Årsrapport for 2019

Spesielt om helse og NAV

Det pågår flere store prosesser med nasjonale løsninger som antas å medføre store endringer for alle berørte parter i helsesektoren. Dette gjelder for eksempel Helsenorge.no, Akson («Én innbygger, én journal»), Helseplattformen og Helseanalyseplattformen. Hensikten med disse prosjektene er enklere datatilgang for sekundære formål. Helsesektoren er dessuten preget av mange aktører og ulike virksomheter med forvaltningsansvar og beslutningsmyndighet. Leverandører og data­behandlere har ofte sentrale roller, og ansvarsforholdene kan ofte være uklare.

Endringer i måten man gir helsehjelp på, stiller nye krav til systemenes evne til å ivareta informasjons­­sikkerheten knyttet til konfidensialitet, tilgjengelighet og integritet. Det er samtidig en klart uttalt forventning om effektivisering. Dette kan medføre utkontrakteringer og sentralisering av kompetanse og beslutningsmyndighet.

Sentrale høringsuttalelser

Endringer i helseregistrene Nasjonal vaksinasjonsregister (SYSVAK) og Meldingssystem for smittsomme sykdommer (MSIS)

Forslaget innebærer endringer i registreringer av vaksiner og smittsomme sykdommer. For vaksine­opplysninger består endringene i at man går fra samtykkebasert behandling, eventuelt behandling med reservasjonsadgang, til et lovpålagt register. Nye smittsomme sykdommer ble i tillegg foreslått inkludert i MSIS. Formålet er å sikre et mer effektivt smittevern. Datatilsynet skrev i høringsuttalelsen at opplysningenes sensitivitet ikke var godt nok presentert i forslaget, og at en vesentlig økt personvernulempe og -risiko ikke var godt nok vurdert.

Endringer i hjemler for helsepersonells tilgang til data for egne læringsformål

I kjølvannet av debatten om en for streng personvernpraksis i sykehusene, kom det forslag om endring av helsepersonelloven. Endringen gir unntak fra taushetsplikt for helsepersonells lærings­formål knyttet til tidligere behandling de har vært involvert i. I høringsuttalelsen skrev vi at det i forslaget var lagt for mye vekt på praktiske hensyn, og at dette ville gå på bekostning av viktige personvernhensyn, hensynet bak reglene om taushetsplikt og grunnleggende informasjonssikkerhet.

NOU 2019:10 «Åpenhet i grenseland»

Utredningen «Åpenhet i grenseland» inneholder utkast til en veileder om bilde-/film-/lydopptak i helse- og omsorgstjenesten, barnevernet, skolen og barnehagen. Vi skrev i vårt høringssvar at veilederen må skille tydeligere mellom lovkrav og anbefalinger. Vi understreket også at formålet med opptakene er avgjørende for hva det er adgang til å gjøre opptak av og hvordan opptakene kan brukes videre. Videre påpekte vi at samtykke ikke alltid er egnet som rettslig grunnlag for behandling av personopplysninger om barn.

Endringer i helseregisterloven

Datatilsynet ga en omfattende høringsuttalelse til Helse- og omsorgsdepartementet om endringer i etableringen av og plasseringen av dataansvar i forbindelse med Helseanalyse­plattformen. Endringene skulle også sikre rettslig grunnlag for behandling av personopplysninger i løsningen.

Vi påpekte at utfordringene for personvernet var mangelfullt presentert, og at hverken sikkerhets­risiko eller personvernkonsekvenser var tilstrekkelig vurdert. Vi mente blant annet at forslagene medførte betydelige utvidelser i adgang til bruk av helsedata, og at løsningen med å etablere kopier av eksisterende helseregistre vil medføre en stor økning i sikkerhetsrisikonivået. I Reseptregisteret (Legemiddelregisteret) ble den tekniske løsningen for pseudonymforvaltning foreslått endret, noe som etter tilsynets vurderinger vil medføre personvernkonsekvenser som ikke var utredet i forslaget.

NOU 2019: 14 Tvangsbegrensningsloven

Høringen innebærer et forslag til en stor omlegging av regelverket for tvangsbruk på helse- og omsorgsområdet. Relevant for Datatilsynet er endringene som er foreslått i reglene for bruk av varslings- og lokaliseringsteknologi uten samtykke, noe som krever klare lovhjemler og grunn­leggende rettssikkerhetsgarantier. Generelt ser ikke Datatilsynet at personvernregelverket skal være til hinder for bruk av slik teknologi, forutsatt at den behandlingsansvarlige har gode rutiner for sletting, tilgangsstyring og lignende. Alternativet til overvåking ved hjelp av teknologi, typisk fysisk tilstedeværelse, vil ofte kunne oppleves mer inngripende for den enkelte pasient/bruker.

Lovforslaget innebærer også at fylkesmennene skal ha oversikt over all tvangsbruk, både regionalt og overfor den enkelte. Vi påpekte viktigheten av å definere formålet med slik informasjonsinnsamling klart og tydelig.

Saksbehandling

Overtredelsesgebyr til Oslo kommune

Sykehjemsetaten i Oslo kommunen lagret pasientopplysninger utenfor journalsystemet ved kommunens sykehjem/helsehus fra 2007 til november 2018. Datatilsynet vurderte at det meste av lovbruddet fant sted før personvernforordningen ble innført, og overtredelsesgebyret ble dermed fastsatt til 500 000 kroner.

Øvrige aktiviteter

2019 har vært preget av omstilling. Konsesjonsplikten har falt bort, samtidig som behandling av meldinger om brudd på personopplysningssikkerheten (avviksmeldinger) har vært mer ressurs­krevende enn noensinne. Vi har fulgt med på de store nasjonale prosessene som pågår i sektoren, blant annet gjennom orienteringsmøter på direktør- og saksbehandlernivå.

Datatilsynet har deltatt aktivt i en pågående debatt om personvernrettens rolle og gjennomslagskraft på Oslo Universitetssykehus (OUS). Debatten startet med en kronikk i dagspressen med tittelen «Dødelig personvern». Datatilsynets bidrag har bestått av kronikker, paneldiskusjoner og faglige innlegg. Debatten førte videre til foredragsvirksomhet og arbeid med et rundskriv fra Helse- og omsorgsdepartementet (HOD). I tillegg har vi bidratt i arbeidet med en veileder om temaet sammen med forskningsmiljøet ved OUS.

I Helsedataprogrammet har vi deltatt i referansegruppen og i arbeidsgruppen for personvern og informasjonssikkerhet. Vi har også levert faglige innspill til eHelsedirektoratet, i forbindelse med innbyggerundersøkelsen om befolkningens holdninger til helseregistre og forskning på helsedata.

Datatilsynet har også behandlet en sak om innsyn i opplysninger om NAV-ansatte. Resultatet ble at NAV forandret sin praksis om rett til innsyn i opplysninger om hvem som har gjort oppslag i databaser som inneholder personopplysninger om NAV-ansatte.

Vi har også deltatt på EHiN (E-helse i Norge) som er Norges største konferanse med fokus på digitalisering av helsesektoren. Det samme gjelder Normkonferansen, som arrangeres hvert år av Direktoratet for e-helse. Apotekbransjen har vi også hatt flere møter med i løpet av året.