Kontroll med sentrale helseregistre

Datatilsynet har gjennomført brevlige kontroller med en rekke sentrale helseregistre. Vi hadde særlig fokus på virksomhetens internkontroll, informasjonssikkerhetstiltak og de registrertes rettigheter.

Formålet med kontrollene, som ble gjennomført i 2016, var å undersøke hvordan registrene praktiserer etterlevelse av kravene i personvernregelverket og hvilke tiltak registerforvalterne benytter seg av for å sikre ivaretakelse av de registrertes personvern. Vi har nå ferdigstilt en rapport om kontrollen som er tilgjengelig for alle.

Helseregistrene som ble kontrollert var Medisinsk fødselsregister, Hjerte- og karregisteret, MSIS, SYSVAK, Reseptregisteret, Dødsårsaksregisteret, Kreftregisteret, Norsk pasientregister, IPLOS og Forsvarets helseregister. De behandlingsansvarlige for registrene er Folkehelseinstituttet, Kreftregisteret (OUS), Helsedirektoratet og Forsvarsdepartementet.

Behandling av personopplysninger i registrene er regulert i egne forskrifter med hjemmel i helseregisterloven §§ 9 og 11.

- Selv om kontrollene ble gjennomført før det nye personvernregelverket trådte i kraft 20. juli 2018, mener vi at resultatene fra kontrollen er relevante og nyttige også når registerforvalterne nå skal etterleve kravene i personvernforordningen, sier juridisk seniorrådgiver Grete Alhaug.

Oppsummering av våre funn

Krav til internkontroll

De sentrale helseregistrene kunne i 2016 dokumentere at det var gjort et stort stykke arbeid for å etablere en tilfredsstillende og i noen tilfeller svært omfattende internkontroll.

- Utfordringen i det videre arbeidet ligger i å profesjonalisere og forankre sikkerhetsarbeidet, og sikre at internkontrollen blir implementert og tilgjengelig for de ansatte i den daglige driften av registeret, sier Alhaug

Informasjonssikkerhet

Etter vår vurdering har de sentrale helseregistrene i hovedsak en del å gå på når det gjelder moderne informasjonsteknologi og løsninger for optimalt sikkerhetsarbeid.

De fleste registrene har løsninger som er i tråd med gjeldende regelverk. Tatt i betraktning de verdiene som forvaltes i registrene, kan man likevel fra et informasjonssikkerhetsperspektiv legge til grunn at det er et stor potensiale for modernisering og bedre tekniske sikkerhetsløsninger.

Ivaretakelse av de registrertes rettigheter

Informasjon til de registrerte og til allmennheten er etter vår vurdering det viktigste hjelpemidlet registrene har for å gjøre de registrerte i stand til å benytte seg av sine rettigheter.

- Muligheten for de registrerte til å ivareta sine rettigheter er viktig for å sikre et godt personvern. Informasjon er helt avgjørende når registrering skjer uten samtykke fra de registrerte, sier Grete Alhaug.

Manglende strategier for informasjon til allmennheten er det vi mener er det viktigste funnet ved disse kontrollene og det området vi mener det viktigst å ta tak i og gjøre bedre i fremtiden for eksisterende og nye registre.

Kontinuerlig arbeid for å sikre tillit

Alle registrene har tatt tak i våre varslede funn og situasjonen er derfor allerede bedre enn den var før kontrollen ble gjennomført. Det betyr ikke at arbeidet med å sikre etterlevelse av personvernregelverket er ferdigstilt. Kontinuerlig arbeid med internkontroll og bevissthet rundt plikten til å ivareta de registrertes rettigheter er i tillegg til tilfredsstillende sikkerhetstiltak, det viktigste registrene må fokusere på når det gjelder å forbedre de registrertes stilling. Dette er særlig viktig i et samfunn der svært store mengder sensitive personopplysninger behandles for andre formål enn det den registrerte er kjent med. Vi mener dette er avgjørende for å opprettholde nødvendig tillit fra befolkningen.

Den demokratiske prosessen som ligger til grunn for et lov- eller forskriftsvedtak om etablering av et helseregister er ikke en prosess som involverer allmennheten på en måte som tilsier at Ola og Kari i tilstrekkelig grad er kjent med hva lovforslaget innebærer når det gjelder personvernkonsekvenser. Den behandlingsansvarlige må derfor sikre at personverninteresser faktisk ivaretas gjennom daglig drift og forvaltning av registrene.

Positiv utvikling

Det pågående arbeidet med Helsenorge.no i regi av Direktoratet for e-helse er et positivt skritt i riktig retning. Arbeidet vil forhåpentligvis bidra til at befolkningen i større grad enn tidligere gjøres kjent med og har mulighet til å sette seg inn i omfanget av helseopplysninger som benyttes til andre formål enn å yte helsehjelp til den enkelte. På Helsenorge.no vil man på sikt finne en samlet oversikt over hvem som gjenbruker våre helsedata og relevant informasjon om utlevering til sentrale registre, medisinske kvalitetsregistre, forskning, analyse og administrasjon av helsesektoren.

- Etter hvert som portalen i større grad tas i bruk for kommunikasjon og administrasjon av den enkelte borgers kontakt med helsetjenesten håper vi at innbyggernes bevissthet rundt egne rettigheter og kunnskap om hvordan helseopplysninger benyttes øker, sier Grete Alhaug.

Om økt kunnskap vil bidra til fortsatt tillit til helsetjenesten vil vise seg, men uten slik kunnskap i befolkningen er det ikke egentlig grunnlag for å hevde at befolkningen har tillit til at behandling av helseopplysninger er i samsvar med befolkningens forventninger når det gjelder utstrakt bruk og deling av helseopplysninger.

 

Les hele rapporten her

16