7 Personvern

Den enkelte pasients pasientrettigheter og personvernrettigheter må kunne sies i stor grad å være sammenfallende. På mange områder vil tiltak og reguleringer som skal ivareta pasientenes interesser, samtidig ivareta pasientenes personverninteresse. Eksempler på dette er bestemmelsene i pasientr­ettighetsloven og helseregisterloven om medvirkning, rett til informasjon og innsyn i og bestemmelsene om taushetsplikt i helsepersonelloven. Selv om pasienter kan ha interesse av at andre pasienter gir fra seg helseopplysninger for å bedre kvaliteten på behandlingstilbudet, kan de samtidig ha interesse av å holde tilbake egne helseopplysninger ut fra et personvernsynspunkt.

Grunnleggende personvernhensyn kan deles inn individuelle interesser og kollektive interesser. De ulike personverninteressene må veies opp mot hverandre og opp mot andre interesser, for eksempel interessen i helsehjelp, utvikling av nye behandlings­metoder, økonomiske interesser, samfunnets interesser i effektiv ressursutnyttelse av felles ressurser m.v.

Helseregisterlovens formålsbestemmelse i § 1 legger særlig vekt på at behandlingen av helseopplysninger skal skje i samsvar med grunnleggende personvernhensyn:

«Formålet med denne lov er å bidra til å gi helsetjenesten og helseforvaltningen informasjon og kunnskap uten å krenke personvernet, slik at helsehjelp kan gis på en forsvarlig og effektiv måte. Gjennom forskning og statistikk skal loven bidra til informasjon og kunnskap om befolkningens helseforhold, årsaker til nedsatt helse og utvikling av sykdom for administrasjon, kvalitetssikring, planlegging og styring. Loven skal sikre at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på helseopplysninger.»

Ved behandlingen av helseregisterloven la Sosialkomiteen i Innst.O. nr. 62 (2000-2001) stor vekt på personvern­hensynene. Komiteen så det som hensiktsmessig og viktig at bestemmelser som regulerte helseregistre nå ble samlet i en lov, både ut fra personverninteressene og samfunnsinteressene. Det ble påpekt at disse hensynene oftest vil være sammen­fallende, men ikke alltid. Komiteen la særlig vekt på ivaretakelsen av individets personvern og uttalte:

«Det må derfor etter komiteens syn være et mål å finne registerløsninger som i rimelig grad tilgodeser hensynet til folkehelsen uten å krenke personvernet. Helseregistre med avidentifiserte eller pseudonymiserte helseopplysninger kan ivareta disse hensyn og bør etter komiteens syn benyttes der det er hensiktsmessig.»

7.1 Krav i regelverk som kan ivareta personvernet

Stortinget har under sin behandling av helseregisterloven lagt til grunn at pseudonyme og avidentifiserte registre ivaretar personvernet på en bedre måte enn person­identifiser­bare registre uten samtykke. Helseregisterloven stiller videre en rekke krav til sikker og betryggende behandling av helseopplysninger.

Kravet til formålsbestemthet ved etablering av helseregistre innebærer at alle registre skal ha nærmere fastsatte formål jf. helseregister­loven § 8 fjerde ledd. Disse formålene er førende for hvilken behandling opplysningene i registeret kan underlegges. Videre er det et krav i § 11 at enhver behandling av helseopplysninger skal ha et uttrykkelig angitt formål som er saklig begrunnet i den databehandlings­ansvarliges virksomhet, og at opplysningene som behandles skal være relevante og nødvendige for formålet med behandlingen av opplysningene. Registre som etableres ved forskrift med hjemmel i §§ 7 og 8, som for eksempel NPR, vil ha nærmere bestemmelser om formål, om hvilken behandling opplysningene i registeret kan underlegges og ikke underlegges, herunder forbud mot bruk.

Helseregisterloven kapittel 4 gir regler om den databehandlingsansvarliges informasjons­­­plikt og den registrertes innsynsrett i helseregistre. For det første skal den databehandlings­ansvarlige informere allmennheten om behandling av helseopplysninger. Videre har databehandlingsanvarlige plikt til å gi nærmere informasjon om behandlingen til de som ønsker det, og særskilt informasjon til den det samles inn opplysninger fra. Den registrerte har rett til innsyn i de opplysningene som er registrert om en selv. Etter kapittel 5 kan den registrerte ha rett til retting eller sletting av opplysninger i helseregistre. Den databehandlingsansvarlige skal sørge for at rutiner for å ivareta disse pliktene er på plass ved etablering av registeret.

Helseregisterloven § 15 pålegger enhver som behandler helseopplysninger etter loven taushetsplikt etter både forvaltningsloven og helsepersonelloven. Dette innebærer at personer som får kjennskap til opplysninger om folks legems- eller sykdomsforhold eller andre personlige opplysninger gjennom registeret, har en plikt til å hindre at andre får kjennskap til disse. I tillegg til taushetsplikten, er det viktig at de ansatte ved registeret har en kultur der man er opptatt av personvernhensyn og arbeider bevisst og aktivt for beskyttelse av sensitive opplysninger. Å sørge for dette er en viktig oppgave for den databehandlingsansvarlige og databehandler.

En viktig rettslig personvernskranke er reglene om tilgang til opplysninger i helse­registre. En forskrift for NPR vil gi nærmere regler om tilgang til opplysninger. Forskriften vil bygge på den generelle reguleringen av medisinsk og helsefaglig forskning. For å gjennomføre prosjekter vil forskere som oftest kun ha behov for avidentifiserte opplysninger. Dette er opplysninger der fødselsnummer eller andre personidentifiserbare kjennetegn er fjernet, slik at opplysningene ikke er knyttet til enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysninger som tidligere ble fjernet, jf. helseregisterloven § 2 nr. 2. Avidentifiserte opplysninger skal være anonyme på mottakers (forskerens) hånd. Der forskningsprosjekter krever bruk av person­identifiserbare opplysninger eller omfatter studier på mennesker, kreves det at forskeren (institusjonen) oppfyller kravene i gjeldende regelverk når det gjelder tilrådning fra en Regional etisk komite (REK), konsesjon fra Datatilsynet (eventuelt unntak fra konsesjon etter personopplysnings­­forskriften § 7-27), krav til samtykke fra deltakerne eller dispensasjon fra taushetsplikt etter helse­personelloven § 29. Forskeren er alltid underlagt taushetsplikt, og forskningsresultater kan ikke videreformidles eller publiseres i en form som gjør det mulig å identifisere enkeltindivider.

Utredningen NOU 2005:1 God forskning – bedre helse (Nylenna-utvalget) foreslår et nytt system for medisinsk og helsefaglig forskning der relevant regelverk samles i én ny lov og der forskeren (institusjonen) kun skal måtte forholde seg til én instans for forhåndsgodkjenning av forskningsprosjekter. Utredningen har vært på høring og Helse- og omsorgsdepartementet vil følge opp dette som en egen lovsak.

7.2 Organisatoriske tiltak som kan ­ivareta personvernet

Helseregisterloven § 13 krever at det kun er den databehandlingsansvarlige, databehandlere og den som jobber under disses instruksjonsmyndighet som kan gis tilgang til helse­opplysninger. Det er bare i den grad det er nødvendig for vedkommendes arbeid at det kan gis tilgang til helseopplysninger. I praksis er det kun de som arbeider for databehandler med selve registeret som kan ha tilgang til opplysninger i registeret. For institusjoner som fører registre og samtidig driver forskningsvirksomhet, vil interne forskere måtte få tilgang til data på samme måte som eksterne forskere.

For alle helseregistre er det videre et krav at databehandlingsansvarlige og data­behandler gjennom planlagte og systematiske tiltak skal sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, kvalitet og tilgjengelighet ved behandling av helseopplysninger, jf. § 16. Det skal føres internkontroll med at behandlingen er i tråd med krav i lov og forskrift, jf. § 17. Loven har også i § 18 bestemmelser om databehandlers rådighet over helseopplysninger.

Alle som har tilgang til helseopplysninger i et register er underlagt taushetsplikt etter helsepersonelloven og forvaltningsloven, jf. helseregisterloven §§ 13 og 15.

Sentrale element i sikkerhetsarbeid er også bevisstgjøring og holdnings­skapende arbeid ovenfor alle aktører og at trusselbildet er godt kjent også på det operative nivået, dvs. for den enkelte medarbeider. I tillegg til de tekniske og fysiske ­tiltak som beskrives nedenfor er internkontrollsystemet et viktig virkemiddel for oppfølging og kontroll, og vil identifisere opplæringsbehov samt kunne gi sanksjons­muligheter ved avvik.

7.3 Tekniske og fysiske tiltak som kan ivareta personvernet

Tiltak for teknisk og fysisk sikring av data er av stor betydning for å sikre personvernet i alle helseregistre, uavhengig av registerform. Sosialkomiteen har også i sin behandling av helseregisterloven i Innst.O. nr. 62 (2000-2001) uttalt at der det etableres registre, skal opplysningene «ligge i lukkede og interne systemer, som blant annet betyr at disse systemer ikke kan tilkoples internett-løsninger.»

Ved eksisterende registre er det etablert tekniske og fysiske sikringstiltak som kan illustrere hvordan opplysninger i sensitive registre sikres:

SSB har en helhetlig tilnærming til sikkerhet som omfatter visjon og strategi, IT-strategi, handlingsplan for IT-sikkerhet, fysisk sikkerhet, beredskapsplaner, sikkerhetshåndbok, prosedyrer og organisering. IT-sikkerheten omfatter tilgangskontroll (passordrutiner, tilgangskontroll til data), beskyttelse mot omverdenen (brannmurer, antivirus og spamfilter), kryptering av linjer og e-post, backup/recovery og håndtering av personsensitive data i sikker sone. Sikret sone skal minimum ha en sikkerhetsbarriere mot interne nettverk og minimum to sikkerhetsbarrierer mot eksterne nettverk. Det er kun autoriserte brukere som gis adgang til sonen. Skillet mellom sonene skal være slik at det ikke er mulig for brukere å overstyre innlagte begrensninger. Flytting av data mellom soner kan bare skje gjennom et spesielt system (Citrix) og blir loggført. Det er etablert egne løsninger for lagring og backup.

SINTEF Helse er databehandler for dagens NPR og legger stor vekt på datasikkerhet. Kun spesielt utnevnte personer hos driftsleverandør har tilgang til NPR server, ingen eksterne har adgang til SINTEF nettverk – det er opprettet eget gjestenettverk. Alle ansatte i SINTEF Helse må underskrive sikkerhetsreglement. I tillegg er det en egen taushetserklæring for ansatte i NPR. De generelle tekniske sikkerhetstiltakene til SINTEF omfatter blant annet ytre brannmur, nøytral eller demilitarisert sone (DMZ), server for innholdsfiltring, døgnkontinuerlig nettverksovervåking, og intern sikkerhetssone med intern brannmur der NPR ligger. NPR er kun tilgjengelig via egne tilgangspunkter i NPRs lokaler. Det er kun spesielt utnevnte personer som har tilgang til driftssenteret for NPR, det tas separat backup og lagringsmedia med PID makuleres fysisk etter nødvendig oppbevaringstid. Den enkelte medarbeiders tilgang til registeret er styrt ut fra arbeidsoppgaver. For eksempel er det kun de medarbeidere som arbeider med data fra opptreningsinstitusjoner som har tilgang til områder hvor denne informasjon er lagret.

Ved Landspatientregisteret i Danmark, som er et personidentifiserbart register, er det bare et svært lite antall av brukerne som har tilgang til personopplysningene. For de fleste brukerne er disse opplysningene kryptert. Opplysningene til Landspatient­registeret rapporteres elektronisk via et lukket nett fra sykehuseier til Sundheds­styrelsen. Datasikkerheten er ivaretatt gjennom sikring av bygninger, passord for å få tilgang til pc, passord for å få adgang til server med data, brannmurer, logging av kjøringer i systemet, lukkede direkte linjer for utvalgte brukere og krav om stålskap og sikring hos eksterne brukere.

7.4 Særlig om kryptering av person­identifiserbare registre

Personidentifiserbare registre kan, i motsetning til pseudonyme og avidentifiserte registre, inneholde direkte personidentifiserbare kjennetegn som for eksempel fødselsnummer. At et register inneholder fødselsnummer innebærer imidlertid ikke at dette skal ligge tilgjengelig i registeret, det kan for eksempel etableres krypterings­løsninger som skjuler fødselsnummeret i registeret.

Ulike løsninger for kryptering vil bero på de teknologiske mulighetene som finnes. Departementet går inn for at det blir et krav fastsatt i forskrift at NPR skal være kryptert slik at fødselsnummeret ikke ligger tilgjengelig i registeret for andre enn særskilt autoriserte personer. Den teknologiske utviklingen skjer fort. Det anses derfor ikke hensiktsmessig å regelfeste nærmere hvordan kryptering skal skje, da dette kan binde registeret til de teknologiske løsningene vi kjenner i dag.

Et eksempel på hvordan en krypteringsløsning kan bygges opp er for eksempel ved at fødselsnummer blir skilt fra pasientdata allerede når opplysningene meldes fra sykehusene. På samme måte som for dagens avidentifiserte NPR kan det sammen med pasientdataene rapporteres et løpenummer som er unikt innen hver enkelt institusjon (PID), i stedet for fødsels­nummeret. Fødselsnumre kan så rapporteres i separat forsendelse sammen med alle løpenumrene og identifikasjon av institusjon. Det kan så etableres løsninger som innebærer at forsendelsen med fødselsnummer lastes inn i et separat krypteringssystem på egen server sikret med egen brannmur. Tilgang til disse forsendelsene kan begrenses til særskilt autoriserte ansatte i registeret.

I et separat krypteringssystem krypteres fødselsnumrene. En viktig forutsetning for en slik løsning er at krypteringssystemet skal ende opp i ett, og bare ett kryptert fødselsnummer. Alder og kjønn blir avledet av fødselsnummer og sendt videre til NPR for validering av innholdet i pasientdataene, sammen med løpenummer (PID) og identifikasjon av institusjon. I NPR knyttes løpenumrene fra krypteringssystemet og sykehuset, og kryptert fødselsnummer legges til det enkelte opphold for unik identifikasjon av pasienten. Det lagres ikke informasjon i selve krypteringssystemet. Nøklene lagres i et eksternt system. I dette systemet vil ikke fødselsnummer på noe tidspunkt lagres sammen med helseopplysninger og fødselsnummer vil heller ikke lagres etter at kryptering er gjennomført.

For å sikre systemet som en helhet kan det for eksempel iverksettes tiltak som kryptering av kommunikasjon mellom de forskjellige systemene, autentisering av alle brukere/maskiner og brannmur foran hver maskin (eller samling av maskiner) i systemet.

Når opplysninger skal gjøres tilgjengelig for forskning, kvalitetssikring, innsyns­begjæringer fra de registrerte eller liknende vil det være aktuelt å dekryptere. Dette kan også gjøres gjennom separate forsendelser. Ved all forsendelse av data fra registeret vil opplysningene være kryptert.

7.5 Risiko- og sårbarhetsanalyse av Norsk pasientregister

Det ble våren 2006, som en del av en helhetlig strategi for Helse- og omsorgs­departementets ansvarsområder, foretatt en risiko- og sårbarhetsanalyse av NPR. Vurderingen ble foretatt av Seconde. Risikovurderingen omfatter både dagens avidentifiserte register og et fremtidig personidentifiserbart NPR. Metoden for vurdering var basert på Datatilsynets og Forsvarets veiledninger for risikovurdering som tar i betraktning forhold som:

• hva som er sikkerhetsmessig lovpålagt

• en vurdering av akseptabelt risikonivå

• hvilke trusler er til stede (uønskede hendelser som kan oppstå), og for hver av disse en vurdering av:

  • tapspotensiale (konsekvensvurdering),

  • sannsynlighet,

  • hvor virksomhetskritiske systemene og informasjonen er, og

  • krav til servicenivå og beredskap.

Hovedinntrykket fra risikovurderingen er godt. Det er gjennom risikovurderingen identifisert enkelte forbedringsområder, som vil danne grunnlaget for det videre arbeidet med sikkerhets­tiltak for NPR.

7.6 Forslag i høringsnotatet

Det legges i høringsnotatet til grunn at det ved enhver etablering av helseregistre er viktig å sørge for at personvernhensyn ivaretas på en best mulig måte. Dette gjelder særlig for sentrale helseregistre som NPR. Departementet mener at behandlingen av opplysninger skal underlegges strenge organisatoriske, tekniske, fysiske og juridiske krav som skal sikre at ikke opplysninger kommer på avveie, og at dette vil være viktig uavhengig av hvilken registerform som velges.

Det er svært viktig å sørge for at sensitive opplysninger i NPR behandles på en personvernmessig sikker måte. Derfor er det viktig at behandlingen av opplysningene i registeret underlegges en streng regulering. I høringsnotatet var det blant annet vedlagt et utkast til forskrift for registeret med bestemmelser om behandling av opplysningene. Blant annet inneholdt forslaget regler om forbud mot bruk, for eksempel om at opplysningene ikke kan benyttes i forsikrings­øyemed eller utgis til/benyttes av arbeidsgiver selv om den registrerte har samtykket til det, krav til kryptering av fødselsnummer i registeret, krav til logging av elektroniske spor m.v.

Sosial- og helsedirektoratet foreslo i sin rapport fra 2004 at de direkte personidentifiser­bare kjennetegnene i NPR skulle krypteres, og at dette skulle gjøres av en annen instans enn registeret selv for å redusere mulighetene for misbruk (ekstern kryptering). Departementet la i høringsnotatet til grunn at det ikke medfører noen særlig personverngevinst om registeret krypteres av en ekstern instans framfor internt i registeret.

7.7 Høringsinstansenes syn

Svært mange høringsinstanser uttaler seg om personvern og mener det er viktig at dette ivaretas på en god måte i NPR. De fleste støtter avveiingen mellom personvern­hensyn og hensynet til å legge bedre til rette for forskning og kvalitetssikring av pasient­behandlingen. Mange mener de tiltakene som skisseres i høringsnotatet og i forskrifts­utkastet vil sikre personvernet på en god måte.

Den nasjonale komité for medisinsk forskningsetikk (NEM) mener det er behov for et personidentifiserbart register og er enige i forslagets formål og grunnleggende prinsipper for registeret. I avveiingen mellom personvernhensyn og krav til at et register som NPR skal være pålitelig og komplett, mener NEM at personvernet er tilfredsstillende ivaretatt gjennom den løsning som departementet foreslår.

Norges forskningsråd fremhever at personvern er meget viktig og at de fleste motforestillinger som er anført mot etableringen av et personidentifiserbart register er knyttet til personvern.

«Forskningsrådet mener det er liten grunn til å tro at det blir noen reell personverngevinst om en velger et pseudonymt register framfor et personidentifiserbart register. Forskere vil bruke anonymiserte datafiler i sine dataanalyser, og ved koblinger mellom registre vil data være avidentifisert etter at de adekvate koblinger med andre registre er utført. Samtidig mener Forskningsrådet at pasientvernet blir bedre med et personidentifiserbart register enn med et pseudonymt register. (…...) Forskningsrådet mener at de sikkerhetstiltak som er skissert for NPR er gode og etter all erfaring tilstrekkelige.»

Universitetssykehuset i Nord-Norge HF mener at personvernulempene ved person­identifiser­barhet kan avhjelpes ved tekniske og organisatoriske tiltak, som skissert i forskriftsutkastet.

Pasientorganisasjonene mener personvernhensyn er svært viktig. De fleste organisasjonene, herunder Kreftforeningen, Norsk forbund for utviklingshemmede og Norsk revmatiker­forbund , mener de tiltakene som skisseres i høringen er gode og at det totalt sett vil være i pasientens beste interesser å etablere et personidentifiserbart register. FFO påpeker at både et personidentifiserbart og et pseudonymt register utfordrer personverninteressene, ved at sensitive helseopplysninger om den enkelte ligger lagret i et sentralt pasientregister. FFO mener at personverninteressene skal veie tungt når opplysninger om enkeltpersoner skal lagres i et register og mener NPR bør etableres som et pseudonymt register.

Nasjonalforeningen for folkehelsen presiserer at om et register inneholder personidentifiserbare opplysninger, er ikke det ensbetydende med at alle som har befatning med registeret kan identifisere enkeltpersoner. Nasjonalforeningen ser ulempen for den enkelte opp mot den gevinst som kan komme pasientene til gode og støtter forslaget om et personidentifiserbart register. Foreningen påpeker at vi har positiv erfaring med de personidentifiserbare registrene vi har i Norge, og at det ikke er registrert negative konsekvenser for personvernet.

KITH mener at en ved å opprette NPR som et personidentifiserbart i stedet for et pseudonymt register ikke vil kunne oppnå fordeler av vesentlig samfunnsinteresse, men at personvern­interessene derimot vil kunne sies å være betydelige.

Datatilsynet er negative til forslaget og mener primært NPR bør forbli et avidentifisert register, eventuelt at registeret blir pseudonymt og ikke personidentifiserbart. Tilsynet gir i sin høringsuttalelse blant annet uttrykk for at det ikke er registeret i seg selv som er det mest problematiske, men sammenhengen med de andre personregistrene, registerformen, detaljeringsgraden og den akselererende muligheten til datateknisk å sammenstille til dels svært sensitive opplysninger på bakgrunn av noen få felles­opplysninger. Videre mener Datatilsynet at et personidentifiserbart register i sin natur er mer inngripende enn et pseudonymt, og bestrider at personvernet kan ivaretas på en like god måte i begge typer registre. Endringen i registeret vil innebære en uthuling av taushetsplikten og prinsippet om at den enkelte selv er nærmest til å bestemme over seg selv og opplysningene om seg. Tilsynet mener det kan være en fare for at pasienter unnlater å oppsøke helsetjenesten eller oppgir feilaktige opplysninger av redsel for videreformidlingen. Pasientombudskollegiet gir i sin høringsuttalelse uttrykk for den samme bekymringen.

En del høringsinstanser kommenterer kravet til kryptering av fødselsnummer i NPR. Et stort flertall er enig i at fødselsnumre ikke skal ligge tilgjengelig i registeret, og at dette kan gjøres internt i registeret. Datatilsynet mener kryptering kan være et nødvendig virkemiddel, men mener dette er vektet for tungt i høringsnotatet. Det sentrale er at den enkelte ikke har tilgang til flere opplysninger enn hva som er nødvendig og lovlig for å løse sine arbeidsoppgaver. Sosial- og helsedirektoratet som i 2004 foreslo at det skulle etableres en ekstern krypteringsinstans, mener nå i sin høringsuttalelse at dette vil komplisere databehandlingen og kvalitetssikringen av data, og legger til grunn at personvernet kan ivaretas på en fullgod måte med interne rutiner kombinert med fysiske, logiske, juridiske og tekniske sperrer. Landsforeningen for hjerte- og lungesyke (LHL) er ikke enig i at misbruk kan hindres på en like god måte dersom krypteringen gjøres internt i registeret og mener det bør settes krav til kan gjøres av en ekstern aktør.

7.8 Departementets vurdering

Under behandlingen av helseregisterloven i Stortinget ble det lagt til grunn at dersom det etableres helseregistre, skal disse i utgangspunktet være samtykke­baserte, avidentifiserte eller pseudonyme. Dersom det er nødvendig å etablere personidentifiser­bare registre uten samtykke fra de registrerte, skal slik personidentifikasjon være nødvendig, og etableringen av registeret skal underlegges en demokratisk prosess ved at Stortinget tar stilling til saken (gjennom at registeret legges til i listen over personidentifiserbare registre i helseregisterloven § 8 tredje ledd). En slik vurdering og underleggelse av demokratisk prosess vil ivareta kravene i EMK art. 8.

Ved vurderingen av om det skal etableres et personidentifiserbart NPR må personvern­hensynene veies opp mot øvrige pasient- og samfunnsinteresser. Det er kun der det er nødvendig ut fra hensynet til pasienten å benytte helseregistre med personidentifiser­bare opplysninger at det kan etableres slike registre, jf. Innst.O. nr. 62 (2000-2001). Departementet mener ut fra en helhetlig vurdering av de ulike pasient-, personvern- og samfunnshensyn at NPR bør etableres som et person­identifiserbart register for blant annet å gi den enkelte pasient tilgang til bedre helsetjenester, gi mulighet for å avdekke mangelfull kvalitet i behandlingen, høyne kvaliteten på diagnosene, og finne årsaker til sykdom. Det vises til drøftelsene i kapittel 5 om formål, 6 om pasientinteresser og 9 om registerform.

Departementet mener det er svært viktig at befolkningen har tillit til at sensitive opplysninger som formidles fra en pasient til helsetjenesten blir behandlet på en betryggende og sikker måte. Der virksomheter innen helsetjenesten og/eller helsepersonell pålegges å melde sensitive opplysninger for eksempel til helseregistre, innebærer dette et unntak fra taushets­plikten. Departementet mener det vil være svært alvorlig om helse­registrenes eksistens medfører at pasienter unnlater å kontakte helsetjenesten for å få helsehjelp.

Der det opprettes registre er det viktig å sørge for at det innføres tiltak som sikrer personvernet på en best mulig måte. Dette gjelder ikke bare ved etablering av helseregistre, men også der sensitive opplysninger behandles i helsetjenesten for øvrig. Det er svært viktig å sørge for at sensitive personopplysninger i NPR behandles på en personvernmessig sikker måte, for i størst mulig grad å hindre risiko for misbruk av opplysninger. De juridiske, organisatoriske, fysiske og tekniske virkemidlene som etableres for å sikre personvernet vil være aktuelle for alle registerformer.

For å sikre pasientens diskresjonsinteresse må det etableres strenge sikkerhetstiltak rundt NPR, det vil si en streng teknisk og fysisk sikring av dataene i NPR. For eksempel vil organisatoriske tiltak som tilgangskontroller, sikkerhetsklarering, logging, elektroniske spor, krav om autorisert tilgang m.v. som beskrevet i kapittel 7.2 og 7.3, være viktige for å sikre at sensitive opplysninger ikke kommer på avveie. Det vil også kunne være fare for indirekte identifikasjon selv om fødselsnummeret ikke er tilgjengelig i et register. Et svært viktig tiltak vil derfor være å bygge opp systemer og atferd som beskytter mot misbruk, og at det lages rammer som sikrer at overtredelser får konsekvenser dersom noen skulle misbruke systemet. Departementet legger til grunn at behandlingen av opplysningene i registeret skal underlegges en betryggende regulering i tråd med føringene skissert i denne proposisjonen.

Departementet mener et personidentifiserbart NPR skal krypteres slik at de direkte personidentifiserbare opplysningene ikke ligger tilgjengelig. Punkt 7.4 gir et eksempel på hvordan en krypteringsløsning kan legges opp etter dagens teknologi. Gjennom en kombinasjon av for eksempel kryptering, logging av elektroniske spor, krav til autorisert tilgang m.v. kan misbruk hindres på en like god måte som om krypteringen foretas av en annen instans. Når krypteringen skjer i selve registeret vil det imidlertid legges bedre til rette for god kvalitetssikring av registerdata enn om krypteringen skjer hos en annen instans.