Personvern og helse – to motpoler?

Helsevesenet behandler store mengder sensitive personopplysninger og kjenner dermed til våre sykdommer, personlige problemer og noen ganger våre innerste tanker.

Opplysningene lagres i helseregistre, i journaler, de brukes til behandling, forskning og til statistikk. Samtidig foregår en omfattende modernisering av helsevesenets datasystemer. Det ble nylig etablert en helseportal på nett, og i løpet av ikke veldig lang tid kan hele landets befolkning få sin egen elektroniske kjernejournal.

Personvern i helsesektoren er høyt prioritet i Datatilsynet. Vi er opptatt av at sentrale personvernprinsipper sikres også i helsesektoren. Dette gjelder blant annet retten til selvbestemmelse og autonomi, god informasjon om hva som registreres, og retten til innsyn.

Dessverre har vi sett at disse viktige prinsippene utfordres, særlig fordi pasientens selvbestemmelse er begrenset og fordi den teknologiske infrastrukturen er for dårlig. Det rulles imidlertid nå ut en rekke store reformer på helsesektoren som faktisk gir oss en mulighet til å bygge gode personvernløsninger inn allerede fra starten av. Sagt på en annen måte; til å kombinere helsepersonells behov for å vite, med et godt personvern.

For mange kan se for mye

Datatilsynet har gjennomført mange tilsyn mot helseforetak for å sjekke tilgangsstyringen, det vil si hvilket helsepersonell som kan se hvilke opplysninger om pasientene. Funnene kan kort oppsummeres ved at alt for mange kan se alt for mye. Vel kjent er også historier om helsepersonell som ikke vil la seg innlegge på det sykehuset de selv jobber, eller journalsystemer som åpner for at nær sagt alle ansatte på et visst nivå kan se journalen til alle som har vært innlagt på sykehuset de siste to årene. Logging av oppslag er ikke godt nok utviklet og kontroll med loggene nærmest ikke-eksisterende. Det ligger derfor en stor utfordring hos helsemyndighetene til å ta et krafttak for sikre pasientenes krav til konfidensialitet bedre enn i dag.

Selvbestemmelse og autonomi

Norge er på verdenstoppen i antall helseregistre og det finnes i dag femten sentrale helseregistre. Et helseregister inneholder store mengder sensitive opplysninger om norske borgere. La oss ta Norsk Pasientregister som eksempel. Her registreres all kontakt vi har hatt med spesialisthelsetjenesten, som sykehus, poliklinikker og spesialister. Det registreres tilstander, henvisningsgrunn og diagnoser, og kirurgiske inngrep. Andre helseregistre er gamle og har en lite hensiktsmessig struktur.

Dette reiser særlig to spørsmål. Skal det være obligatorisk å stå i de sentrale helseregistrene, og hvordan skal man sikre at kun de med et absolutt behov får tilgang til personidentifiserbare opplysninger?

Selvbestemmelse og autonomi er sentrale personvernkrav. Et samtykkebasert register vil derfor ivareta pasientenes personvern aller best. Tross dette er alle sentrale helseregistre i dag obligatoriske. Dette er problematisk fra et personvernståsted. Samtidig erkjenner jeg også at krav om samtykke i visse sammenhenger kan føre til vanskeligheter med å realisere formålet med registeret.  Etter Datatilsynets oppfatning bør det derfor i framtida legges opp til et tosporet system. De registrene som inneholder de mest sensitive opplysninger må baseres på samtykke fra den enkelte pasient, mens det for andre typer registre innføres en mulighet til å reservere seg mot registrering dersom formålet med registeret ikke kan nås gjennom samtykke fra den enkelte. Det må være enkelt å reservere seg, og det må gis god informasjon om reservasjonsadgangen. Dette vil sikre borgernes mulighet til å ivareta sin autonomi som pasient på en god måte.

Separat lagring

Samtidig er det viktig at ikke flere enn de med et absolutt behov kan se koblingen mellom sykdom og pasient. Mange registre er såkalt direkte personidentifiserbare, det vil si at opplysningene oppbevares på full identitet. Dette er problematisk i et personvernvernperspektiv. Flere registre, blant annet Norsk pasientregister, oppbevarer derfor personopplysninger og helseopplysninger separat. Kun personell med et legitimt behov får tilgang til koblingsnøkkelen. Dette en akseptabel løsning. I lovforslaget om internkryptering som nylig ble sendt på høring uttrykker departementet at framtidige helseregistre bør bygges på et slikt system. For Datatilsynet er det svært viktig at dette følges opp i praksis, og at det blir et krav om at nye og moderniserte helseregistre bygges på denne løsningen.

Innebygget personvern

Det gjelder i dag en lovbestemt rett til innsyn i logg. Dersom folk ikke forstår hva som står der og loggen er strukturert på en måte som gjør den uleselig, er det imidlertid liten hjelp i et godt regelverk. Det er her bruk av personvernfremmende teknologi kommer inn. Poenget er at gode personvernløsninger skal bygges inn allerede fra starten av. Vi snakker om viktige personvernkrav som samtykke, reservasjon, rett til informasjon og sletting. Testen står ved elektronisk kjernejournal, og jeg vil sterkt anbefale regjeringen om å bygge kjernejournalen på prinsippet om innebygget personvern.

Avhengig av tillit

Det finnes spenninger i forholdet mellom personvern og pasientbehandling, men det er mer som forener enn som skiller, og det er mange felles interesser. Fellesnevneren for et godt personvern og god pasientbehandling er tillit: Pasienten må ha tillit til at helsepersonell har all tilgjengelig informasjon når behandlingen finnes sted.  Pasienten må imidlertid samtidig også ha tillit til at de ofte svært sensitive opplysningene hun gir til legen ikke kommer på avveie, eller at annet helsepersonell, som kanskje er nabo eller venn, får tilgang til opplysningene. Dersom pasienten ikke har tillit til at taushetsplikten blir ivaretatt, vil det på sikt undergrave tilliten til så vel helsevesenet som helsepersonell.

Kronikken stod på trykk første gang i Dagens Medisin nr. 20, 24. november 2011

Les også:

Datatilsynets strategi for godt personvern i helsesektoren