Hovedutfordringen for personvernet innen helsesektoren er at denne sektoren er gjenstand for store forandringer, og at disse endringene skjer i et raskt tempo. Som eksempel nevnes ny lovgivning, ny forordning, teknologiutviklingen og utviklingen innen e‑helse.
Videre er det en utfordring at helse- og omsorgstjenestene er preget av mange aktører og flere ulikt organiserte virksomheter med forvaltningsansvar og beslutningsmyndighet. Leverandører og databehandlere har ofte sentrale roller. I spesialisthelsetjenesten ser vi at viktige deler av databehandlingsansvaret, slik som tilgangsstyring i helseforetakene, i praksis ivaretas av enheter eller underselskaper som er opprettet av de regionale helseforetakene. Dette kan utfordre de reelt ansvarlige helseforetakenes muligheter til å overholde sine plikter, og det er viktig at det legges til rette for at helseforetakene kan utøve sitt ansvar og styre underleverandørene på en god måte.
Endringer i bruken av pasientjournalsystemer, primært for å gi tilgang til pasientinformasjon på tvers av virksomhetsgrenser, stiller nye krav til systemenes evne til å ivareta sikkerheten, slik at opplysninger ikke gjøres tilgjengelig utover det som er nødvendig og relevant for den helsehjelpen som skal ytes.
En annen aktuell utfordring er den økte utvekslingen av helseopplysninger som følger av helse- og omsorgsreformen. Flere opplysningskategorier om den enkelte vil gjøres tilgjengelig for et økende antall helse- og omsorgsarbeidere. Informasjonsdeling til beste for den enkelte pasient er utvilsomt et gode. Det å sørge for at slik informasjonsdeling ikke fører til utilsiktet spredning av sensitive opplysninger, er imidlertid en vesentlig utfordring for ivaretakelsen av enkeltindividets krav på beskyttelse av sine egne opplysninger.
Ny lovgivning som trådte i kraft fra januar 2015, åpner for ytterligere informasjonsutveksling mellom virksomheter innenfor helse- og omsorgstjenesten. Dette skjer ved at det generelle forbudet om tilgang til opplysninger på tvers av virksomheter, som gikk frem av tidligere helseregisterlov § 13, ikke videreføres i de nye lovene.
Velferdsteknologi har vært et sentralt tema for Datatilsynet de siste årene, så også i 2014, og vi ser at det fortsatt er store personvernutfordringer på området. Utfordringene knytter seg blant annet til krav til sikkerhet, dokumentasjon og praktiske utfordringer ved bruk. Vi ser at anvendelsen av velferdsteknologi i den ordinære helse- og omsorgstjeneste fremdeles er meget begrenset, og at tjenesten fortsatt testes ut i piloter og prosjekter. Vi forventer imidlertid at velferdsteknologi i større utstrekning brukes i ordinær tjeneste fra 2015.
NAV behandler store mengder opplysninger om hele Norges befolkning, og har mange av de de samme problemstillingene som vi finner i helsesektoren knyttet til behandling av personopplysninger. Dilemmaet mellom å ha tilgjengelige opplysninger og å sikre tilfredsstillende konfidensialitet kan utgjøre utfordringer for personvernet.
En annen utfordring innen NAV-systemet er at det i stor grad benyttes eksterne leverandører for å oppfylle de oppgavene NAV skal ivareta. Datatilsynet oppfatter at ansvarsforholdene i disse tjenestene er uklare. Etter å ha forsøkt å få klarhet i dette gjennom korrespondanse med NAV over lang tid, mente vi at det var nødvendig å gjennomføre tilsyn med NAVs bruk av tiltaksarrangører i 2014. NAV har vurdert det slik at tiltaksarrangørene er behandlingsansvarlige for behandlingen av opplysninger de gjør på oppdrag fra NAV, og at NAV ikke kan anses som ansvarlige.
Datatilsynets overordnede mål for helse- og velferdsområdet er at vi skal være pådrivere for at de ansvarlige beslutningstakerne ivaretar sine plikter etter personopplysningsloven. Vi skal formidle de gode mulighetene som ligger i innebygd personvern, og fremheve hvordan sektoren kan bruke opplysninger som ikke identifiserer enkeltindivider.
Gjennomførte aktiviteter
Innen helse- og velferdssektoren bruker vi forholdsvis mye tid på foredrag for, og kontakt med, sentrale aktører for å oppnå godt personvern. Vi har i 2014 gjennomført en rekke møter med blant annet leverandører av tekniske løsninger og journalsystemer, helseforetak, helseregistermiljøer og helsemyndighetene. Slike møter anses som nyttige både for vår egen kunnskapsbygging og fordi vi på enkle måter får formidlet viktige personvernhensyn.
I forbindelse med behandlingen av konsesjonssaker har vi i mange tilfeller gjennomført møter med behandlingsansvarlige og med personvernombudene dersom virksomheten har det. Disse møtene er nyttige for å kunne belyse saken på en god måte. Det letter også den skriftlige delen av saksbehandlingen i ettertid.
I løpet av året har vi gjennomført flere tilsyn på dette området. Vi hadde blant annet behov for å følge opp tidligere tilsyn med tilgangsstyring, skaffe oss mer kunnskap om den faktiske situasjonen innen velferdsteknologi og for å avklare ansvarsforhold rundt NAVs bruk av tiltaksarrangør.
Vi har også en omfattende involvering i arbeidet med og rundt Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren. I 2014 har vi blant annet bidratt med juridisk og sikkerhetsfaglig kompetanse i arbeidet med å utarbeide en veileder for ivaretakelse av informasjonssikkerhet ved bruk av velferdsteknologi i kommunene. Veilederen skal ferdigstilles tidlig i 2015.
Tilsyn med tilgangsstyring
Tilgangen til helseopplysninger om enkeltpersoner skal være styrt av tekniske tiltak. Pasientopplysninger skal bare være tilgjengelige for det helsepersonellet som behøver opplysningene for å gi enkeltpersoner helsehjelp, og opplysningene skal bare være tilgjengelige når personellet trenger tilgang.
Datatilsynet gjennomførte i 2014 tilsyn med tre sykehus og hvordan de styrer tilgangen til pasientopplysninger i elektroniske pasientjournaler. Vi kontrollerte dette også i 2005, 2009 og 2013, men anså at det var nødvendig å gjøre en oppfølging for å se hvordan situasjonen var nå. Vi vurderte det også som særlig viktig i forkant av ny pasientjournallov, som i større grad enn tidligere åpner for tilgang til opplysninger på tvers av virksomheter.
Vårt inntrykk er at sektoren er blitt bedre på dette. Likevel finner vi fortsatt alvorlige brudd på bestemmelsene om tilgangsstyring. Funnene våre viser at sykehusene er for dårlige på å gjennomføre vurderinger av hvilke opplysninger som skal være tilgjengelige for hvem. De faktiske tilgangene til helseopplysninger er for vide, og tilgangene fjernes ikke når de ikke lenger er relevante for å gi helsehjelp. Virksomhetene fører heller ikke tilstrekkelig kontroll med hvordan helsepersonellets tilganger benyttes.
Manglende tilgangsstyring internt i helsevirksomhetene er alvorlig nok. Trusselen mot personvernet blir enda større når tilgangene ikke begrenses av virksomhetsgrenser. Ny pasientjournallov og forskrift om tilgang til helseopplysninger mellom virksomheter, åpner for tilgang til svært mange flere pasientopplysninger enn i dag. Dette stiller ytterligere krav til tilgangsstyring. Datatilsynet stiller seg spørrende til om sektoren er klar for å ivareta de kravene som er nødvendige for å åpne for slike tilganger.
Tilsyn med bruk av velferdsteknologi
Vi gjennomførte fem tilsyn med bruk av velferdsteknologi i desember 2014. To av tilsynene ble gjennomført med leverandører og tre med kommunale tjenester.
Erfaringen fra tilsynene er at velferdsteknologi kun i liten grad er tatt i bruk i ordinær helse- og omsorgstjeneste i kommunene. Imidlertid har det vært testet ut i prosjekter som også fullt ut reguleres av personvernregelverket. Funnene fra tilsynene tilsier at kravene til avtale ved behandling av opplysninger på vegne av databehandlingsansvarlige i liten grad er oppfylt. I tillegg mener Datatilsynet at det trolig er for vide tilganger til opplysninger hos databehandlere/leverandører.
Erfaringene vi har gjort gjennom kontrollene har gitt oss en oversikt over utstrekningen av velferdsteknologi, i tillegg til at vi har identifisert enkelte problemstillinger og avvik fra personvernregelverket som vi kan arbeide videre med i 2015. Tidlig påvirkning, også ved bruk av tilsyn, vil bidra til at utbredelsen av velferdsteknologi skjer i samsvar med regelverket.
Tilsyn med NAVs bruk av tiltaksarrangører
Datatilsynet valgte å gjennomførte fire kontroller med NAVs bruk av tiltaksarrangører, etter at vi har forsøkt å klargjøre ansvarsforholdene rundt denne ordningen over en lang periode. Det har tidligere vært avholdt møter og det har vært skriftlig korrespondanse, uten at forholdene etter vår oppfatning har blitt klarere. En av kontrollene ble gjort med Arbeids- og velferdsdirektoratet og tre kontroller ble gjort med arbeidsmarkedsbedrifter.
Etter disse tilsynene konkluderte vi med at NAV er å anse som behandlingsansvarlig for mange av de tiltakene som leveres gjennom tiltaksarrangører, og at det anses som avvik at det ikke foreligger tilfredsstillende databehandlingsavtaler mellom partene.
Høring – tilgang til helseopplysninger på tvers av virksomhetsgrenser
De nye lovene om helseregistre og pasientjournaler ble vedtatt av Stortinget sommeren 2014, og trådte i kraft 1. januar 2015. Den nye pasientjournalloven inneholder hjemmel for å tillate tilgang til helseopplysninger på tvers av virksomhetsgrenser. Denne åpningen forutsetter imidlertid at slik tilgang reguleres i forskrift. Høsten 2014 sendte Helse- og omsorgsdepartementet derfor forslag til forskrift som skal regulere tilgang til helseopplysninger på tvers av virksomhetsgrenser, på høring.
Datatilsynet hadde vesentlige innvendinger til hvordan departementet hadde valgt å utforme forskriften. Først og fremst mente vi at det manglet en erkjennelse av at det å åpne for tilgang til pasientjournaler på tvers av virksomheter, er å godta at tilgjengelighet skal gå på bekostning av konfidensialitet. En slik erkjennelse er avgjørende for å kunne gjøre reelle risikovurderinger og beslutte riktige sikkerhetstiltak.
Dernest mente vi at forslaget til forskrift var for generell og åpen for skjønnsmessige vurderinger. Departementet burde enten gitt en større grad av detaljregulering i forskrift, eller sørget for en godkjenningsordning for de virksomhetene som skal åpne for tilgang på tvers.
Datatilsynet understreket behovet for å korrigere svakhetene ved dagens journalsystemer før det åpnes for tilgang til pasientjournaler mellom virksomheter. Et eksempel vi har trukket frem som sentralt, er at virksomheter som skal åpne for tilgang på tvers, må ha en elektronisk pasientjournal som lar seg sortere (krav til strukturering).
Datatilsynet støttet forslaget om en egen bestemmelse som gir en plikt til å følge opp avvik fra bestemmelsene om tilgang, samt plikt til å informere pasienten om slike avvik. Dette ble ivaretatt når forskriften ble vedtatt.
Også på flere andre områder var vi positive til den endelige forskriften, blant annet hvordan loggkravet ivaretas og at forskriften på en ryddig måte legger plikter på begge parter i kommunikasjonen. Videre er vi positive til at forskriften skal revideres etter ett år.
Saksbehandling og sentrale nemndsavgjørelser
Datatilsynet har også i 2014 hatt mange saker til behandling innen dette feltet. Noen av sakene opprettes etter at enkeltpersoner kontakter oss, og at vi så velger å ta sakene inn til ordinær saksbehandling. Målet med saksbehandlingen er i disse tilfellene å avdekke om det foreligger systemsvikt som bakgrunn for enkelthenvendelsene. Et annet mål er å skaffe kunnskap om området, og å avdekke om det kan være behov for å gjennomføre kontroller.
Den største delen av sakene gjelder likevel søknader om konsesjon til gjennomføring av forsknings- og kvalitetssikringsprosjekter, og behandling av opplysninger i helseregistre. Vi har sett at det er et økende ønske om å opprette kvalitetsregistre knyttet til spesialisthelsetjenesten.
I mangel av sentrale eller lokale registre for kommunalhelsetjenesten, har vi gjennom saksbehandlingen sett at det er ønske om å bruke eksisterende registre som er opprettet for andre formål, for å hente ut informasjon til forsknings- og kvalitetssikringsformål. For eksempel har Datatilsynet behandlet flere konsesjonssaker hvor det skal benyttes data fra HELFOs register KUHR (Kontroll og utbetaling av helserefusjon), som er opprettet for å forvalte behandlingsrefusjon og er hjemlet i folketrygdloven.
En annen tendens vi har sett er at forskningsmiljøene ønsker å samle store datasett i et «hovedprosjekt» eller i en form for forskningsregister, og så benytte dataene i flere underprosjekter. Vi har hatt flere veiledningsmøter i forbindelse med søknader om konsesjon og opprettelse av registre i 2014, og vi forventer søknader om konsesjon for flere av disse prosjektene og registrene i 2015. Vi ser også at eksisterende registre utvides og at opprinnelig avgitte samtykker strekkes langt og tolkes utvidende.
Personvernnemnda har i 2014 kommet med flere avgjørelser som har betydning for Datatilsynets saksbehandling av konsesjonssøknader knyttet til rekkevidden av avgitte samtykker, plikten til å gi informasjon og Datatilsynets konsesjonskompetanse:
NOKBIL (PVN-2013-28) og NORHIV (PVN-2014-02)
I årsmeldingen for 2013 omtalte vi to prinsipielle avgjørelser om avslag på søknad om konsesjon for nasjonale kvalitetsregistre. De prinsipielle temaene i de to sakene belyser grensedragningen mellom hvilke samtykkebaserte registre som kan opprettes i medhold av konsesjon fra Datatilsynet, og hvilke av disse registrene som krever forskriftsregulering. Den ene søknaden gjaldt opprettelse av et nasjonalt register, NOKBIL, over pasienter som benytter biologiske legemidler. Dette er basert på fellesregistermodellen, og består av flere underordnede registre som rapporterer til et overordnet register. Det andre nasjonale registeret, NORHIV, innebar registrering av HIV-pasienter.
Datatilsynet la til grunn at begge registrene, hver på sin måte, var av en slik karakter at konsesjon ikke var et tilfredsstillende rettslig grunnlag etter helseregisterloven. Vi viste til intensjonene med å regulere helseregistre i særlov, som var å styrke det rettslige grunnlaget for å etablere registre. Det ble også vist til lovforarbeidenes føringer for å vurdere skillet mellom de ulike hjemmelsgrunnlagene for ulike typer helseregistre. Datatilsynet la derfor til grunn at begge registrene eventuelt måtte opprettes i medhold av forskrift etter helseregisterloven § 8.
Personvernnemnda vurderte klagen og kom til samme konklusjon som Datatilsynet. Nemnda uttaler i tillegg at kravene til forskriftsregulering i helseregisterloven § 8, ikke kan omgås ved å benytte § 5 og konsesjon som grunnlag for slike registre.
Individuell informasjonsplikt etter helseforskningsloven (PVN-2013-23)
Saken gjaldt Universitetssykehuset Nord-Norge HFs plikt etter helseforskningsloven § 28 til å på forhånd informere alle pasienter om at humant biologisk materiale som er innsamlet som ledd i diagnostisering og behandling, i visse tilfeller kan benyttes til forskning uten innhenting av pasientens samtykke. Det var på det rene at helseforetaket ikke hadde oppfylt informasjonsplikten sin i perioden 2009-2013.
Spørsmålet som var til behandling i denne saken var om helseforetaket kunne reparere dette ved å gi generell informasjon i form av pressedekning eller lignende, eller om hver enkelt pasient måtte få individuell informasjon. Nemnda var enig med Datatilsynet i at reparasjon av den ikke-oppfylte plikten til informasjon måtte gis individuelt i form av brev til de berørte pasientene.
Krav om samtykke for registrering i Nasjonalt tvillingregister (PVN-2013-17)
Nasjonalt folkehelseinstitutt (FHI) ønsket å samle datasett fra flere ulike forskningsprosjekter som gjaldt tvillinger, i et nasjonalt tvillingregister. Spørsmålet Personvernnemnda skulle ta stilling til var om FHI måtte innhente nye samtykker fra de registrerte for å overføre helse- og personopplysninger til det nasjonale registeret.
Konklusjonen nemnda kom til var at det måtte innhentes nye samtykker fra deltakerne. Det ble lagt vekt på at det er en vesentlig forskjell på å samtykke til tidsbegrensede og formålsbestemte forskningsprosjekter, og til registrering i et permanent, nasjonalt forskningsregister. Videre kom nemnda til at informasjonen som forskningsdeltakerne får, vil være førende for hvilken adgang det er til å tilføre et register nye opplysninger.
Reseptregisteret – hva betyr pseudonymt? (PVN-2013-15)
Oslo universitetssykehus (OUS) ønsket å gjennomføre et forskningsprosjekt som innebar kobling mellom pasientjournaler og Reseptregisteret. Pasientene som deltok i prosjektet hadde samtykket til gjennomgang av pasientjournalen, men OUS ønsket en mer strukturert innhenting av oppfølgningsdata ved kobling med flere helseregistre, deriblant Reseptregisteret.
Reseptregisterforskriften fastslår imidlertid at det er et forbud mot å ha samtidig tilgang til identitetsopplysninger og reseptopplysninger. Forbudet gjør det ulovlig å omgjøre et pseudonymt register til å bli et personidentifiserbart register. Dette betyr at Datatilsynet ikke kan gi konsesjon til en slik kobling, med mindre koblingen er pseudonymisert, eller at den registrerte samtykker.
Personvernnemnda sluttet seg til Datatilsynets vedtak.
Farmers biobank – bredt samtykke (PVN-2013-14)
Spørsmålet i denne saken var knyttet til rekkevidden av samtykker gitt for 20 til 25 år tilbake i tid. Samtykkene ble gitt av bønder som hadde takket ja til å delta i et forskningsprogram i regi av Statens arbeidsmiljøinstitutt (STAMI). Deltakerne fikk informasjon om at formålet var å «kartlegge allergi, luftvegs- og lungesjukdom i landbruket». Kreftregisteret ønsket så å inkludere helseopplysningene i et tematisk forskningsregister, og benytte dem til å studere eksponeringer som har betydning for helseforhold, sykdom og død blant bønder. Datatilsynet mente derimot at samtykket ikke dekket en slik bruk.
Personvernnemnda kom til at det opprinnelige samtykket også omfattet slik forskning som det nå ble søkt om. Klagen ble tatt til følge og Datatilsynet fikk ikke medhold i sitt syn.
Nyrebiopsiregisteret (PVN-2013-07)
Sakens opprinnelse var en klage på Datatilsynets avslag på endring av konsesjon. Datatilsynet mente at i de tilfellene hvor de registrerte i nyrebiopsiregisteret var mindreårige, og foresatte eller verge hadde samtykket på deres vegne, måtte databehandlingsansvarlig innhente nye samtykker fra ungdommene når de fylte 16 år.
Personvernnemnda kom imidlertid til at vergens samtykke fortsatt er gyldig, men at råderetten for tilbaketrekking går over til barnet ved fylte 16 år. Klagen ble tatt til følge.
Øvrige aktiviteter
Kontaktmøter
Innen helsesektoren er det flere store prosesser i gang, og vi har i 2014 hatt bred kontakt med Helsedirektoratet tilknyttet blant annet Nasjonal kjernejournal «En innbygger – en journal», Min Helsejournal og e-Resept.
Datatilsynet har også hatt kontaktmøter med andre sentrale aktører innen helse- og velferdssektoren, både i tilknytning til saksbehandling av konsesjoner og generelle kontaktmøter. I 2014 har vi blant annet hatt møter med Norsk Pasientregister, Helsenett, HUNT (Helseundersøkelsen i Nord-Trøndelag), Norsk senter for telemedisin (NST), Universitetet i Tromsø (i forbindelse med Tromsøundersøkelsen), Senter for klinisk dokumentasjon og evaluering (SKDE) og Kommunesektorens organisasjon (KS).
I desember 2014 deltok vi i et møte mellom sentrale aktører innen helseregistermiljøene for å diskutere betydningen av den nye helseregisterloven som trer i kraft 1. januar 2015.
Referansegruppe
Datatilsynet har deltatt i en referansegruppe i to utredninger gjort av KS.
Den første utredningen gjaldt kommunenes praksis ved behandling av individuell opplæringsplan (IOP). Den andre utredningen, som fortsatt er under utarbeidelse, tar for seg kommunenes praksis for håndtering og arkivering av dokumentasjon innenfor pleie- og omsorgstjenestene. I denne utredningen ses det særlig på når dokumentasjon skal registreres i saksbehandlingssystem, og når det skal dokumenteres i elektronisk pasientjournal.
I begge utredningene blir arkivrettslige og personvernrettslige problemstillinger vurdert. Utredningene har tatt sikte på å se på gjeldende rett, beskrive praksis ute i kommunene, påpeke avvik fra regelverket, samt komme med anbefalinger til hvordan kommunene kan innrette seg for å ha en praksis i tråd med gjeldende regelverk.
Datatilsynet opplever å ha reell innflytelse på innholdet i denne type arbeid. I den grad vi setter av nok ressurser til å kunne gi konkrete råd og anbefalinger, så er deltakelse i eksterne arbeidsgrupper en type arbeid som vi får god uttelling for.
Fremtidige utfordringer
Med ny lovgivning har det blitt større adgang til å kunne gi tilgang til pasientopplysninger på tvers av virksomhetsgrensene. Forskriften som regulerer slik tilgang, inneholder få krav til fagsystemene, noe som er en forutsetning for å sikre at tilgangene som gis ikke medfører en utilsiktet og ulovlig tilgang til personopplysninger. Datatilsynets kontroller over tid viser at pasientjournaler mangler den nødvendige strukturen som skal til for å kunne sikre at det ikke gis tilgang til mer enn det som er nødvendig. Riksrevisjonen har også gjort tilsvarende funn, publisert i en rapport fra november 2014. Vi er derfor bekymret for at den adgangen pasientjournalloven gir, kan føre til unødvendig og utilsiktet spredning av pasientopplysninger.
Pasientjournalloven åpner også for at det kan opprettes behandlingsrettede helseregistre mellom samarbeidende helsepersonell, og det er gitt forskriftshjemmel til å regulere disse forholdene. Uten at slik forskrift gis, er vi bekymret for hvordan praksisen vil utvikle seg på dette området.
På velferdsteknologiområdet mener vi at det ligger en stor personvernrisiko i at det ikke foreligger sentrale føringer for bruken i nevneverdig grad. Normens veileder vil gi noen retningslinjer, men det er fortsatt et stort behov for kunnskap, knyttet til behandling av opplysninger ved bruk av velferdsteknologi.