser, systemer og tjenester, og som det er naturlig å karakterisere som forskning», jf. forarbeidene til helseforskningsloven (Ot.prp. nr. 74 (2006–2007) punkt 9.3.3.1). Opplysningene kan brukes i behandlingsforskning og til andre behandlingsformål, jf. «gi bedre helse- og omsorgstjenester».
Bokstav b: Mottakeren skal gjøre rede for hvilke egnede tekniske og organisatoriske tiltak som skal settes i verk for å ivareta informasjonssikkerheten, før opplysningene kan tilgjengeliggjøres. Mottakeren skal ha en dokumentert evne til å håndtere dataene på en sikker måte. Opplysningenes konfidensialitet, integritet og tilgjengelighet er sentrale elementer i informasjonssikkerheten etter helseregisterloven § 21 og forordningen artikkel 32. Kravet om konfidensialitet i behandlingssystemene og tjenestene innebærer at opplysningene må være sikret mot at uvedkommende får kjennskap til dem. Med integritet menes beskyttelse mot utilsiktede endringer av opplysningene. Informasjonsinnholdet skal være korrekt, relevant, oppdatert og fullstendig. Opplysningene skal sikres mot utilsiktede endringer.
Dette betyr ikke at den dataansvarlige som gir fra seg opplysningene skal få et ansvar for informasjonssikkerheten hos mottakeren. Dette er uansett mottakerens ansvar. Mottakeren vil som dataansvarlig ha plikt til å sørge for informasjonssikkerheten når opplysningene mottas. Kravet om at informasjonssikkerhetstiltakene skal beskrives, vil imidlertid gjøre det mulig å forhindre at opplysninger leveres ut til mottakere som ikke er seriøse. I slike tilfeller skal opplysningene ikke tilgjengeliggjøres fordi det ikke er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn, jf. § 19 a fjerde ledd.
Helsedataservice kan etablere en ordning med autorisasjon av mottakere slik at det ikke blir nødvendig å legge frem denne dokumentasjonen i hver søknad. Dersom mottakeren er autorisert vil vilkåret kunne anses som oppfylt. Autorisering av brukere kan særlig være aktuelt i forbindelse med helseanalyseplattformen. Videre vil det ikke være samme behov for en vurdering av informasjonssikkerheten hos mottakeren dersom det bare skal gis tilgang i et lukket driftssikkert datarom på helseanalyseplattformen, uten at brukeren skal kunne ta med seg ut personidentifiserende opplysninger. Se også om autorisasjon i punkt 12.5.9.5 om tilgang i et sikkert og lukket analyserom, der det fremgår at vurderingen av om dette vilkåret er oppfylt vil kunne forenkles i den konkrete søknadsbehandlingen dersom det innføres et system med autorisering av brukere.
Bokstav c: Behandlingen av opplysningene skal være av vesentlig interesse for samfunnet. Dette skal forstås på samme måte som etter gjeldende helseregisterlov § 20 (se Prop. 72 L (2013–2014) punkt 21.3.2 og punkt 24.2 merknadene til § 20 andre ledd), gjeldende helsepersonellov § 29 b (se Ot.prp. nr. 13 (1998–99) punkt 5.2.4 og merknadene til § 29c i punkt 7.1) og gjeldende helseforskningslov § 35 (Ot.prp. nr. 74 (2006–2007) punkt 16.6.4). I disse forarbeidene gis det en anvisning på en konkret helhetsvurdering der en rekke hensyn må veies opp mot hverandre, så som samfunnets nytteverdi av forskningen, etiske hensyn, ulempen for den enkelte og hvor vanskelig det vil være å innhente samtykke.
Andre ledd
Det presiseres at det ikke skal tilgjengeliggjøres flere opplysninger enn det som er nødvendig for formålet.
Det følger av helseregisterloven § 6 andre ledd at graden av personidentifikasjon ikke skal være større enn nødvendig for det aktuelle formålet (se punkt 11.4.5.6). Dette betyr at helsedata skal tilgjengeliggjøres anonymt dersom mottakerens formål kan oppnås med slike opplysninger.
Dersom mottakeren må ha personidentifiserbare opplysninger for å oppnå formålet med behandlingen, skal opplysningene i utgangspunktet tilgjengeliggjøres uten navn, fødselsnummer eller andre direkte personentydige kjennetegn (dvs. som indirekte identifiserbare opplysninger). Kun dersom særlige grunner gjør det nødvendig, kan opplysningene tilgjengeliggjøres med personentydige kjennetegn.
Dersom det ikke er nødvendig å behandle direkte personentydige kjennetegn, skal disse fjernes fra datasettet. I praksis er det svært sjelden at det er nødvendig for mottakeren å få personentydige kjennetegn. Et eksempel hvor det ofte kan være nødvendig med personentydige kjennetegn er dersom opplysninger fra et lovbestemt helseregister skal kobles til pasientjournaler. I slike tilfeller kan det ofte være hensiktsmessig at fødselsnummeret brukes som koblingsnøkkel.
Det er viktig å vurdere hvilke variabler eller grupper av variabler det er nødvendig å behandle, slik at muligheten for bakveisidentifisering blir minst mulig. Som eksempel vil opplysninger om kjønn ofte anses som en nødvendig opplysning, selv om det øker risikoen for bakveisidentifikasjon. Når det gjelder opplysning om alder derimot, er det grunn til å tro at opplysninger om fødselsdag og fødselsmåned i mange tilfeller ikke vil være en nødvendig opplysning. I stedet kan man eventuelt gruppere fødselsår, for eksempel i fem eller ti års intervaller, uten at det begrenser muligheten til å nå formålet med behandlingen av opplysningene.
Adressesperre er et tiltak som kan iverksettes for å beskytte trusselutsatte personer. Geolokaliserende informasjon inkluderer, men er ikke begrenset til, bostedsadresse, bostedskommune, skole, arbeidsplass, barnehage, fastlege, avtaler i spesialisthelsetjenesten, uthenting av medisin ved apotek, bruk av NAV-kontor og andre lokale støtteordninger. Hvilke opplysninger som kan sies å være geolokaliserende, må vurderes konkret i hvert enkelt tilfelle. I disse tilfellene vil adressesperren og hensynene bak den gå foran reglene om tilgjengeliggjøring. Det vil ikke være ubetenkelig ut fra etiske hensyn å tilgjengeliggjøre disse opplysningene, jf. fjerde ledd.
Det er søkeren som må begrunne at opplysningene er nødvendige for det aktuelle formålet.
Tredje ledd
Dispensasjonsmyndigheten kan pålegge særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser. Dette er en mulighet som kan benyttes etter en konkret vurdering der det anses nødvendig for å sikre de registrertes personvern. Dette er en videreføring og presisering av gjeldende rett. For eksempel kan lagringstiden for opplysningene begrenses, med en konkret og kortere frist for sletting enn det som følger av den generelle sletteplikten i forordningen artikkel 5. Andre tiltak kan være krav til lagring av opplysningene eller særlige vilkår for deling av opplysningene med prosjektdeltakere fra land utenfor EU/EØS. Se nærmere i punkt 11.4.7.
Mottakeren vil ha taushetsplikt, jf. helseregisterloven § 17 og helseforskningsloven § 7. Ved overføring til andre land, vil ikke de norske taushetspliktreglene gjelde. I slike tilfeller bør det stilles krav om at mottakeren har taushetsplikt som gjelder i det landet opplysningene skal behandles.
Fjerde ledd
Det skal bare gis dispensasjon dersom tilgjengeliggjøringen er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn. Dette vilkåret skal forstås på samme måte som etter gjeldende helseregisterlov § 20, se Prop. 72 L (2013–2014) punkt 21.3.2 og punkt 24.2 merknadene til § 20 andre ledd.
Tilgjengeliggjøring vil være ubetenkelig blant annet dersom mottakeren har forhåndsgodkjenning fra REK etter helseforskningsloven § 33, dersom det bare skal gis tilgang til opplysninger i et lukket driftssikkert datarom på helseanalyseplattformen eller dersom mottakeren er autorisert (se punkt 12.5.9.5).
I øvrige tilfeller skal dette vilkåret kun være en sikkerhetsventil som gir mulighet for å la være å tilgjengeliggjøre opplysninger dersom dispensasjonsmyndigheten av ulike grunner ikke er trygg på mottakeren eller prosjektet. Hensynene bak taushetsplikten og den registrertes rett til vern mot spredning av opplysninger skal veie tungt i denne vurderingen.
Dette vilkåret kan for eksempel brukes for å unngå at opplysninger leveres ut til mottakere som ikke har løsninger for å ivareta informasjonssikkerheten. Det er nødvendig å vurdere informasjonssikkerheten. Dette betyr likevel ikke at det skal gjøres en full vurdering av de organisatoriske og tekniske tiltakene hos mottakeren. Det vises til at vilkåret kun er en sikkerhetsventil, at vedtak om tilgjengeliggjøring ikke er en forhåndsgodkjenning av mottakerens behandling og at informasjonssikkerheten er mottakerens selvstendige ansvar.
Det er presisert i loven at mottakeren må ha REKs forhåndsgodkjenning ved medisinsk og helsefaglig forskning. Dette betyr at REKs forhåndsgodkjenning må innhentes før det fattes vedtak om tilgjengeliggjøring og opplysningene tilgjengeliggjøres. I noen tilfeller kan det være vanskelig å vurdere om et prosjekt skal regnes som medisinsk og helsefaglig forskning etter helseforskningsloven slik at det krever REKs forhåndsgodkjenning. Det er REK som i konkrete saker skal ta stilling til dette spørsmålet. Dersom en som søker om tilgjengeliggjøring har søkt REK om forhåndsgodkjenning, men fått avvist søknaden fordi REK mener at prosjektet faller utenfor helseforskningsloven, må det legges til grunn at vilkåret om REK-godkjenning ikke er nødvendig å oppfylle. Det kan eventuelt kreves at søkeren fremviser REKs avvisning av søknaden.
Helseforskningsloven gjelder kun for forskning eller norske forskningsinstitusjoner i Norge, jf. § 3. Utenlandske forskningsinstitusjoner vil derfor ikke ha mulighet til å få REK-godkjenning. Samme problemstilling kan også oppstå i prosjekter der norske forskere skal samarbeide med forskere i andre land som også skal bruke opplysningene. I slike situasjoner mener departementet at det bør gjøres en vurdering av søkerens prosjekt i samsvar med vilkåret om at behandlingen skal være ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn. Det kan eventuelt settes vilkår etter helsepersonelloven § 29 tredje ledd om at mottakeren innhenter en ekstern forskningsetisk vurdering, for eksempel fra et organ i eget land som tilsvarer REK.
Når det gjelder tilgjengeliggjøring til utlandet følger det av personvernforordningen artikkel 1 nr. 3 at fri utveksling av personopplysninger mellom EØS-statene verken skal begrenses eller forbys av hensyn til personvernet. Artiklene 44 til 50 regulerer overføring av opplysninger til tredjestater (utenfor EU/EØS). Se også fortalen punkt 101 til 115. Prinsippet er at personopplysninger bare kan gjøres tilgjengelige for aktører i stater som sikrer en forsvarlig behandling av opplysningene (se punkt 11.1.7). Dersom disse vilkårene ikke er oppfylt, vil tilgjengeliggjøringen ikke være lovlig og heller ikke ubetenkelig.
Femte ledd
Det følger av denne bestemmelsen at mottakeren har taushetsplikt etter helsepersonelloven §§ 21 flg. Dette er en videreføring av gjeldende helsepersonellov § 29 første ledd andre punktum.
Sjette ledd
Dispensasjonsmyndigheten er i loven lagt til Helse- og omsorgsdepartementet. Av informasjonshensyn presiseres det at myndigheten kan delegeres til et underordnet forvaltningsorgan. Myndigheten kan også legges til den regionale komiteen for medisinsk og helsefaglig forskningsetikk (REK). Myndigheten skal overføres til Helsedataservice i forbindelse med etableringen av helseanalyseplattformen (se punkt 12.5.9.2). Bestemmelsen tilsvarer helseregisterloven § 19 e femte ledd.
Sjuende ledd
Disse forskriftshjemlene er en videreføring av gjeldende helsepersonellov § 29 tredje og fjerde ledd. Se Ot.prp. nr. 13 (1998–99) merknadene til § 29 i kapittel 26.
16.2 Endringer i helseregisterloven
Til § 11 andre ledd (legemiddelregisteret)
Bestemmelsen slår fast at det kan etableres et direkte personidentifiserbart legemiddelregister der behandlingen av opplysningene skal kunne behandles uten samtykke fra den registrerte i den utstrekning det er nødvendig for å nå formålet med registeret, jf. § 11 første ledd. Lovendringen gis hjemmel til å etablere et direkte personidentifiserbart legemiddelregister. Det følger av endringen at det kan fastsettes forskrifter om et legemiddelregister i samsvar med § 8. Se nærmere i kapittel 13 om legemiddelregisteret.
Til § 14 (innhenting av opplysninger fra offentlige myndigheter)
Bestemmelsen legger til rette for at et begrenset sett med demografiske og sosioøkonomiske bakgrunnsopplysninger gjøres tilgjengelig for helseregistre etablert med hjemmel i lov og forskrift. Bestemmelsen gjør det mulig for registerforvalterne å hente inn slike data fra andre registre, uten hinder av taushetsplikten. Registerforvalterne må også ha adgang etter lov og forskrift til å behandle opplysningene. Helsedataservice vil ikke kunne samle inn opplysninger med hjemmel i denne bestemmelsen, men kan kun behandle disse opplysningene fra registrene. Se nærmere omtale i kapittel 14.
Til § 19 (tilgjengeliggjøring av statistikk og andre anonyme opplysninger)
Bestemmelsen gjelder utarbeidelse og tilgjengeliggjøring av anonym statistikk og andre anonyme opplysninger. Det er fri adgang til å tilgjengeliggjøre anonym statistikk og andre anonyme opplysninger, fordi slike data ikke kan knyttes til enkeltpersoner og derfor ikke omfattes av reglene om personvern og taushetsplikt.
Bestemmelsen er et utslag av prinsippet om dataminimering i personvernforordningen artikkel 5 nr. 1 bokstav c. Det følger av dette prinsippet at graden av personidentifikasjon skal være så liten som mulig (jf. helseregisterloven § 6 andre ledd første punktum, se punkt 11.4.5.6). Utgangspunktet er derfor at opplysninger fra helseregistre som tilgjengeliggjøres skal være anonyme. Direkte eller indirekte personidentifiserende opplysninger kan bare tilgjengeliggjøres dersom det er nødvendig ut fra formålet med behandlingen.
Første ledd
Dataansvarlige for helseregistre kan utarbeide relevant statistikk basert på opplysninger i registeret og opplysninger som er sammenstilt etter § 19 c. Hva slags statistikk som er relevant må vurderes ut fra registerets formål. Det enkelte registerets formål må tolkes i lys av helseregisterlovens formål og virkeområde i § 1 og § 3. Det fremgår av bestemmelsen at utarbeidet statistikk kan offentliggjøres. Dette gjelder uansett, men presiseringen er tatt inn av informasjonshensyn og for å få bedre sammenheng med plikten etter andre ledd.
Andre ledd
Dataansvarlige for lovbestemte helseregistre har plikt til å utarbeide og løpende offentliggjøre relevant statistikk basert på opplysninger i registeret. Plikten er formulert generelt og fleksibelt, slik at det er opp til den dataansvarlige å vurdere hva slags og hvor ofte statistikker skal utarbeides og offentliggjøres.
Plikten gjelder bare for helseregistre som er etablert med hjemmel i helseregisterloven § 11 (de lovbestemte helseregistrene). Departementet kan imidlertid fastsette forskrifter om at også andre dataansvarlige skal utarbeide statistikker.
Tredje ledd
Dataansvarlige for alle typer helseregistre skal utarbeide og tilgjengeliggjøre statistikk etter forespørsel. Dette gjelder også forespørsler som ikke innebærer omfattende søknadsbehandling. Poenget med å presisere at plikten gjelder alle slags forespørsler, er at plikten gjelder utarbeidelse av statistikker etter initiativ fra en søker, i motsetning til utarbeidelse av statistikk på eget initiativ etter andre ledd.
Alle kan søke om å få utarbeidet statistikker såfremt opplysningene skal brukes til et formål som er innenfor de aktuelle registrenes formål. Det enkelte registerets formål må tolkes i lys av helseregisterlovens formål og virkeområde i § 1 og § 3. Dersom opplysningene skal brukes til andre formål, for eksempel til reklame, har søkeren ikke rett til å få utarbeidet statistikk. Det er derimot ikke noe i veien for at statistikk som allerede er utarbeidet til formål innenfor lovens rammer, utleveres til andre som ønsker statistikken og som skal bruke statistikken til andre formål. Dette følger av at verken reglene om personvern eller taushetsplikt begrenser adgangen til utlevering og annen behandling av anonyme opplysninger.
Helseregisterloven § 19 c gir supplerende rettsgrunnlag for eventuelle sammenstillinger som ledd i utarbeidelsen av statistikken (se punkt 11.1.1.1).
Helseregisterloven § 19 vil, sammen med § 19 c om sammenstillinger, gi hjemmel til å etablere en kohortutforsker på helseanalyseplattformen og å gjøre de sammenstillingene som utforskeren krever. Se punkt 12.5.9.6 om kohortutforskning.
Den dataansvarlige kan kreve betaling av søkeren for å dekke kostnadene knyttet til utarbeiding og tilgjengeliggjøring av statistikken, jf. helseregisterloven § 19 g.
Fjerde ledd
Det presiseres i lovteksten at utarbeidet statistikk som tilgjengeliggjøres etter helseregisterloven § 19 skal være anonym. Anonymitetskravet skal fortolkes i samsvar med EUs personvernforordning, jf. fortalen punkt 26. Ved behandling av anonyme opplysninger skal det ikke, verken direkte eller indirekte, være mulig å spore opplysningene tilbake til de enkeltpersonene opplysningene knytter seg til. Mengden og arten av opplysninger om samme person (variabler) er av betydning ved vurderingen av om opplysningene er anonyme. I vurderingen av om opplysningene er anonyme eller ikke, må man se hen til om det er en reell sannsynlighet for identifikasjon, og ikke om identifikasjon kun er hypotetisk mulig.
Til § 19 a (tilgjengeliggjøring av helseopplysninger)
Bestemmelsen fastsetter vilkårene for tilgjengeliggjøring av direkte og indirekte personidentifiserbare helseopplysninger fra helseregistre, inkludert sammenstilte datasett.
Dersom vilkårene i helseregisterloven § 19 a er oppfylt er det ikke bare tillatt, men også en plikt, for den dataansvarlige å tilgjengeliggjøre opplysningene (se punkt 11.4.9). Bestemmelsen gir supplerende rettsgrunnlag for tilgjengeliggjøring av helseopplysninger fra helseregistre (se punkt 11.1.1.1 om forordningens krav til rettslig grunnlag).
Med «etter søknad» menes at forskere eller andre ber den dataansvarlige (registerforvalter eller Helsedataservice) om å få opplysninger til et bestemt formål. Det er i denne bestemmelsen ikke brukt uttrykket «forespørsel» slik som i § 19, da vilkårene for tilgjengeliggjøring nødvendigvis vil måtte innebære en relativt omfattende søknadsbehandling. Bestemmelsen gjelder både søknader om enkeltutleveringer og om flere (eller periodiske) utleveringer (se punkt 11.4.4).
Bestemmelsen gjelder for alle helseopplysninger i helseregistre som omfattes av helseregisterloven.
Bestemmelsen gjelder dataansvarlige som tar stilling til søknader om tilgjengeliggjøring og sammenstilling av helseopplysninger fra registeret. Dette vil i utgangspunktet være registerforvalterne. Dersom ansvaret for tilgjengeliggjøring fra registeret er overført til Helsedataservice i medhold av forskrift etter § 20, vil vilkårene for tilgjengeliggjøringen da være de samme for Helsedataservice som for registerforvalterne. Se også sjuende/siste ledd om begrensninger i plikten og retten til å tilgjengeliggjøre opplysninger som er overført til helseanalyseplattformen.
Loven regulerer ikke hvordan opplysningene skal tilgjengeliggjøres. Det er den dataansvarlige som bestemmer dette. Måten tilgjengeliggjøringen skjer på vil avhenge særlig av de tekniske løsningene hos den dataansvarlige og hos mottakeren. Det følger av personvernforordningen og helseregisterloven at informasjonssikkerheten uansett må ivaretas (opplysningenes konfidensialitet osv.).
Bestemmelsen regulerer heller ikke spørsmålet om lovligheten av mottakerens (forskerens/brukerens) behandling av opplysningene. Den dataansvarliges (registerforvalterens) behandling av søknaden om tilgjengeliggjøring fritar ikke fra eller erstatter mottakerens ansvar. Den dataansvarlige for registeret har bare ansvar for å gjøre en forsvarlig vurdering av om vilkårene er oppfylt. Det er ikke tale om en forhåndsgodkjenning av mottakerens behandling, slik som i den tidligere konsesjonsordningen. Den dataansvarlige for registeret har derfor ikke ansvar dersom det i etterkant viser seg at mottakerens behandlingen av opplysningene ikke er i samsvar med reglene, for eksempel at behandlingen ikke er i samsvar med de registrertes samtykke eller det ikke settes i verk egnede og tilstrekkelig informasjonssikkerhetstiltak. Dette er mottakerens ansvar.
Adgangen til å tilgjengeliggjøre opplysninger fra helseregistre reguleres ikke uttømmende i helseregisterloven. Opplysninger kan også tilgjengeliggjøres etter andre lovregler, for eksempel personvernforordningen artikkel 6 nr. 1 bokstav a og artikkel 9 nr. 2 bokstav a om behandling med grunnlag i den registrertes samtykke. Se merknadene til § 19 d og punkt 11.4.5.9.
Første ledd
Bokstav a: Det presiseres at opplysningene bare kan tilgjengeliggjøres dersom formålet er innenfor det aktuelle registerets formål; dette følger også av personvernforordningen artikkel 5. Det enkelte registerets formål må tolkes i lys av helseregisterlovens formål og virkeområde i § 1 og § 3. Dette betyr at opplysningene som i dag bare skal kunne brukes til helserettede formål og ikke for eksempel i rent kommersielle formål. En annen sak er det om for eksempel et legemiddelfirma ønsker å bruke dataene til forskning ved utvikling av legemidler. Dette vil være innenfor formålet.
Bokstav b: Det presiseres at mottakeren må godtgjøre at behandlingen vil ha rettslig grunnlag etter forordningen artikkel 6 og 9. Se punkt 11.1.1.1 om kravet til rettslig grunnlag.
Dette betyr at søkeren må vise til hvilket behandlingsgrunnlag i forordningen artikkel 6 nr. 1 som behandlingen baseres på.
Videre må søkeren vise til hvilket alternativ i artikkel 9 nr. 2 som åpner for behandlingen av helseopplysningene. Søkeren kan for eksempel vise til at det er innhentet samtykke og oversende samtykketekst og informasjonsskriv. Det skal ikke kreves nærmere beskrivelse eller drøfting av grunnlaget. Det skal vurderes om samtykket og informasjonen er dekkende for behandlingen, men det er likevel ikke et krav om en inngående vurdering. Det er mottakerens ansvar at behandlingen har rettslig grunnlag. Men dersom grunnlaget mottakeren viser til åpenbart ikke dekker behandlingen, skal tilgjengeliggjøring nektes etter bokstav e om at tilgjengeliggjøringen skal være ubetenkelig ut etiske, medisinske og helsefaglige hensyn.
I andre tilfeller vil det som regel også være nødvendig med et supplerende rettsgrunnlag i lov eller forskrift. Dette kan for eksempel være helseregisterloven § 19 c om unntak fra taushetsplikten for indirekte identifiserbare opplysninger. Ellers vil det være tilstrekkelig å bekrefte og stadfeste hvilken artikkel og eventuelt lov eller forskrift som utgjør det rettslige grunnlaget. Departementet presiserer at det uansett er mottakeren som har ansvaret for at behandlingen har tilstrekkelig rettslig grunnlag, for eksempel at samtykket er dekkende for behandlingen.
Bokstav c: Mottakeren skal godtgjøre at behandlingen av opplysningene er innenfor rammene av eventuelle samtykker og reservasjoner.
Det er et sentralt vilkår at mottakerens bruk av opplysningene er innenfor eventuelle samtykker. Dette følger av personvernforordningen artikkel 5. Dette gjelder for det første dersom samtykke er behandlingsgrunnlag etter artikkel 6. For det andre gjelder det dersom samtykket er et særlig tiltak for å verne de registrertes interesser, slik som for eksempel i befolkningsbaserte helseundersøkelser som er hjemlet i forskrift.
Den registrerte må heller ikke ha motsatt seg tilgjengeliggjøringen, i de tilfeller der den registrerte har en rett til å motsette seg dette. En slik reservasjonsrett gjelder for eksempel dersom opplysninger i Kommunalt pasient- og brukerregister skal brukes til forskning, jf. forskriften § 2-2 andre ledd. Det samme gjelde opplysninger fra medisinske kvalitetsregistre som baseres på reservasjonsrett, jf. forskrift om medisinske kvalitetsregistre.
Bokstav d: Mottakeren skal gjøre rede for hvilke egnede tekniske og organisatoriske tiltak som skal settes i verk for å ivareta informasjonssikkerheten. Bestemmelsen tilsvarer helsepersonelloven § 29 første ledd bokstav b, se merknadene til denne bestemmelsen.
Andre ledd
Denne bestemmelsen er en konkretisering av prinsippet om dataminimering i forordningen artikkel 5. Bestemmelsen tilsvarer den nye helsepersonelloven § 29 andre ledd, se nærmere i merknadene til denne bestemmelsen. Det følger av helseregisterloven § 6 at graden av personidentifikasjon ikke skal være større enn nødvendig for det aktuelle formålet. Det er søkeren som må begrunne at opplysningene er nødvendige for formålet.
Dette betyr at direkte eller indirekte personidentifiserbare helseopplysninger ikke kan tilgjengeliggjøres dersom formålet kan nås med anonyme opplysninger.
Tredje ledd
Tilgjengeliggjøringen må være i samsvar med taushetsplikten. Det betyr at den registrerte har samtykket eller at tilgjengeliggjøringen omfattes av unntak eller dispensasjon fra taushetsplikten. Dette følger av reglene om taushetsplikt i helsepersonelloven § 21 flg., men er av informasjonshensyn presisert i lovteksten. Det kan for eksempel være at det er tale om indirekte identifiserbare opplysninger i et lovbestemt register, som omfattes av unntaket i § 19 b.
Dersom Helsedataservice har gitt dispensasjon fra taushetsplikten etter helseregisterloven § 19 e skal registerforvalteren ikke vurdere om øvrige vilkår er oppfylt, jf. helseregisterloven § 19 a sjette ledd.
Fjerde ledd
Den dataansvarlige kan pålegge særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser. Bestemmelsen tilsvarer den nye helsepersonelloven § 29 tredje ledd, se merknadene til denne bestemmelsen.
Registerforvalterens adgang til å fastsette tiltak etter § 19 a gjelder bare dersom det ikke er gitt dispensasjon fra taushetsplikten etter helseregisterloven § 19 e. I disse tilfellene er det departementet (Helsedataservice) som i behandlingen av dispensasjonssøknaden, skal vurdere behovet og eventuelt fastsette tiltak.
Femte ledd
Opplysningene kan bare tilgjengeliggjøres dersom det er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn. Ved medisinsk og helsefaglig forskning, skal mottakeren ha fått forhåndsgodkjenning fra den regionale komitéen for medisinsk og helsefaglig forskningsetikk (REK). Dersom den dataansvarlige mener eller er i tvil om det er tale om medisinsk eller helsefaglig forskning som faller innenfor helseforskningskloven og må ha REK-godkjenning, kan det kreves at søkeren sender søknad til REK. REKs vurdering av dette spørsmålet må legges til grunn i den videre behandlingen av søknaden om tilgjengeliggjøring.
Bestemmelsen tilsvarer den nye helsepersonelloven § 29 fjerde ledd, se merknadene til denne bestemmelsen.
Sjette ledd
Dersom det er gitt dispensasjon fra taushetsplikten etter helseregisterloven § 19 e skal opplysningene uansett tilgjengeliggjøres i samsvar med dispensasjonsvedtaket. Registerforvalteren skal da legge delegasjonsvedtaket til grunn. Registerforvalteren skal ikke gjøre en egen vurdering av vilkårene i første til tredje ledd. Registerforvalteren kan heller ikke pålegge særlige tiltak etter fjerde ledd. Det kan for eksempel ikke tilgjengeliggjøres færre opplysninger eller stilles strengere krav om sletting, enn det som følger av vedtaket. Den dataansvarlige skal heller ikke gjøre en selvstendig vurdering etter femte ledd om etiske, medisinske og helsefaglige hensyn.
Disse vilkårene vil allerede være vurdert av dispensasjonsmyndigheten (Helsedataservice). Dette henger sammen med at det er Helsedataservice som skal være den primære aktøren og beslutningstakeren ved tilgjengeliggjøring av helsedata (se punkt 11.4.3).
Sjuende ledd
Denne bestemmelsen gjelder forbud mot parallell tilgjengeliggjøring av opplysninger fra både registerforvalteren og Helsedataservice. Departementet kan fastsette i forskrift at opplysninger fra et helseregister skal overføres til helseanalyseplattformen, jf. helseregisterloven § 20. Det følger av § 19 a sjuende ledd at departementet da kan fastsette at den dataansvarlige for registeret ikke kan eller skal tilgjengeliggjøre de samme opplysningene. Dette betyr at registerforvalterne ikke kan utlevere de samme opplysningene og til samme formål som er lagt til helseanalyseplattformen og Helsedataservice i forskriften etter helseregisterloven § 20.
Registerforvalteren kan ha behov for å bruke opplysninger til å utarbeide statistikk, og til analyser for å kunne utføre sine oppgaver knyttet til styring, beredskap, kvalitetsforbedring av tjenester osv. Registerforvaltere som har slike oppgaver kan fortsatt bruke opplysningene for å ivareta disse oppgavene så langt de har rettslig grunnlag for det, men uten at de trenger å søke Helsedataservice. Registerforvalterne skal fortsatt ha tilgang til egne data for analyse, statistikkproduksjon og kvalitetssikring i henhold til lov- og forskriftsfestet formål med registeret og etatenes samfunnsoppdrag. Se nærmere i punkt 12.5.11.
Til § 19 b (unntak fra taushetsplikten for indirekte identifiserbare helseopplysninger)
Bestemmelsen fastsetter unntak fra taushetsplikten for tilgjengeliggjøring av indirekte identifiserbare helseopplysninger i registre som er etablert med hjemmel i helseregisterloven § 11. Denne bestemmelsen viderefører, sammen med vilkårene i § 19 a, unntaksadgangen etter gjeldende helseregisterlov § 20. Vedtaket gir mottakeren supplerende rettsgrunnlag for sin behandling av opplysningene. Se nærmere i punkt 11.1.1.1.
Et av vilkårene for å gjøre unntak er at behandlingen av opplysningene er av vesentlig interesse for samfunnet. Videre skal hensynet til den registrertes integritet og konfidensialitet ivaretas. Dette vilkåret betyr at den dataansvarlige blant annet skal vurdere om tiltakene for å ivareta informasjonssikkerheten som mottakeren har gjort rede for etter helseregisterloven § 19 a første ledd bokstav d, er tilfredsstillende. Disse vilkårene viderefører gjeldende helseregisterlov § 20 og skal forstås på samme måte. Se kommentarene til denne bestemmelsen i Prop. 72 L (2013–2014).
Hensynene bak taushetsplikten og den registrertes rett til vern mot spredning av opplysninger skal veie tungt i vurderingen. Tilgjengeliggjøringen må også vurderes i lys av kravene i forordningen artikkel 6 og 9. For eksempel kan det tenkes at kravet om proporsjonalitet vil sette en grense for hva slags eller hvor omfattende behandling som kan forankres i bestemmelsen. Dette henger sammen med at vedtaket vil gi mottakeren supplerende rettsgrunnlag for behandlingen.
Det er den dataansvarlige (registerforvalteren) som skal vurdere om vilkårene i helseregisterloven § 19 b er oppfylt. Før opplysningene tilgjengeliggjøres må den dataansvarlige må i tillegg vurdere om vilkårene for tilgjengeliggjøring i helseregisterloven § 19 a første til sjette ledd er oppfylt.
Dersom det søkes om tilgjengeliggjøring av taushetsbelagte opplysninger fra helseanalyseplattformen, er det Helsedataservice som skal gjøre vurderingen. Rettsvirkningene vil uansett være de samme enten Helsedataservice fatter vedtak etter helseregisterloven § 19 b eller § 19 e.
Til § 19 c (sammenstilling)
Bestemmelsen regulerer sammenstilling av helseopplysninger. Med sammenstilling menes det at opplysninger i et register kobles mot andre opplysninger for å tilføre nye opplysninger til registeret, kvalitetskontrollere eksisterende opplysninger eller legge til rette for tilgjengeliggjøring av et datasett med opplysninger fra flere registre til konkrete formål, for eksempel til en forsker.
Bestemmelsen gir supplerende rettsgrunnlag for sammenstilling av opplysninger. Bestemmelsen erstatter gjeldende helseregisterlov § 19 og forskriftsbestemmelser om sammenstilling. Endringen innebærer at loven gir direkte hjemmel for sammenstillinger, slik at det ikke lenger er nødvendig å fastsette egne forskriftsbestemmelser om dette.
Bestemmelsen angir ikke uttømmende adgangen til sammenstillinger. Helseopplysninger kan også sammenstilles med andre opplysninger når dette er tillatt etter personvernforordningen, personopplysningsloven eller annen lov. Dette gjelder for eksempel dersom behandlingen av opplysningene har rettslig grunnlag i den registrertes samtykke.
Det følger av forordningen artikkel 5 og helseregisterloven § 6 at sammenstilte datasett og personidentifiserende kjennetegn skal slettes når det ikke lenger er behov for dem.
Se også punkt 11.4.10 om sammenstilling.
Første ledd
Bestemmelsen gjelder opplysninger i helseregistre etablert med hjemmel i forskrifter etter helseregisterloven §§ 8 til 12. Dette omfatter etter gjeldende forskrifter Kommunalt pasient- og brukerregister, Norsk pasientregister, Kreftregisteret og de andre lovbestemte registrene. I tillegg omfattes befolkningsbaserte helseregistre, medisinske kvalitetsregistre og IPLOS. Bestemmelsen vil også gjelde det nye legemiddelregisteret.
Videre gir bestemmelsen rett til å sammenstille opplysninger i disse helseregistrene med demografiske og sosioøkonomiske personopplysninger i Folkeregisteret og andre offentlige registre. Med demografiske og sosioøkonomiske opplysninger siktes det til opplysninger om blant annet landbakgrunn, innvandringskategori, utdanningsnivå, arbeidstilknytning, trygdestatus, inntektsnivå og grunnkretsdata på individnivå (en grunnkrets er et geografisk område innen en kommune). Med offentlige registre siktes det til opplysninger fra datakilder i statsforvaltningen som Folkeregisteret, Skatteetaten og Arbeids- og velferdsetaten (NAV).
Opplysningene kan sammenstilles dersom dette er et ledd i tilrettelegging for opplysninger som skal tilgjengeliggjøres etter helseregisterloven § 19 eller § 19 a. Adgangen til å sammenstille er knyttet opp mot adgangen til å tilgjengeliggjøre dataene. Det følger av dette at dersom det er adgang til å tilgjengeliggjøre det sammenstilte datasettet, så er det også adgang til å gjøre de sammenstillingene som kreves. Det er derfor adgang til å sammenstille som et ledd i tilretteleggingen av direkte eller indirekte personidentifiserende datasett som skal tilgjengeliggjøres. Adgangen til sammenstilling følger da av vilkårene for tilgjengeliggjøring etter § 19 a. Bestemmelsen gir også adgang til å sammenstille opplysninger fra helseregistrene som et ledd i utarbeidelsen av statistikk og utlevering av andre anonyme opplysninger etter § 19.
Det skal ikke sammenstilles flere opplysninger enn det som er nødvendig for formålet. Det sammenstilte datasettet skal ikke inneholde større grad av personidentifikasjon enn det som er nødvendig for formålet.
Det er også begrenset hvilke formål opplysninger skal kunne sammenstilles for. Det følger av henvisningen til helseregisterloven § 19 og § 19 a at formålet med sammenstillingen og tilgjengeliggjøringen må være innenfor formålet med det enkelte registeret.
Andre ledd
Sammenstillingen skal være i samsvar med eventuelle samtykker eller reservasjoner. Adgangen til å sammenstille samtykkebaserte registre er betinget av at de registrerte har samtykket til sammenstillingen. Dersom den registrerte har benyttet seg av en eventuell rett til å reservere seg mot at opplysningene tilgjengeliggjøres eller brukes til forskning, er det heller ikke adgang til å sammenstille opplysningene.
Helseopplysninger i helseregistre hjemlet i helseregisterloven § 9 første ledd bokstav b kan bare sammenstilles dersom dette skjer uten at den dataansvarlige har tilgang til navn, fødselsnummer eller andre direkte personentydige kjennetegn. Dette sikter til registre med pseudonyme eller avidentifiserte opplysninger, slik som for eksempel det historiske IPLOS (se punkt 13.4.2 om pseudonymisering).
Tredje ledd
Det slås også fast at sammenstillingen skal gjøres av den dataansvarlige for et av registrene eller en virksomhet departementet bestemmer. Dette er en videreføring av gjeldende regler, se Prop. 72 L (2013–2014) punkt 24.2 merknadene til § 19 andre ledd.
Fjerde ledd
Som ledd i kvalitetskontrollen av helseopplysningene i registeret kan den dataansvarlige også gjennomføre rutinemessige sammenstillinger med tilsvarende opplysninger i helseregistre etter helseregisterloven § 11 og § 12 og i Folkeregisteret. Dette gjør det mulig for den dataansvarlige å rette opp opplysninger i helseregisteret om de registrerte som er feil, slik som for eksempel de registrertes alder eller bostedskommune. Dette henger sammen med at den dataansvarlige har plikt til å sørge for at opplysningene som innsamles og behandles er korrekte. Bestemmelsen er en videreføring av tilsvarende bestemmelser i registerforskriftene som er fastsatt med hjemmel i gjeldende helseregisterlov § 19 første ledd. Siden denne forskriftshjemmelen oppheves fastsettes dette direkte i loven. Se punkt 11.4.10.7 om kvalitetskontroll. Se også helseregisterloven § 19 c siste ledd som gir hjemmel til å fastsette forskrifter om sammenstilling med pasientjournaler mv.
Femte ledd
Sammenstillinger krever at det overføres opplysninger fra en dataansvarlig til en annen. Det følger av bestemmelsen at den dataansvarlige uten hinder av taushetsplikten kan overføre opplysningene for å få sammenstilt opplysningene.
Sjette ledd
Bestemmelsen gir hjemmel til å gi forskrifter om sammenstillinger av helseopplysninger i helseregistre med opplysninger i originalkilden (pasientjournal mv.) som ledd i kvalitetskontrollen. Gjeldende forskrift om medisinske kvalitetsregistre § 4-8 har en bestemmelse som tillater slike sammenstillinger og som vil kunne bli videreført med hjemmel i helseregisterloven § 19 c. Se punkt 11.4.10.7 om kvalitetskontroll.
Til § 19 d (tilgjengeliggjøring for påtalemyndigheter, arbeidsgivere og forsikring)
Siden helseregisterloven § 19 a ikke regulerer uttømmende adgangen til å tilgjengeliggjøre helseopplysninger fra helseregistre, vil den registrerte kunne samtykke til at opplysningene brukes for eksempel til nye formål utenfor helseregisterloven. Den registrerte kan da samtykke til at opplysningene brukes til andre formål.
Helseregisterloven § 19 d fastsetter at opplysningene da ikke kan gjøres tilgjengelige for påtalemyndighetene eller brukes i forsikringsøyemed eller av arbeidsgivere. At opplysningene ikke skal kunne brukes av påtalemyndighetene er ikke til hinder for at en tiltalt selv legger frem utskrift fra et helseregister som bevis i straffesaken. Bestemmelsen er en lovfesting av gjeldende forskriftsregler.
Til § 19 e (dispensasjon fra taushetsplikten)
Helseopplysninger i helseregistre er taushetsbelagte, jf. helseregisterloven § 17 som viser til helsepersonelloven §§ 21 flg. Dersom søkeren skal kunne få opplysningene må enten de registrerte ha samtykket til tilgjengeliggjøringen eller så må tilgjengeliggjøringen være i samsvar med unntak eller dispensasjon fra taushetsplikten.
Helseregisterloven § 19 e fastsetter hvilke vilkår som må være oppfylt for å kunne gi dispensasjon fra taushetsplikten ved tilgjengeliggjøring fra helseregistre. Bestemmelsen regulerer vedtak om dispensasjon fra taushetsplikten ved tilgjengeliggjøring av opplysninger fra helseregistre som er omfattet av helseregisterloven (se punkt 11.4.6). Ved helsepersonells tilgjengeliggjøring av opplysninger fra pasientjournaler og andre behandlingsrettede helseregistre gjelder den nye helsepersonelloven § 29. Bestemmelsene erstatter gjeldende helsepersonellov § 29 og § 29 b, samt helseforskningsloven § 35.
Dispensasjonsbestemmelsene i helseregisterloven § 19 e og den nye helsepersonelloven § 29 er i utgangspunktet likelydende. Det er imidlertid enkelte forskjeller fordi bestemmelsen i helseregisterloven er tilpasset tilgjengeliggjøring av opplysninger fra helseregistre som ikke er behandlingsrettede.
Bestemmelsen gjelder i utgangspunktet enkeltutleveringer av opplysninger. Periodiske utleveringer kan imidlertid også være aktuelt.
Dispensasjonsvedtaket gir dem som mottar opplysningene supplerende rettsgrunnlag. Se punkt 11.1.1.1.
Første ledd
Bokstav a: Det kan bare gis dispensasjon dersom opplysningene skal brukes til et uttrykkelig angitt formål som er innenfor registerets formål. Bestemmelsen tilsvarer helseregisterloven § 19 a første ledd bokstav a, se merknadene til denne bestemmelsen.
Bokstav b: Mottakeren skal gjøre rede for hvilke egnede tekniske og organisatoriske tiltak som skal settes i verk for å ivareta informasjonssikkerheten. Bestemmelsen tilsvarer helseregisterloven § 19 a første ledd bokstav d og den nye helsepersonelloven § 29 første ledd bokstav b, se merknadene til sistnevnte bestemmelse.
Bokstav c: Behandlingen av opplysningene skal være av vesentlig interesse for samfunnet. Dette skal forstås på samme måte som etter gjeldende helseregisterlov § 20, se Prop. 72 L (2013–2014) punkt 21.3.2 og punkt 24.2 merknadene til § 20 andre ledd. Bestemmelsen tilsvarer den nye helsepersonelloven § 29 første ledd bokstav c.
Bokstav d: Tilgjengeliggjøringen skal være ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn. Dette skal forstås på samme måte som etter gjeldende helseregisterlov § 20, se Prop. 72 L (2013–2014) punkt 21.3.2 og punkt 24.2 merknadene til § 20 andre ledd. Det er også presisert at mottakeren må ha REKs forhåndsgodkjenning ved medisinsk og helsefaglig forskning. Bestemmelsen tilsvarer helseregisterloven § 19 a første ledd bokstav e og den nye helsepersonelloven § 29 første ledd bokstav d, se merknadene til sistnevnte bestemmelse.
Andre ledd
Det presiseres at graden av personidentifikasjon ikke skal være større enn nødvendig for formålet. Bestemmelsen tilsvarer helseregisterloven § 19 a andre ledd og den nye helsepersonelloven § 29 andre ledd, se merknadene til sistnevnte bestemmelse.
Tredje ledd
Dispensasjonsmyndigheten (Helsedataservice) kan pålegge særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser. Bestemmelsen tilsvarer helseregisterloven § 19 a fjerde ledd og helsepersonelloven § 29 femte ledd, se merknadene til sistnevnte bestemmelse.
Fjerde ledd
Opplysningene kan bare tilgjengeliggjøres dersom det er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn. Bestemmelsen tilsvarer den nye helsepersonelloven § 29 fjerde ledd, se merknaden til denne bestemmelsen.
Femte ledd
Dispensasjonsmyndigheten er i loven lagt til Helse- og omsorgsdepartementet. Myndigheten skal delegeres til Helsedataservice i forbindelse med etableringen av helseanalyseplattformen, se punkt 12.5.9.2. Bestemmelsen tilsvarer den nye helsepersonelloven § 29 sjette ledd.
Sjette ledd
Reglene om taushetsplikt i helseregisterloven § 17 gjelder tilsvarende for mottakeren.
Til § 19 f (frister for tilgjengeliggjøring av tilrettelagt statistikk og helseopplysninger)
Bestemmelsen fastsetter frister for tilgjengeliggjøring av helseopplysninger og statistikk. Fristen er på 30 dager for opplysninger fra ett register, og på 60 dager for sammenstilte datasett. Fristen begynner å løpe først fra fullstendig søknad er mottatt, dvs. fra den dataansvarlige har fått all dokumentasjon fra søkeren slik at søknaden kan ferdigbehandles. Se nærmere i punkt 11.4.12.
Til § 19 g (betaling for tilgjengeliggjøring)
Den dataansvarlige kan kreve betaling for tilrettelegging av statistikk og annen behandling av helseopplysninger. Betalingene kan ikke overstige utgiftene ved saksbehandlingen av søknader om data, uttrekk og tilrettelegging av data samt utlevering av data fra registeret. Betalingene kan ikke overstige de samlede faktiske utgiftene knyttet til tilgjengeliggjøring. I utgangspunktet vil det være utgiftene knyttet til den aktuelle søknaden som avgjør beløpets størrelse. Den dataansvarlige kan imidlertid fastsette mer standardiserte satser ut fra den dataansvarliges samlede utgifter knyttet til all tilgjengeliggjøring. Se punkt 11.4.14.
Til § 19 h (oversikt over tilgjengeliggjøring)
Bestemmelsen lovfester registerforskriftenes bestemmelser om den dataansvarliges plikt til å føre oversikt over tilgjengeliggjøring av helseopplysninger fra registeret. Oversikten skal vise hvem som har fått opplysningene og hva som er rettslig grunnlag for tilgjengeliggjøringen. Oversikten skal være tilgjengelig for de registrerte, for eksempel gjennom den elektroniske tjenesten på Helsenorge.no. Oversikten skal oppbevares i minst ti år etter tilgjengeliggjøringen. Se punkt 11.4.13.
Plikten til å føre oversikt gjelder alle dataansvarlige som tilgjengeliggjør opplysninger fra helseregistre som er omfattet av helseregisterloven, inkludert Helsedataservice. Dersom opplysningene tilgjengeliggjøres av registerforvalter er det registerforvalteren som har ansvaret for å føre oversikten, selv om tilgjengeliggjøringen skjer på grunnlag av vedtak fra Helsedataservice. Dersom opplysningene tilgjengeliggjøres fra helseanalyseplattformen med Helsedataservice som dataansvarlig, er det Helsedataservice som skal føre oversikten.
Plikten til å føre oversikt over tilgjengeliggjøring etter denne bestemmelsen, kommer i tillegg til den generelle plikten til å føre protokoll over behandlingsaktiviteter, jf. personvernforordningen artikkel 30.
Til § 20 (nasjonal løsning for tilgjengeliggjøring – helseanalyseplattformen og Helsedataservice)
Bestemmelsen er ny og regulerer etableringen av en nasjonal forvaltningsfunksjon (Helsedataservice) og en teknisk løsning (helseanalyseplattformen), for tilgjengeliggjøring av helseopplysninger fra helseregistre til sekundærbruk.
Første ledd
Bestemmelsen gir hjemmel til å etablere og fastsette forskrifter om Helsedataservice og helseanalyseplattformen. I kapittel 13 gjør departementet nærmere rede for løsningen.
Bestemmelsen gjelder alle helseregistre som omfattes av helseregisterloven, jf. lovens formål og virkeområde etter § 1 og § 3.
Demografiske og sosioøkonomiske personopplysninger i Folkeregisteret og andre offentlige registre kan også inngå i løsningen.
Andre ledd
Løsningen skal legges til et forvaltningsorgan underordnet departementet.
Dette forvaltningsorganet skal ha dataansvaret for mottak, lagring, sammenstilling, tilgjengeliggjøring og annen behandling av helseopplysninger og andre personopplysninger som inngår i løsningen. Det er den dataansvarlige som har ansvaret for personvernet ved behandlingen av helseopplysninger. Se punkt 4.10 og 12.5.7 om dataansvar og punkt 12.5.6.1 om organisering.
Bestemmelsen fastslår at oppgaver knyttet til hele eller deler av løsningen kan utføres av en databehandler. Dette betyr at oppgaver knyttet til behandling av personopplysninger i løsningen kan utføres av en databehandler. Databehandleren kan bare kunne behandle opplysningene i samsvar med instruks fra den dataansvarlige. I tillegg kan oppgaver knyttet til den tekniske løsningen generelt utføres av en tjenesteleverandør (uten å være databehandler). Disse oppgavene vil bli lagt ut til Norsk Helsenett SF eller en annen nasjonal tjenesteleverandør. Se nærmere i punkt 12.5.6.1.
Tredje ledd
Det følger av bestemmelsen at helseanalyseplattformen kan motta, lagre og behandle opplysningene på andre måter som et ledd i tilgjengeliggjøringen fra plattformen. Bestemmelsen gir supplerende rettslig grunnlag for behandlingen av personopplysninger på plattformen.
Helsedataservice må som andre dataansvarlige følge de alminnelige vilkårene for behandling av personopplysninger som følger av personvernforordningen og helseregisterloven (se punkt 4.2 og 4.4). Det presiseres i helseregisterloven § 20 at tilgjengeliggjøring og sammenstillinger skal skje i samsvar med vilkårene i § 19 til § 19 h. Helsedataservice skal med andre ord være bundet av de samme vilkårene som registerforvalterne.
Bestemmelsen slår fast at overføring av opplysninger fra helseregistre til helseanalyseplattformen kan skje uten hinder av taushetsplikt. Dette er et unntak fra taushetsplikten for å kunne overføre opplysninger fra et helseregister til plattformen.
Fjerde ledd
Forskriften skal fastsette hvilke helseregistre og andre registre som skal omfattes av løsningen. Forskriftshjemmelen omfatter alle slags helseregistre som omfattes av helseregisterloven, jf. første ledd. Løsningen skal imidlertid utvides skrittvis med hensyn til hvilke registre som skal omfattes (se punkt 12.5.9.3). Dette betyr at løsningen bare kan utvides med nye datakilder ved forskriftsendring med tilhørende utredning og høring.
Forskriften kan i tillegg blant annet angi nærmere hvilke oppgaver Helsedataservice skal ha. Helsedataservice skal få myndighet til å tilgjengeliggjøre og sammenstille helseopplysninger (se punkt 12.5.9). All tilgjengeliggjøring og sammenstilling som Helsedata beslutter må skje i samsvar med vilkårene i § 19 til § 19 e. Helsedataservice skal også få delegert myndighet til å gi dispensasjon fra taushetsplikt etter den nye helsepersonelloven § 29 og helseregisterloven § 19 e (se punkt 12.5.9.2).
Det er også viktig å presisere organisatoriske og tekniske krav til løsningen for å sikre informasjonssikkerheten, innbyggertjenester og andre personvernkrav.
Forskriften kan også regulere oppgaver og ansvar til registerforvalterne, inkludert plikt til å overføre kvalitetssikrede helseopplysninger til løsningen og forbud mot parallell utlevering av opplysninger som er overført til plattformen (se helseregisterloven § 19 a siste ledd og punkt 12.5.11). Dersom Helsedataservice får myndighet til å beslutte tilgjengeliggjøring av opplysninger som ikke ligger på plattformen, gir bestemmelsen hjemmel til å pålegge registerforvalteren å tilgjengeliggjøre i samsvar med vedtaket.
Det kan fastsettes i forskriften at søkeren skal ha plikt til å betale et beløp som skal dekke utgifter for Helsedataservice som er knyttet til saksbehandlingen, tilgjengeliggjøringen samt drift og utvikling av løsningen. Se nærmere i punkt 12.5.12. Denne betalingen kommer i tillegg til betaling for tilgjengeliggjøring etter helseregisterloven § 19 g.
Dette omfatter også Helsedataservice sine utgifter knyttet til behandling av søknader dispensasjon fra taushetsplikten etter den nye helsepersonelloven § 29 eller helseregisterloven § 19 e.
Forskriften kan også fastsette krav om publisering eller retur av analyseresultater (se punkt 12.5.9.4 om mottakerne av opplysninger).
Se for øvrig punkt 12.6 om forskriftshjemmelen.