Utvalgte hurtiglenker

    Proposisjoner til Stortinget

    Prop. 154 L (2024–2025)

    Endringer i helsepersonelloven og pasientjournalloven mv. (taushetsplikt og tilgjengeliggjøring av pasientopplysninger)

    Til innholdsfortegnelse
    Neste kapittel
    Forrige kapittel

    8 Personvern og informasjonssikkerhet

    8.1 Høringsforslaget

    Departementet foreslo ingen konkrete endringer i bestemmelsene som oppstiller krav til personvern eller informasjonssikkerhet. Enkelte av forslagene har imidlertid betydning i avveiningen mellom helseopplysningenes tilgjengelighet og den enkeltes personvern. Viktigheten av at den enkeltes personvern ivaretas er fremhevet.

    8.2 Høringsinstansenes syn

    Flere høringsinstanser påpeker viktigheten i å ivareta den enkeltes personvern i ved deling av opplysninger om pasienter. Datatilsynet uttaler at taushetsplikten er den sentrale bærebjelken i tilliten til ivaretakelse av personvernet i helsetjenesten og at det er viktig at denne tilliten ikke utvannes gjennom inngripende utvidelser av reglene om taushetsplikt. Helse Nord RHF viser til at økt grad av automatisering og direkte digital tilgang til opplysninger øker risikoen for at informasjon deles med personer som ikke bør ha denne informasjonen. Helse Nord RHF støtter departementets vektlegging av sikkerhet knyttet til tingliggjøring av opplysninger om barn og unge, samt trusselutsatte personer. Trondheim kommune mener det bør vurderes å regulere tilgjengeliggjøring av helseopplysninger til barn og unge i forskrift, herunder hvorvidt barnet skal gis innsyn, i hva og hvordan innsyn skal gis. For å sikre at sperret adresse til trusselutsatte personer ikke røpes gjennom digitale plattformer, mener kommunen at også dette bør reguleres i lov eller forskrift.

    8.3 Forslagets betydning for den enkeltes personvern

    All pasientbehandling forutsetter behandling av helseopplysninger om pasienten. God pasientsikkerhet krever at opplysninger deles mellom helsepersonell og helsevirksomheter. God pasientsikkerhet krever derfor god informasjonssikkerhet. Mangelfull informasjonssikkerhet kan få alvorlige konsekvenser, som feilbehandling av pasienter og at uvedkommende får tilgang til helseopplysninger. Manglende tillit til at helseopplysninger behandles forsvarlig vil også kunne få følgekonsekvenser for pasientsikkerheten. Enkelte vil kunne vegre seg for å søke helsehjelp eller for å gi fra seg opplysninger som kan være avgjørende for at man mottar riktig helsehjelp.

    Nødvendige og relevante helseopplysninger skal være tilgjengelige for helsepersonell og annet personell som har et tjenstlig behov for dem, slik at det kan tas riktige beslutninger og ytes forsvarlig helsehjelp. Dette innebærer at man må kunne være trygg på at opplysningene er korrekte, altså at de ikke har vært gjenstand for uautorisert endring (hensynet til integritet). Samtidig må opplysningene beskyttes mot at uvedkommende får tilgang til opplysningene. Dette gjelder uautorisert tilgang både fra interne i virksomheten og eksterne (hensynet til konfidensialitet). Det skal både sikres at det finnes mekanismer som ivaretar opprettholdelse av den lovbestemte taushetsplikten (hindre intern uautorisert tilgang) og beskyttelsestiltak mot for eksempel digitale angrep fra eksterne trusselaktører. Eksterne trusselaktører kan også utnytte, bevisst eller ubevisst, enkeltpersoner til urettmessig å tilegne seg opplysninger. For å ivareta kravene til informasjonssikkerhet, er det nødvendig med gode rutiner for autorisasjon, autentisering og tilgangsstyring for øvrig.

    Personvernforordningen artikkel 5 oppstiller noen grunnprinsipper for behandling av personopplysninger, herunder at det må foreligge et rettslig grunnlag for behandlingen av personopplysninger (lovlighet), at bruken av personopplysninger skal være oversiktlig og forutsigbar for den opplysningene gjelder (åpenhet), at personopplysninger kun skal behandles for spesifikke, uttrykkelige, angitte og legitime formål (formålsbegrensning), at mengden innsamlede personopplysninger skal begrenses til det som er nødvendig for å realisere formålet med innsamlingen (dataminimering) og at personopplysninger skal slettes eller anonymiseres når de ikke lenger er nødvendige for formålet de ble innhentet for (lagringsbegrensning). Den dataansvarlige må også kunne dokumentere at den har gjennomført tiltak for å etterleve personvernforordningen.

    Av prinsippet om lagringsbegrensning følger at personopplysninger ikke kan lagres lenger enn det som er nødvendig for formålet. Når formålet er oppnådd må personopplysningene i utgangspunktet slettes eller anonymiseres. Personvernforordningen angir ingen konkrete frister for sletting.

    Departementets forslag til lovendringer innebærer en begrenset utvidelse av reglene om hvem opplysningene kan bli gjort tilgjengelige for eller i hvilke situasjoner opplysninger kan gjøres tilgjengelig. Forslagene legger til rette for ytterligere digitalisering slik at relevante og nødvendige opplysninger på en enklere og rettmessig måte kan gjøres tilgjengelig for personell som trenger dette for å yte helsehjelp. Forslagene skal bidra til bedre pasientsikkerhet og mer effektiv tilgjengeliggjøring av opplysninger som er nødvendig for å gi den enkelte pasienten forsvarlig helsehjelp med god kvalitet. Forslagenes inngrep i personvernet oppveies klart av forslagenes bidrag til et bedre tilbud om helsehjelp.

    Det er bred enighet blant høringsinstansene om at personvern er et viktig premiss for tillit til helsetjenesten. Taushetsplikten anses som en sentral bærebjelke for å sikre at pasientopplysninger behandles konfidensielt. Flere høringsinstanser uttrykker bekymring for at utvidet tilgang til pasientopplysninger kan svekke personvernet. Det er frykt for at sensitive opplysninger kan bli delt unødig, og at det kan redusere pasientens tillit til helsetjenesten. Mange instanser støtter styrkede krav til logging og etterfølgende kontroll for å sikre at tilgang til opplysningene er nødvendig og relevant. Dette anses som viktig for å opprettholde personvernet. Det er et ønske om tydeligere retningslinjer og opplæring for helsepersonell for å sikre at personvernet ivaretas i praksis. Dette inkluderer hvordan opplysninger skal deles og hvem som har tilgang. Se punkt 4.3.7 om forslag til endring i kravet til logg.

    Flere instanser påpeker behovet for å balansere personvernet med behovet for å gi forsvarlig helsehjelp. Det er viktig å sikre at nødvendige opplysninger kan tilgjengeliggjøres uten å kompromittere personvernet. Det er enighet om viktigheten av å ivareta personvernet, men det er også behov for å sikre at regelverket er klart og at helsepersonell har de nødvendige verktøyene og retningslinjene for å etterleve det.

    Departementet er innforstått med at dess mer helseopplysninger som gjøres tilgjengelig i og mellom virksomheter, jo flere pasienter vil helsepersonell teknisk sett kunne ha tilgang til via virksomhetens journalsystem. Det betyr imidlertid ikke at personellet vil ha tjenstlig behov for å tilegne seg opplysningene. Fordi flere vil få teknisk tilgang og helseopplysningene vil bli lettere tilgjengelig, vil også risikoen for lovbrudd kunne øke. I forslaget presiseres kravene til logg, systematisk etterfølgende kontroll og tilgang til logg for innbyggerne. Se punkt 4.3.7. At det i forslag til ny § 22 a i pasientjournalloven foreslås å stille krav til at hvilke opplysninger eller dokumenter som blir tilgjengeliggjort skal inngå i loggen, er en utvidelse i forhold til gjeldende rett. Departementet vil presisere at kravet til logg i forslaget ikke nødvendigvis forutsetter en oversikt over hver enkelt opplysning som er gjort tilgjengelig. Det er tilstrekkelig med grupper eller kategorier av opplysninger, eller dokumenter. Det kan være aktuelt å stille ytterligere krav til dokumentasjon av tingliggjøringen for eksempel der helseopplysninger i andre virksomheter gjøres tilgjengelig, enn det som følger av forslaget til ny § 22 a. Det følger av paragrafens andre ledd at departementet kan regulere i forskrift nærmere krav om dokumentasjonen i logg. Dette vil kunne virke forebyggende mot urettmessig oppslag og bidra til oppklaring av eventuelle lovbrudd, men vil ikke alene kunne hindre slike lovbrudd.

    Ifølge personvernprinsippet om integritet og konfidensialitet (forordningen artikkel 5 nr. 1 bokstav f) skal dataansvarlig sørge for tilstrekkelig sikring av personopplysningene. Det innebærer at dataansvarlig må etablere sikkerhetstiltak for å beskytte personopplysninger mot utilsiktet og ulovlig tilgang, ødeleggelse, tap eller endringer. Departementet presiserer at den dataansvarlige skal sikre at personvernet ivaretas i virksomhetenes tekniske løsninger. Dette gjelder også der den enkelte begrenser muligheten for å tilgjengeliggjøre opplysninger.

    Personvernprinsippene må ses i sammenheng med de mer utfyllende funksjonelle kravene til sikkerhet i personvernforordningen artikkel 32. Der fremgår det at den dataansvarlige må sikre et sikkerhetsnivå som er egnet med hensyn til behandlingen av personopplysninger og risikobildet. Artikkel 32 inneholder også konkrete krav til ivaretakelse av personopplysningers integritet, konfidensialitet og tilgjengelighet. Dette er tre grunnpilarer innen informasjonssikkerhet. I tillegg inneholder artikkelen et krav til robusthet, som er et nytt krav sammenlignet med tidligere lovgivning og standarder for informasjonssikkerhet. I pasientjournalloven § 22 om informasjonssikkerhet er det henvist til kravene i personvernforordningen artikkel 32. Se punkt 8.5 om informasjonssikkerhet.

    Videre følger det av personvernprinsippene i forordningen artikkel 5 nr. 1 bokstav a at behandlingen må være rettferdig og åpen. At behandlingen skal være rettferdig innebærer at sammenhengen mellom behandlingen og formålet som er fastsatt skal være forståelig for den registrerte. Åpenhet innebærer at behandlingen skal være forutsigbar for den registrerte og ikke foregå på en måte som er skjult.

    8.4 Innebygget personvern

    8.4.1 Generelt

    Løsninger for tilgjengeliggjøring av pasientinformasjon skal ivareta hver enkelt pasient på en god og helhetlig måte. Innebygget personvern er et krav etter personvernforordningen artikkel 25. Hva kravet innebærer er ikke konkret angitt i regelverket, men det forutsetter at gode personvernløsninger er standardinnstillinger og at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Den dataansvarlige skal følge opp kravet om innebygget personvern ved utvikling av programvare, ved bestilling av system, løsninger og tjenester, og ved inngåelse av avtaler med leverandører. Kravet til innebygget personvern skal sørge for at løsningene som brukes oppfyller personvernprinsippene, ivaretar den registrertes rettigheter og at krav til sikkerhet ved behandlingen oppfylles.

    Departementet vil særlig påpeke viktigheten av at personvernet til barn og unge og personer med adressesperre blir ivaretatt på en god måte gjennom innebyggede tiltak.

    8.4.2 Barn og unge

    Hovedregelen er at personer over 18 år har kompetanse til å treffe avgjørelse i helsemessige spørsmål. Den «helserettslige myndighetsalder» er imidlertid 16 år, jf. pasient- og brukerrettighetsloven § 4-3. Bestemmelsens første ledd bokstav c regulerer de begrensede tilfellene der barn mellom 12 og 16 år har selvstendig samtykkekompetanse. Det gjelder helsehjelp for forhold som foreldrene eller andre som har foreldreansvaret ikke er informert om, jf. § 3-4 andre og tredje ledd eller dersom det følger av «tiltakets art». Er pasienten mellom 12 og 16 år, skal opplysninger ikke gjøres tilgjengelig for foreldrene eller andre som har foreldreansvaret når pasienten av grunner som bør respekteres ikke ønsker dette. Det er altså adgang til å tilbakeholde informasjon fra foreldrene i visse tilfeller. I situasjoner hvor en pasient under 16 år, av grunner som bør respekteres, ikke ønsker at foreldre informeres og dermed heller ikke involveres, vil vedkommende selv ha samtykkekompetansen.

    Begrensninger knyttet til samtykkekompetanse, bruk av e-id og foreldreinvolvering reiser noen særlige utfordringer og hensyn som må vektlegges for barn knyttet til digitalisering av helsetjenestene.

    Et illustrerende eksempel er digitale innsynstjenester i pasientjournaler. Ved slike tjenester er det avgjørende å sikre at løsningen ikke gir pasienter eller andre innsyn i opplysninger som de ikke har rett til å se. Tjenestene må kunne tilbys med samme begrensninger som gjelder for rett til innsyn etter pasient- og brukerrettighetsloven § 5-1. Opplysninger som er unntatt fra retten til innsyn i § 5-1 kan ikke gjøres tilgjengelig i denne tjenesten.

    Risikoen er her særlig relatert til foreldre eller andre nærstående som kan få tilgang til opplysninger om barn mellom 12 og 16 som barnet, av grunner som bør respekteres, ikke ønsker å dele med for eksempel foreldre som har misbrukt eller på annen måte utøvd vold mot barnet. Det må derfor foretas en risikovurdering om digitalt innsyn kan gjennomføres på en slik måte at pasienters rett til forsvarlig helsehjelp blir ivaretatt.

    I forbindelse med etablering av Nasjonal kjernejournal er det i Prop. 89 L (2011–2012) Endringer i helseregisterloven mv. (opprettelse av nasjonal kjernejournal m.m.) presisert at barn mellom 12 og 16 år dessuten bør gis en viss grad av selvstendig innsynsrett i nasjonal kjernejournal, i tråd med reglene som gjelder for innsyn i journal, jf. pasient- og brukerrettighetsloven § 5-1 og § 6-5. Det må vurderes nærmere ut fra barnets alder, modenhet og omstendighetene for øvrig hvorvidt barnet skal gis innsyn, samt i hva og hvordan innsynet skal gis. Dette må det være behandlingsansvarlig helsepersonell som vurderer.

    Dette innebærer at det må utøves særlig varsomhet ved tilgjengeliggjøring av opplysninger om mindreårige pasienter, og at det må kunne tilbys særlige risikoreduserende tiltak, primært gjennom innebygde løsninger. Særlige forhold knyttet til tilgjengeliggjøring av helseopplysninger om barn og unge kan vurderes regulert i forskrift etter forslaget til helsepersonelloven § 25 fjerde ledd, eventuelt pasientjournalloven § 19 tredje ledd.

    8.4.3 Personer med adressesperre

    Trusselutsatte personer kan få sperret adresse i folkeregisteret, hvis politiet eller barnevernet mener det er grunnlag for slik beskyttelse, jf. folkeregisterloven § 10-4.

    Tiltaket iverksettes kun ved fare for liv, helse eller frihet og bare dersom andre og mindre inngripende beskyttelsestiltak ikke anses tilstrekkelig. Det er to typer adressesperringer. Den ene er «fortrolig» adresse og innebærer at adressen ikke skal utleveres til private. Den andre er «strengt fortrolig» adresse og innebærer at opplysninger om adressen ikke skal gis ut til noen. Adressesperre innebærer at adresseoppføringen graderes i Folkeregisteret. Effekten av en adressesperre er at geolokaliserende opplysninger om trusselutsatte ikke deles. Geolokaliserende opplysninger er alle opplysninger som sier noe om hvor en trusselutsatt befinner seg eller skal befinne seg til en gitt tid. Det gjelder også opplysninger om hvilket geografisk område den trusselutsatte er hjemmehørende i. Den egentlige adressen finnes da bare i en del av Folkeregisteret, som kun er tilgjengelig for Skatteetaten. Kun autoriserte personer i Skattedirektoratet vil ha tilgang til adressen.

    Personer med sperret adresse har et ekstraordinært behov for sikkerhet for at adresse, andre kontaktopplysninger og opplysninger som kan avsløre hvor vedkommende bor, ikke er tilgjengelig for uvedkommende. Dette kan være informasjon utover selve adressen som for eksempel hvilken fastlege en trusselutsatt har, hvilket helseforetak den trusselutsatte sogner til, hvilket apotek den trusselutsatte bruker og når den trusselutsatte har timeavtaler i helsetjenesten. Dette setter begrensninger for tilgjengeliggjøring av opplysninger fra pasientjournalsystemene.

    Dersom en trusselutsatt med sperret adresse har barn med trusselutøveren, og barn bor sammen med den trusselutsatte, vil barnets adresse også sperres. Kripos uttaler at det ikke er uvanlig at trusselutøveren fortsatt har foreldreansvar for barn til tross for at det er truffet vedtak om sperret adresse. I slike tilfeller er det svært viktig at trusselutøveren ikke får tilgang til informasjon om barns oppholdssted gjennom digitale plattformer. Ved en risikovurdering av om opplysninger om barn skal tilgjengeliggjøres på digitale delingstjenester, må det for barn som bor på sperret adresse legges til grunn at konsekvensen av et konfidensialitetsbrudd kan være tap av liv. Sannsynligheten for konfidensialitetsbrudd må således reduseres tilsvarende. Dersom det ikke er mulig å sikre at kun forelder som barnet bor sammen med får tilgang til opplysningene, bør det ikke være mulig å dele opplysninger om barn som bor på adressesperre i digitale tjenester.

    8.5 Informasjonssikkerhet

    I pasientjournalloven § 22 er det fastsatt krav til både dataansvarlig og databehandler med hensyn til informasjonssikkerhet, med henvisning til personvernforordningen artikkel 32. Bestemmelsen har en funksjonell utforming, hvor det sikkerhetsnivået som skal oppnås og opprettholdes skal være egnet med hensyn til risikoen. Videre følger det av andre ledd at departementet i forskrift kan fastsette nærmere krav til informasjonssikkerhet ved behandling av helseopplysninger.

    For å kunne oppfylle kravet til et sikkerhetsnivå som er egnet med hensyn til risikoen, må de sikkerhetstiltakene som iverksettes, være adekvate og dimensjonerte i forhold til den til enhver tid foreliggende risiko, med løpende vurderinger av verdier, sårbarheter og trusler. Tekniske innretninger som innebærer potensiell tilgang til helseopplysninger og andre sensitive opplysninger om store deler av Norges innbyggere, vil gjerne ha større verdi enn løsninger med opplysninger om et avgrenset antall personer, og vil dermed også fremstå som mer attraktiv for en trusselaktør. En trusselaktør vil også søke å rette sitt angrep mot det «svakeste punktet» i en løsning hvor det er mange aktører involvert, i den hensikt å kunne få tilgang videre. Det må videre legges til grunn at enkelte trusselaktører vil kunne ha høy motivasjon for å få tilgang til den aktuelle informasjonen, og besitte de nødvendige kapasiteter til å gjennomføre avanserte digitale angrep. Dette stiller høye krav til kartlegging av sårbarheter, og adekvate beskyttelsestiltak må identifiseres og iverksettes.

    Dagens situasjon hvor journalopplysninger i stor grad lagres på desentraliserte servere ved de ulike virksomhetene, bærer med seg ulike utfordringer for sikkerhetsarkitekturen. Ofte står drifts- og applikasjonsleverandørene for mange av de organisatoriske og tekniske sikkerhetsmekanismene som omfatter de ulike journalløsningene, og håndterer dette i mange tilfeller på et tilfredsstillende vis. En tilleggsutfordring er at tilnærmet samme informasjon er lagret flere steder, men bare oppdatert ett sted.

    Likevel er det ulik modenhet i ulike virksomheter. I kommunal helse- og omsorgstjeneste gjelder dette spesielt tiltak som ikke håndteres av leverandøren, for eksempel revisjon av tilganger og autorisasjoner, fysisk sikkerhet, håndtering av hendelser mv. Samtidig kan man argumentere for at trusselaktørene vil finne det vanskelig å navigere i en så desentralisert struktur og at verdien av å bryte seg inn i et system med begrenset mengde opplysninger vil være av mindre interesse, enn et system med store informasjonsmengder.

    Neste kapittel
    Forrige kapittel
    Neste kapittel
    Forrige kapittel
    Til forsiden
    Til toppen