Aktiver Javascript i din nettleser for en bedre opplevelse på regjeringen.no

Høringssvar fra Direktoratet for e-helse

Direktoratet for e-helse sitt høringssvar til Lysne II-utvalgets rapport om DGF

Dato: 06.01.2017

Svartype: Med merknad

1. Innledning

Offentlig sektor i Norge er en sterk pådriver til digitalisering gjennom sine digitaliseringsinitiativ og det relaterte prinsippet om digitalt førstevalg. Innenfor helsesektoren settes digitalisering ofte i sammenheng med følgende:

  • Bedre og mer effektiv samhandling mellom helsetilbydere og helsepersonell som yter helsetjenester til befolkningen
  • Nye muligheter for involvering av pasienter og pårørende i behandlingsforløp og beslutningsprosesser som angår deres helsesituasjon
  • Nye tjenester (eksempelvis velferdsteknologi) som muliggjør høyere kvalitet for pasientene, blant annet for å møte med utfordringene fra kjente demografiske endringer som samfunnet står overfor

Kvalitet og konfidensialitet er kjernebehov i alt arbeid i helsesektoren. Derfor har sektoren et gjennomgående behov for å ivareta befolkningens personvern. Det investeres mye i høy informasjonssikkerhet. Helseopplysninger genereres, samles inn og registreres med det formål å yte helsetjenester av høy kvalitet, og med sterk innbyggerinvolvering. Fundamentet for innbyggernes samtykke, er deres tillit til at informasjonen håndteres konfidensielt, og at kun helsepersonell med tjenstlig behov har tilgang. 

Med basis i dette ønsker Direktoratet for e-helse å belyse hvilke berøringspunkter som foreligger mellom det foreslåtte digitale grenseforsvaret (DGF) og digital kommunikasjon i helsesektoren.

2. Hvordan berører foreslåtte DGF digital kommunikasjon i helsesektoren?

Personidentifiserbare helseopplysninger er særdeles sensitiv informasjon. Dersom slik informasjon kommer på avveie, vil det kunne gjøre uopprettelig skade for den det gjelder, det vil kunne svekke tilliten i relasjonen mellom pasient og helsepersonell, og kan være egnet til å svekke befolkningens tillit til offentlige, digitale tjenester på mer generell basis. Aktørene i helsesektoren er derfor særskilt opptatt av personvern og informasjonssikkerhet, samt analyse og håndtering av trusselbilder og risikoer. Økt brukeradopsjon av digitale løsninger er avhengig av at befolkningen har tillit til at den digitale kommunikasjonen er trygg og konfidensiell. 

Spesielt om helseopplysninger

Helseopplysninger er taushetsbelagte opplysninger, og helsepersonell er underlagt en taushetsplikt. I noen situasjoner vil andre interesser likevel kunne veie tyngre enn hensynet til pasientens behov for konfidensialitet. Helsepersonelloven gjør derfor noen unntak fra/begrensninger i taushetsplikten slik at helsepersonell kan ha rett, og i noen tilfeller også plikt, til å gi opplysninger om pasientforhold til politiet og andre nødetater. 

Konkret åpner helsepersonelloven § 23 nr. 4 for unntak fra taushetsplikten når tungtveiende offentlige interesser gjør det legitimt at opplysninger viderebringes. Det kan tenkes at E-tjenesten kan benytte denne hjemmelen overfor helsepersonell for å få tilgang til informasjon. Når det gjelder tilgang til helseopplysninger som ikke viderebringes av helsepersonell, men som er trafikk som går over landegrensen, er ikke reglene om helsepersonells taushetsplikt relevante ettersom det ikke handler om noe helsepersonell gjør. Derimot gjelder en taushetsrett for den opplysningene gjelder.  

Et forslag om DGF som omfatter helseopplysninger antas å ville gå langt videre enn de gjeldende reglene i helsepersonelloven som vil gjelde dersom E-tjenesten går mot helsepersonell for å få informasjon. Det vil derfor være behov for en tydelig hjemmel i lov for å legitimere bruddet på taushetsretten mht. helseopplysninger som oppstår i en slik situasjon, ettersom myndighetenes inngrep overfor den enkelte må ha grunnlag i lov (legalitetsprinsippet). 

Vi ønsker å belyse noen forhold knyttet til helseopplysningenes karakter og hvilke vurderinger vi gjør rundt foreslåtte DGF dersom dette også vil komme til å omfatte konfidensielle helseopplysninger. Det er et faktum at helseopplysninger kommuniseres gjennom fiberkabler som går inn og ut av Norge, både over Helsenettet og med internett som bærer.


Helseopplysninger over Helsenettet

Helsenettet driftes av Norsk Helsenett og er en sikret digital arena for alle aktører i helsesektoren, der man kan utveksle informasjon på en trygg og sikret måte. Helsenettets primære infrastruktur er norsk. I deler av landet går imidlertid sekundærlinjer via nordiske naboland. Hensikten med dette er å skape høyest mulig sikkerhet for rask leveranse. Kommunikasjon over Helsenettet er primært kommunikasjon mellom forskjellige helsetjenestetilbydere. Denne er av kritisk karakter for hele den norske helsetjenesten, og behovet for konfidensialitet kan ikke overdrives.

Helseopplysninger over internett

Krypterte helseopplysninger transporteres også over internett. Dette skjer allerede i dag, og på mange forskjellige måter:

  • Ved bruk av helt legitime IKT-tjenester der virksomheter i helsesektoren bruker tjenesteytere i andre EU/EØS-land. Et eksempel er en leverandør av pasientjournalsystemer som drifter løsningen i Sverige og tilbyr tjenester til norske virksomheter.
  • Norske helsevirksomheter sender også pasienter til utenlandsbehandling, og det legges opp til elektronisk utveksling av helseopplysninger på tvers av grenser i EU/EØS-området for dette formålet.
  • Et tredje eksempel er norske innbyggeres frivillige bruk av helse-apper som tilbys av utenlandske tjenestetilbydere, som samler inn og lagrer helseopplysninger utenfor Norge.
  • Et fjerde eksempel er innbyggeres bruk av den offentlige helseportalen helsenorge.no og andre tilsvarende løsninger på nett.
  • Velferdsteknologiske løsninger vil i årene som kommer bli et viktig kvalitetshevende virkemiddel for mange pasient- og pårørendegrupper, ikke minst for pasienter med kroniske og sammensatte diagnoser. Slike løsninger, som benyttes av både pasienter og helsepersonell, vil ofte forutsette sikret/kryptert kommunikasjon over internett.

Felles for alle eksemplene er at datatrafikken vil kunne gå gjennom fiberkabler ut og inn over den norske grensen, og at den derfor kan fanges opp av DGF, selv om brukerne befinner seg i Norge.

3. Nedkjølingseffekter

Digitale løsninger brukes i stor grad i tjenesten pr i dag, og vil bli benyttet i stadig større grad i årene som kommer. Direktoratet for e-helse er bekymret for hvilken langsiktig effekt det foreslåtte DGF kan ha for innbyggeres tillit til helsetjenesten som sådan, ikke bare bruken av digitale løsninger i tjenesten.

Lysne II-utvalgets rapport påpeker selv at det er påvist nedkjølingseffekter i befolkningen ved generell overvåkning i samfunnet (kap. 6.3). 

I helsesektorens sammenheng vil en slik effekt ha den konsekvens at pasienter og pårørende over tid kan vegre seg for 1) å gi nødvendig informasjon som er avgjørende for riktig behandling, og 2) å bruke de digitale løsningene som sektoren tilbyr. Dette kan igjen medføre at de ikke får full del i tjenestetilbudet, når dette etter hvert blir mer og mer basert på digitale tjenester. Resultatet kan bli redusert verdi av den informasjonen som deles digitalt, redusert adopsjon av helsetjenester med integrerte digitale løsninger, samt kvalitetsreduksjon i helseutfall. På lang sikt kan dette utfordre helsetjenestens evne til å håndtere kjente kommende demografiske endringer som stiller helt nye krav til fremtidens offentlige helsetjeneste, der digitalisering anses som et vesentlig virkemiddel for å lykkes. 

Foreslåtte DGF berører ikke bare pasienters personvern. DGF berører også helsepersonells personvern fordi personopplysninger om helsepersonell som yter helsetjenester, og som gjennom dette registrerer og behandler pasienters helseopplysninger, kan fanges opp av DGF.

Lysne II-utvalgets rapport presenterer ikke en reell risikoanalyse for hvilke effekter det foreslåtte DGF kan ha, herunder nedkjølingseffekter hos brukere. Vi mener at slike analyser er nødvendige før et DGF eventuelt vedtas. Dette for å balansere nytteverdien ved DGF med potensielle negative virkninger i samfunnet rundt, og for å identifisere risikoreduserende tiltak i god tid før eventuell implementering begynner. Risikoreduserende tiltak i denne sammenheng er tiltak som har til hensikt å bevare og bygge befolkningens tillit til helsesektorens digitale løsninger. 

Norske helsetjenester er avhengig av å bevare og stadig forsterke brukernes tillit til de digitale løsningene som helsesektoren i stadig større grad vil basere seg på. Det er også et mål i seg selv å bidra til økt digital modenhet i befolkningen. Brukerne i denne sammenheng er både helsepersonell og privatpersoner. Foreslåtte DGF har stort potensial for å redusere reell og opplevd konfidensialitet i digital kommunikasjon med helseopplysninger, og representerer derfor et vesentlig risiko-område.

4. Omgåelse av kryptering

All transport av helseopplysninger er kryptert og sikret på tjenestenivå. Det betyr at opplysningene ikke uten videre er tilgjengelig for E-tjenesten med DGF. Lysne II-utvalgets rapport forklarer hvilke etterretningsmessige utfordringer kryptering av kommunikasjon representerer for DGF, og gir inntrykk av at E-tjenesten har eller vil søke å tilegne seg kapabiliteter for å omgå kryptering. Man går imidlertid ikke nærmere inn på hvilke kapabiliteter dette er (kap 4.5 og 8.3). 

E-tjenestens ønske om å omgå kryptering kan synes forståelig fra et etterretningsperspektiv, men kan samtidig sies å representere en trussel i seg selv for de individene som helseopplysningene gjelder og de aktørene som har til oppgave å sikre kommunikasjonen av disse. Uavhengig av om E-tjenesten lykkes med å omgå sterk kryptering eller ikke, skaper motivasjonen til å omgå den en usikkerhet som i seg selv er egnet til å redusere tillit til at opplysningene forblir konfidensielle.

5. Generell datainnsamling og lagring

Etableringen av et DGF vil i seg selv representere risikoer for at data kommer på avveie. Når nye datalagre etableres, vil det alltid foreligge risiko for uautorisert inntrenging, sosial manipulering eller utpressing, menneskelige feil, sårbarheter i programvare, hendelser i driftsituasjonen, omgåelse av rutiner med mer. Lysne II-utvalgets rapport henviser kun til at E-tjenesten sine lokaler er fysisk godt skjermet, og at oppmerksomhet og kompetanse rundt elektronisk sikkerhet og datasikkerhet er svært høy (kap 9.5.5).

Lysne II-utvalget foreslår evaluering av ordningen etter 5 år. På det tidspunktet en slik evaluering gjennomføres, vil eventuelle tillitstap i befolkningen allerede være en realitet, samtidig som de vesentligste investeringene allerede er tatt. Man kan anta at påløpte kostnader er store nok til å medføre et implisitt ønske om å videreføre ordningen, selv om nytteverdien skulle vise seg å ikke være så stor som man hadde sett for seg. Direktoratet for e-helse mener også på bakgrunn av dette at det bør gjennomføres grundige risikoanalyser før det eventuelt vedtas at DGF skal gjennomføres.

6. Formålsglidning

Skulle et DGF bli realisert, vil det slik rapporten selv uttrykker, foreligge risiko for formålsglidning.  Dette er et tema som bør følges opp ytterligere før DGF eventuelt vedtas. Et mulig tiltak kan være scenariobaserte risikoanalyser, hvor ulike helserelaterte scenarioer er en del av materialet.

7. EU og innsamling av data i bulk

EU-domstolen avsa den 21. desember 2016 en dom som stenger døren for generell innsamling av trafikk- og lokasjonsdata i bulk. Dommen definerer generell innsamling av trafikk- lokasjonsdata som meget inngripende, og at slike data gir et meget detaljert bilde av innbyggeres privatliv. Konsekvensene av denne dommen må vurderes opp mot innretningen av foreslåtte DGF.

8. Forslag

Direktoratet for e-helse foreslår at følgende tiltak vurderes før et eventuelt DGF vedtas: 

  1. Helsesektoren involveres i en utredning av mulighetene for - og konsekvensene av - å definere all trafikk som går over Helsenettet som irrelevant for E-tjenesten, slik at denne trafikken kan filtreres bort.
  2. Iverksette dialog om muligheter for og konsekvenser av å filtrere bort identifiserbar helserelatert trafikk over internett. Herunder kommer tilhørende risikoanalyse.
  3. Iverksette utredning av mulige effekter det foreslåtte DGF kan medføre hos innbyggere og helsepersonell, både med tanke på konsekvenser for pasientsikkerheten og brukernes tillit til digitale tjenester. Herunder kommer analyse av mulige nedkjølingseffekter.
  4. Gjennomføre scenariobaserte risikoanalyser knyttet til formålsglidning.
  5. Iverksette utredning om antatt nytteverdi av DGF sett opp mot kostnader og kompleksiteten i omfanget av datalagring som DGF forutsetter. Nytteverdien bør også veies opp mot andre samfunnsmessige kostnader DGF kan medføre, f.eks. nedkjølingseffekten, samt en mulig reduksjon i nytteverdi som følge av at stadig mer informasjon blir gjenstand for sterk kryptering, også fra offentlige aktørers side, både i transport og ved lagring.
  6. Iverksette utredning av hvilken konsekvens EU-domstolens domsavsigelse knyttet til generell innsamling av trafikk- og lokasjonsdata har for foreslåtte DGF.

9. Konklusjon

Direktoratet for e-helse er av den oppfatning at det foreligger en betydelig mangel på kunnskap om mulige negative virkninger som det foreslåtte DGF kan medføre i samfunnet generelt, og for helsetjenesten spesielt. Manglende utredning av de tidligere nevnte forslagspunktene kan gi en samlet interesseavveining som ikke vil være reell, slik at risikoen for å vedta et foreslått DGF, som i realiteten er for inngripende, er til stede. Risikoen for redusert tillit til helsetjenesten i befolkningen og vegring mot digitale løsninger er særskilt viktige faktorer i denne sammenhengen. Med basis i dette går Direktoratet for e-helse imot innføring av det foreslåtte DGF.

Til toppen