Årsmelding for 2014

Helse og velferd

Helse- og velferdsområdet omfatter blant annet barnevern, helse- og omsorgs­tjenestene, NAV, helseforskning og samfunns­forskning. Opplysningene som behandles i denne sektoren er blant de mest sensitive som finnes, og befolkningen selv anser opplysningene for særlig beskyttelses­verdige. Det behandles opplysninger om befolkningen i alle livsfaser, og ønsket om bruk og gjenbruk av opplysningene til stadig flere formål, øker.

Hovedutfordringen for personvernet innen helsesektoren er at denne sektoren er gjenstand for store forandringer, og at disse endringene skjer i et raskt tempo. Som eksempel nevnes ny lovgivning, ny forordning, teknologiutviklingen og utviklingen innen e‑helse.

Videre er det en utfordring at helse- og omsorgstjenestene er preget av mange aktører og flere ulikt organiserte virksomheter med forvaltningsansvar og beslutnings­myndighet. Leverandører og databehandlere har ofte sentrale roller. I spesialisthelse­tjenesten ser vi at viktige deler av data­behandlingsansvaret, slik som tilgangs­styring i helseforetakene, i praksis ivaretas av enheter eller underselskaper som er opprettet av de regionale helseforetakene. Dette kan utfordre de reelt ansvarlige helseforetakenes muligheter til å overholde sine plikter, og det er viktig at det legges til rette for at helse­foretakene kan utøve sitt ansvar og styre underleverandørene på en god måte.

Endringer i bruken av pasientjournalsystemer, primært for å gi tilgang til pasientinformasjon på tvers av virksomhetsgrenser, stiller nye krav til systemenes evne til å ivareta sikkerheten, slik at opplysninger ikke gjøres tilgjengelig utover det som er nødvendig og relevant for den helsehjelpen som skal ytes.

En annen aktuell utfordring er den økte utvekslingen av helseopplysninger som følger av helse- og omsorgsreformen. Flere opplysningskategorier om den enkelte vil gjøres tilgjengelig for et økende antall helse- og omsorgsarbeidere. Informasjonsdeling til beste for den enkelte pasient er utvilsomt et gode. Det å sørge for at slik informasjons­deling ikke fører til utilsiktet spredning av sensitive opplysninger, er imidlertid en vesentlig utfordring for ivaretakelsen av enkeltindividets krav på beskyttelse av sine egne opplysninger.

Ny lovgivning som trådte i kraft fra januar 2015, åpner for ytterligere informasjons­utveksling mellom virksomheter innenfor helse- og omsorgstjenesten. Dette skjer ved at det generelle forbudet om tilgang til opplysninger på tvers av virksomheter, som gikk frem av tidligere helseregisterlov § 13, ikke videreføres i de nye lovene.

Velferdsteknologi har vært et sentralt tema for Datatilsynet de siste årene, så også i 2014, og vi ser at det fortsatt er store personvern­utfordringer på området. Utfordringene knytter seg blant annet til krav til sikkerhet, dokumentasjon og praktiske utfordringer ved bruk. Vi ser at anvendelsen av velferds­teknologi i den ordinære helse- og omsorgstjeneste fremdeles er meget begrenset, og at tjenesten fortsatt testes ut i piloter og prosjekter. Vi forventer imidlertid at velferdsteknologi i større utstrekning brukes i ordinær tjeneste fra 2015.  

NAV behandler store mengder opplysninger om hele Norges befolkning, og har mange av de de samme problemstillingene som vi finner i helsesektoren knyttet til behandling av personopplysninger. Dilemmaet mellom å ha tilgjengelige opplysninger og å sikre tilfredsstillende konfidensialitet kan utgjøre utfordringer for personvernet.

En annen utfordring innen NAV-systemet er at det i stor grad benyttes eksterne leverandører for å oppfylle de oppgavene NAV skal ivareta. Datatilsynet oppfatter at ansvarsforholdene i disse tjenestene er uklare. Etter å ha forsøkt å få klarhet i dette gjennom korrespondanse med NAV over lang tid, mente vi at det var nødvendig å gjennomføre tilsyn med NAVs bruk av tiltaksarrangører i 2014. NAV har vurdert det slik at tiltaksarrangørene er behandlingsansvarlige for behandlingen av opplysninger de gjør på oppdrag fra NAV, og at NAV ikke kan anses som ansvarlige.

Datatilsynets overordnede mål for helse- og velferdsområdet er at vi skal være pådrivere for at de ansvarlige beslutningstakerne ivaretar sine plikter etter personopplysnings­loven. Vi skal formidle de gode mulighetene som ligger i innebygd personvern, og fremheve hvordan sektoren kan bruke opplysninger som ikke identifiserer enkeltindivider.


Gjennomførte aktiviteter

Innen helse- og velferdssektoren bruker vi forholdsvis mye tid på foredrag for, og kontakt med, sentrale aktører for å oppnå godt personvern. Vi har i 2014 gjennomført en rekke møter med blant annet leverandører av tekniske løsninger og journalsystemer, helseforetak, helseregistermiljøer og helse­myndighetene. Slike møter anses som nyttige både for vår egen kunnskapsbygging og fordi vi på enkle måter får formidlet viktige personvernhensyn.

I forbindelse med behandlingen av konsesjons­­saker har vi i mange tilfeller gjennomført møter med behandlings­ansvarlige og med personvernombudene dersom virksomheten har det. Disse møtene er nyttige for å kunne belyse saken på en god måte. Det letter også den skriftlige delen av saksbehandlingen i ettertid.

I løpet av året har vi gjennomført flere tilsyn på dette området. Vi hadde blant annet behov for å følge opp tidligere tilsyn med tilgangs­styring, skaffe oss mer kunnskap om den faktiske situasjonen innen velferds­teknologi og for å avklare ansvarsforhold rundt NAVs bruk av tiltaksarrangør.

Vi har også en omfattende involvering i arbeidet med og rundt Norm for informasjons­sikkerhet i helse-, omsorgs- og sosialsektoren. I 2014 har vi blant annet bidratt med juridisk og sikkerhetsfaglig kompetanse i arbeidet med å utarbeide en veileder for ivaretakelse av informasjonssikkerhet ved bruk av velferds­teknologi i kommunene. Veilederen skal ferdigstilles tidlig i 2015.

Tilsyn med tilgangsstyring

Tilgangen til helseopplysninger om enkelt­personer skal være styrt av tekniske tiltak. Pasientopplysninger skal bare være tilgjengelige for det helsepersonellet som behøver opplysningene for å gi enkeltpersoner helsehjelp, og opplysningene skal bare være tilgjengelige når personellet trenger tilgang.

Datatilsynet gjennomførte i 2014 tilsyn med tre sykehus og hvordan de styrer tilgangen til pasientopplysninger i elektroniske pasient­journaler. Vi kontrollerte dette også i 2005, 2009 og 2013, men anså at det var nødvendig å gjøre en oppfølging for å se hvordan situasjonen var nå. Vi vurderte det også som særlig viktig i forkant av ny pasientjournallov, som i større grad enn tidligere åpner for tilgang til opplysninger på tvers av virksomheter.

Vårt inntrykk er at sektoren er blitt bedre på dette. Likevel finner vi fortsatt alvorlige brudd på bestemmelsene om tilgangsstyring. Funnene våre viser at sykehusene er for dårlige på å gjennomføre vurderinger av hvilke opplysninger som skal være tilgjengelige for hvem. De faktiske tilgangene til helse­opplysninger er for vide, og tilgangene fjernes ikke når de ikke lenger er relevante for å gi helsehjelp. Virksomhetene fører heller ikke tilstrekkelig kontroll med hvordan helsepersonellets tilganger benyttes.

Manglende tilgangsstyring internt i helse­virksomhetene er alvorlig nok. Trusselen mot personvernet blir enda større når tilgangene ikke begrenses av virksomhets­grenser. Ny pasientjournallov og forskrift om tilgang til helseopplysninger mellom virksomheter, åpner for tilgang til svært mange flere pasient­opplysninger enn i dag. Dette stiller ytterligere krav til tilgangsstyring. Datatilsynet stiller seg spørrende til om sektoren er klar for å ivareta de kravene som er nødvendige for å åpne for slike tilganger.

Tilsyn med bruk av velferdsteknologi

Vi gjennomførte fem tilsyn med bruk av velferdsteknologi i desember 2014. To av tilsynene ble gjennomført med leverandører og tre med kommunale tjenester.

Erfaringen fra tilsynene er at velferdsteknologi kun i liten grad er tatt i bruk i ordinær helse- og omsorgstjeneste i kommunene. Imidlertid har det vært testet ut i prosjekter som også fullt ut reguleres av personvernregelverket. Funnene fra tilsynene tilsier at kravene til avtale ved behandling av opplysninger på vegne av databehandlingsansvarlige i liten grad er oppfylt. I tillegg mener Datatilsynet at det trolig er for vide tilganger til opplysninger hos databehandlere/leverandører.

Erfaringene vi har gjort gjennom kontrollene har gitt oss en oversikt over utstrekningen av velferdsteknologi, i tillegg til at vi har identifisert enkelte problemstillinger og avvik fra personvernregelverket som vi kan arbeide videre med i 2015. Tidlig påvirkning, også ved bruk av tilsyn, vil bidra til at utbredelsen av velferdsteknologi skjer i samsvar med regelverket.

Tilsyn med NAVs bruk av tiltaksarrangører

Datatilsynet valgte å gjennomførte fire kontroller med NAVs bruk av tiltaks­arrangører, etter at vi har forsøkt å klargjøre ansvarsforholdene rundt denne ordningen over en lang periode. Det har tidligere vært avholdt møter og det har vært skriftlig korrespondanse, uten at forholdene etter vår oppfatning har blitt klarere. En av kontrollene ble gjort med Arbeids- og velferdsdirektoratet og tre kontroller ble gjort med arbeids­markeds­­bedrifter.

Etter disse tilsynene konkluderte vi med at NAV er å anse som behandlingsansvarlig for mange av de tiltakene som leveres gjennom tiltaksarrangører, og at det anses som avvik at det ikke foreligger tilfredsstillende data­behandlingsavtaler mellom partene.

Høring – tilgang til helseopplysninger på tvers av virksomhetsgrenser

De nye lovene om helseregistre og pasientjournaler ble vedtatt av Stortinget sommeren 2014, og trådte i kraft 1. januar 2015. Den nye pasientjournalloven inneholder hjemmel for å tillate tilgang til helse­opplysninger på tvers av virksomhets­grenser. Denne åpningen forutsetter imidlertid at slik tilgang reguleres i forskrift. Høsten 2014 sendte Helse- og omsorgsdepartementet derfor forslag til forskrift som skal regulere tilgang til helseopplysninger på tvers av virksomhetsgrenser, på høring.

Datatilsynet hadde vesentlige innvendinger til hvordan departementet hadde valgt å utforme forskriften. Først og fremst mente vi at det manglet en erkjennelse av at det å åpne for tilgang til pasientjournaler på tvers av virksomheter, er å godta at tilgjengelighet skal gå på bekostning av konfidensialitet. En slik erkjennelse er avgjørende for å kunne gjøre reelle risikovurderinger og beslutte riktige sikkerhetstiltak.

Dernest mente vi at forslaget til forskrift var for generell og åpen for skjønnsmessige vurderinger. Departementet burde enten gitt en større grad av detaljregulering i forskrift, eller sørget for en godkjenningsordning for de virksomhetene som skal åpne for tilgang på tvers.

Datatilsynet understreket behovet for å korrigere svakhetene ved dagens journal­systemer før det åpnes for tilgang til pasient­journaler mellom virksomheter. Et eksempel vi har trukket frem som sentralt, er at virksomheter som skal åpne for tilgang på tvers, må ha en elektronisk pasientjournal som lar seg sortere (krav til strukturering).

Datatilsynet støttet forslaget om en egen bestemmelse som gir en plikt til å følge opp avvik fra bestemmelsene om tilgang, samt plikt til å informere pasienten om slike avvik. Dette ble ivaretatt når forskriften ble vedtatt.

Også på flere andre områder var vi positive til den endelige forskriften, blant annet hvordan loggkravet ivaretas og at forskriften på en ryddig måte legger plikter på begge parter i kommunikasjonen. Videre er vi positive til at forskriften skal revideres etter ett år.

Saksbehandling og sentrale nemndsavgjørelser

Datatilsynet har også i 2014 hatt mange saker til behandling innen dette feltet. Noen av sakene opprettes etter at enkeltpersoner kontakter oss, og at vi så velger å ta sakene inn til ordinær saksbehandling. Målet med saksbehandlingen er i disse tilfellene å avdekke om det foreligger systemsvikt som bakgrunn for enkelthenvendelsene. Et annet mål er å skaffe kunnskap om området, og å avdekke om det kan være behov for å gjennomføre kontroller.

Den største delen av sakene gjelder likevel søknader om konsesjon til gjennomføring av forsknings- og kvalitetssikringsprosjekter, og behandling av opplysninger i helseregistre. Vi har sett at det er et økende ønske om å opprette kvalitetsregistre knyttet til spesialisthelsetjenesten.

I mangel av sentrale eller lokale registre for kommunalhelsetjenesten, har vi gjennom saksbehandlingen sett at det er ønske om å bruke eksisterende registre som er opprettet for andre formål, for å hente ut informasjon til forsknings- og kvalitetssikringsformål. For eksempel har Datatilsynet behandlet flere konsesjonssaker hvor det skal benyttes data fra HELFOs register KUHR (Kontroll og utbetaling av helserefusjon), som er opprettet for å forvalte behandlingsrefusjon og er hjemlet i folketrygdloven.

En annen tendens vi har sett er at forsknings­miljøene ønsker å samle store datasett i et «hovedprosjekt» eller i en form for forsknings­register, og så benytte dataene i flere underprosjekter. Vi har hatt flere veilednings­møter i forbindelse med søknader om konsesjon og opprettelse av registre i 2014, og vi forventer søknader om konsesjon for flere av disse prosjektene og registrene i 2015. Vi ser også at eksisterende registre utvides og at opprinnelig avgitte samtykker strekkes langt og tolkes utvidende.

Personvernnemnda har i 2014 kommet med flere avgjørelser som har betydning for Datatilsynets saksbehandling av konsesjons­søknader knyttet til rekkevidden av avgitte samtykker, plikten til å gi informasjon og Datatilsynets konsesjonskompetanse:

NOKBIL (PVN-2013-28) og NORHIV (PVN-2014-02)
I årsmeldingen for 2013 omtalte vi to prinsipielle avgjørelser om avslag på søknad om konsesjon for nasjonale kvalitetsregistre. De prinsipielle temaene i de to sakene belyser grensedragningen mellom hvilke samtykkebaserte registre som kan opprettes i medhold av konsesjon fra Datatilsynet, og hvilke av disse registrene som krever forskriftsregulering. Den ene søknaden gjaldt opprettelse av et nasjonalt register, NOKBIL, over pasienter som benytter biologiske legemidler. Dette er basert på fellesregistermodellen, og består av flere underordnede registre som rapporterer til et overordnet register. Det andre nasjonale registeret, NORHIV, innebar registrering av HIV-pasienter.

Datatilsynet la til grunn at begge registrene, hver på sin måte, var av en slik karakter at konsesjon ikke var et tilfredsstillende rettslig grunnlag etter helseregisterloven. Vi viste til intensjonene med å regulere helseregistre i særlov, som var å styrke det rettslige grunnlaget for å etablere registre. Det ble også vist til lovforarbeidenes føringer for å vurdere skillet mellom de ulike hjemmelsgrunnlagene for ulike typer helseregistre. Datatilsynet la derfor til grunn at begge registrene eventuelt måtte opprettes i medhold av forskrift etter helseregisterloven § 8.

Personvernnemnda vurderte klagen og kom til samme konklusjon som Datatilsynet. Nemnda uttaler i tillegg at kravene til forskrifts­regulering i helseregisterloven § 8, ikke kan omgås ved å benytte § 5 og konsesjon som grunnlag for slike registre.

Individuell informasjonsplikt etter helseforskningsloven (PVN-2013-23)
Saken gjaldt Universitetssykehuset Nord-Norge HFs plikt etter helseforskningsloven § 28 til å på forhånd informere alle pasienter om at humant biologisk materiale som er innsamlet som ledd i diagnostisering og behandling, i visse tilfeller kan benyttes til forskning uten innhenting av pasientens samtykke. Det var på det rene at helse­foretaket ikke hadde oppfylt informasjons­plikten sin i perioden 2009-2013.

Spørsmålet som var til behandling i denne saken var om helseforetaket kunne reparere dette ved å gi generell informasjon i form av pressedekning eller lignende, eller om hver enkelt pasient måtte få individuell informasjon. Nemnda var enig med Datatilsynet i at reparasjon av den ikke-oppfylte plikten til informasjon måtte gis individuelt i form av brev til de berørte pasientene.

Krav om samtykke for registrering i Nasjonalt tvillingregister (PVN-2013-17)
Nasjonalt folkehelseinstitutt (FHI) ønsket å samle datasett fra flere ulike forsknings­prosjekter som gjaldt tvillinger, i et nasjonalt tvillingregister. Spørsmålet Personvern­nemnda skulle ta stilling til var om FHI måtte innhente nye samtykker fra de registrerte for å overføre helse- og personopplysninger til det nasjonale registeret.  

Konklusjonen nemnda kom til var at det måtte innhentes nye samtykker fra deltakerne. Det ble lagt vekt på at det er en vesentlig forskjell på å samtykke til tidsbegrensede og formåls­bestemte forskningsprosjekter, og til registrering i et permanent, nasjonalt forskningsregister. Videre kom nemnda til at informasjonen som forskningsdeltakerne får, vil være førende for hvilken adgang det er til å tilføre et register nye opplysninger.

Reseptregisteret – hva betyr pseudonymt? (PVN-2013-15)
Oslo universitetssykehus (OUS) ønsket å gjennomføre et forskningsprosjekt som innebar kobling mellom pasientjournaler og Reseptregisteret. Pasientene som deltok i prosjektet hadde samtykket til gjennomgang av pasientjournalen, men OUS ønsket en mer strukturert innhenting av oppfølgningsdata ved kobling med flere helseregistre, deriblant Reseptregisteret.

Reseptregisterforskriften fastslår imidlertid at det er et forbud mot å ha samtidig tilgang til identitetsopplysninger og reseptopplysninger. Forbudet gjør det ulovlig å omgjøre et pseudonymt register til å bli et person­identifiserbart register. Dette betyr at Datatilsynet ikke kan gi konsesjon til en slik kobling, med mindre koblingen er pseudonymisert, eller at den registrerte samtykker.

Personvernnemnda sluttet seg til Datatilsynets vedtak. 

Farmers biobank – bredt samtykke (PVN-2013-14)
Spørsmålet i denne saken var knyttet til rekkevidden av samtykker gitt for 20 til 25 år tilbake i tid. Samtykkene ble gitt av bønder som hadde takket ja til å delta i et forsknings­program i regi av Statens arbeidsmiljøinstitutt (STAMI). Deltakerne fikk informasjon om at formålet var å «kartlegge allergi, luftvegs- og lungesjukdom i landbruket». Kreftregisteret ønsket så å inkludere helseopplysningene i et tematisk forskningsregister, og benytte dem til å studere eksponeringer som har betydning for helseforhold, sykdom og død blant bønder. Datatilsynet mente derimot at samtykket ikke dekket en slik bruk.

Personvernnemnda kom til at det opprinnelige samtykket også omfattet slik forskning som det nå ble søkt om. Klagen ble tatt til følge og Datatilsynet fikk ikke medhold i sitt syn.

Nyrebiopsiregisteret (PVN-2013-07)
Sakens opprinnelse var en klage på Datatilsynets avslag på endring av konsesjon. Datatilsynet mente at i de tilfellene hvor de registrerte i nyrebiopsiregisteret var mindreårige, og foresatte eller verge hadde samtykket på deres vegne, måtte databehandlingsansvarlig innhente nye samtykker fra ungdommene når de fylte 16 år.

Personvernnemnda kom imidlertid til at vergens samtykke fortsatt er gyldig, men at råderetten for tilbaketrekking går over til barnet ved fylte 16 år. Klagen ble tatt til følge.

Øvrige aktiviteter

Kontaktmøter
Innen helsesektoren er det flere store prosesser i gang, og vi har i 2014 hatt bred kontakt med Helsedirektoratet tilknyttet blant annet Nasjonal kjernejournal «En innbygger – en journal», Min Helsejournal og e-Resept.

Datatilsynet har også hatt kontaktmøter med andre sentrale aktører innen helse- og velferdssektoren, både i tilknytning til saks­behandling av konsesjoner og generelle kontaktmøter. I 2014 har vi blant annet hatt møter med Norsk Pasientregister, Helsenett, HUNT (Helseundersøkelsen i Nord-Trøndelag), Norsk senter for telemedisin (NST), Universitetet i Tromsø (i forbindelse med Tromsøundersøkelsen), Senter for klinisk dokumentasjon og evaluering (SKDE) og Kommunesektorens organisasjon (KS).

I desember 2014 deltok vi i et møte mellom sentrale aktører innen helseregistermiljøene for å diskutere betydningen av den nye helseregisterloven som trer i kraft 1. januar 2015.

Referansegruppe
Datatilsynet har deltatt i en referansegruppe i to utredninger gjort av KS.

Den første utredningen gjaldt kommunenes praksis ved behandling av individuell opplæringsplan (IOP). Den andre utredningen, som fortsatt er under utarbeidelse, tar for seg kommunenes praksis for håndtering og arkivering av dokumentasjon innenfor pleie- og omsorgstjenestene. I denne utredningen ses det særlig på når dokumentasjon skal registreres i saksbehandlingssystem, og når det skal dokumenteres i elektronisk pasientjournal.

I begge utredningene blir arkivrettslige og personvernrettslige problemstillinger vurdert. Utredningene har tatt sikte på å se på gjeldende rett, beskrive praksis ute i kommunene, påpeke avvik fra regelverket, samt komme med anbefalinger til hvordan kommunene kan innrette seg for å ha en praksis i tråd med gjeldende regelverk.

Datatilsynet opplever å ha reell innflytelse på innholdet i denne type arbeid. I den grad vi setter av nok ressurser til å kunne gi konkrete råd og anbefalinger, så er deltakelse i eksterne arbeidsgrupper en type arbeid som vi får god uttelling for.


Fremtidige utfordringer

Med ny lovgivning har det blitt større adgang til å kunne gi tilgang til pasientopplysninger på tvers av virksomhetsgrensene. Forskriften som regulerer slik tilgang, inneholder få krav til fagsystemene, noe som er en forutsetning for å sikre at tilgangene som gis ikke medfører en utilsiktet og ulovlig tilgang til person­opplysninger. Datatilsynets kontroller over tid viser at pasientjournaler mangler den nødvendige strukturen som skal til for å kunne sikre at det ikke gis tilgang til mer enn det som er nødvendig. Riksrevisjonen har også gjort tilsvarende funn, publisert i en rapport fra november 2014. Vi er derfor bekymret for at den adgangen pasientjournalloven gir, kan føre til unødvendig og utilsiktet spredning av pasientopplysninger.

Pasientjournalloven åpner også for at det kan opprettes behandlingsrettede helseregistre mellom samarbeidende helsepersonell, og det er gitt forskriftshjemmel til å regulere disse forholdene. Uten at slik forskrift gis, er vi bekymret for hvordan praksisen vil utvikle seg på dette området.

På velferdsteknologiområdet mener vi at det ligger en stor personvernrisiko i at det ikke foreligger sentrale føringer for bruken i nevneverdig grad. Normens veileder vil gi noen retningslinjer, men det er fortsatt et stort behov for kunnskap, knyttet til behandling av opplysninger ved bruk av velferdsteknologi.