9 Personvern
9.1 Innledning
Den enkeltes pasientrettigheter og personvernrettigheter er i stor grad sammenfallende. På mange områder vil tiltak og reguleringer som skal ivareta pasientenes interesser, samtidig ivareta pasientenes personverninteresse. Eksempler på dette er bestemmelsene i pasientrettighetsloven og helseregisterloven om medvirkning, rett til informasjon og innsyn. Bestemmelsene om taushetsplikt i helsepersonell-loven er også et slikt eksempel.
Grunnleggende personvernhensyn kan deles inn i individuelle interesser og kollektive interesser. De ulike personverninteressene må veies mot hverandre og mot andre interesser. Det kan for eksempel være interessen for best mulig helsehjelp, utvikling av nye behandlingsmetoder, økonomi og effektiv utnyttelse av samfunnets ressurser.
Helseregisterlovens formålsbestemmelse i § 1 legger særlig vekt på at behandlingen av helseopplysninger skal skje i samsvar med grunnleggende personvernhensyn, se punkt 5.1.1. hvor bestemmelsen er sitert.
Helseregisterloven stiller en rekke krav til sikker og betryggende behandling av helseopplysninger.
Kravet til formålsbestemthet ved etablering av helseregistre innebærer at alle registre skal ha nærmere fastsatte formål jf. helseregisterloven § 8 fjerde ledd. Disse formålene er førende for hvilken behandling opplysningene i registeret kan underlegges. Videre er det et krav i § 11 at enhver behandling av helseopplysninger skal ha et uttrykkelig angitt formål som er saklig begrunnet i den databehandlingsansvarliges virksomhet, og at opplysningene som behandles skal være relevante og nødvendige for formålet med behandlingen av opplysningene. Registre som etableres ved forskrift med hjemmel i §§ 7 og 8, som for eksempel reseptformidleren, vil ha nærmere bestemmelser om formål, om hvilken behandling opplysningene i registeret kan underlegges og ikke underlegges.
9.2 Taushetsplikt
Det følger av helseregisterloven § 15 at enhver som behandler helseopplysninger etter helseregisterloven, har taushetsplikt etter både forvaltningsloven §§ 13 til 13e og helsepersonell-loven. Hovedregelen om taushetsplikt følger av helsepersonell-loven § 21. De som er bundet av bestemmelsen, skal bevare taushet om folks legems- og sykdomsforhold eller andre personlige forhold, og samtidig hindre at andre får tilgang eller kjennskap til slike opplysninger.
9.3 Informasjonssikkerhet
Databehandlingsansvarlig for reseptformidleren vil være forpliktet til å sørge for at det gjennom planlagte og systematiske tiltak foreligger tilfredsstillende informasjonssikkerhet når reseptopplysninger behandles, jf. helseregisterloven § 16. Informasjonssikkerheten skal være tilfredsstillende med hensyn til konfidensialitet, integritet, tilgjengelighet og kvalitet.
9.3.1 Konfidensialitet
Den databehandlingsansvarlige skal sørge for at kravene til taushetsplikt overholdes ved behandling av reseptinformasjon i reseptformidleren. Forskriften vil definere vilkårene for utlevering av resepter fra reseptformidleren.
Personvernet styrkes ved at pasienten gis ubetinget rett til å velge låst resept. For låste resepter vil utlevering av helseopplysninger fra reseptformidleren ikke kunne finne sted uten at den som etterspør resepten, samtidig har tilgang til referansenummeret. For tilgjengelige resepter vil det kreves at pasienten identifiseres før utlevering av helseopplysninger finner sted. I begge tilfeller kontrollerer reseptformidleren også at aktøren som etterspør reseptinformasjon, faktisk er lege, apotek eller bandasjist. Det skjer i praksis ved at alle resepter eller forespørsler om utlevering signeres med PKI-sertifikat, som kontrolleres automatisk av reseptformidleren ved hver eneste forespørsel.
All forsendelse av helseopplysninger til og fra reseptformidleren vil være kryptert.
Å be om å få utlevert opplysninger fra reseptformidleren uten at det er knyttet til en utlevering av legemiddel vil i dag ikke være et straffbart brudd på helsepersonell-loven § 21. Bakgrunnen er at det ikke går tydelig frem av ordlyden i helsepersonell-loven § 21 at dette er forbudt, For å bøte på dette arbeider departementet med en tilføyelse i helsepersonell-loven § 21, som vil presisere at det er forbudt å be om taushetsbelagte pasientopplysninger uten at det har grunnlag i tjenestelige behov. Å be om å få utlevert opplysninger fra registeret uten tjenestelig behov, vil imidlertid kunne medføre administrative sanksjoner fra arbeidsgiver. Det vil kunne være straffbart for den databehandlingsansvarlige å utlevere opplysninger til noen som ikke har tjenestelig behov for dem. Databehandlingsansvarlig må iverksette tilstrekkelige tiltak for å sikre rettmessige utleveringer fra reseptformidleren. All utlevering av reseptinformasjon fra reseptformidleren skal logges. Utlevering av reseptinformasjon til apotek eller bandasjist som ikke er knyttet til en utlevering av legemidler eller medisinsk utstyr, skal følges opp av den databehandlingsansvarlige for reseptformidleren.
For å hindre at utenforstående kan trenge seg inn i reseptformidleren, bygges registeret opp med omfattende teknologiske sikkerhetsmekanismer, blant annet ved bruk av brannmurer og inndeling i sikre soner. Videre vil reseptformidleren utformes i tråd med de kravene som stilles i Norm for informasjonssikkerhet for helsesektoren. Denne normen bygger på de grunnleggende kravene til informasjonssikkerhet i helselovgivningen.
9.3.2 Integritet
Krav om integritet betyr at informasjonen ikke skal endres ved lagring eller transport. Alle resepter som sendes til reseptformidleren fra rekvirenter, vil bli signert med legens personlige PKI-sertifikat. Det sikrer at resepten ikke senere kan endres av andre aktører. Alle forespørsler om utlevering av resepter fra apotek eller bandasjister vil også signeres med PKI-sertifikater, men da med virksomhetenes PKI-sertifikater. Signering av resepter og forespørsler hindrer at andre aktører kan gjøre endringer i dokumentet.
Disse tiltakene er etter departementets vurdering tilstrekkelige til å hindre uautorisert bruk av reseptformidlerens opplysninger.
9.3.3 Tilgjengelighet
Samtidig som databehandlingsansvarlig plikter å ivareta kravene til taushetsplikt og konfidensialitet, krever helseregisterloven at opplysningene faktisk er tilgjengelige når det foreligger et legitimt behov for å få opplysninger utlevert. Dette stiller store krav til reseptformidleren, der det vil skje et omfattende antall utleveringer hver dag. Reseptformidleren vil være avhengig av meget høy oppetid og lav responstid for å sikre at resepter kan utleveres raskt og effektivt til enhver tid. For å redusere sårbarheten, vil alle viktige systemkomponenter i reseptformidleren dubleres.
9.3.4 Kvalitet
Reseptformidleren vil ikke foreta medisinskfaglig kontroll av de resepter som sendes inn til reseptformidleren. Det vil fremdeles være forskrivende lege som har ansvaret for at det skrives ut riktig legemiddel til den enkelte pasienten. Også apoteket har en plikt til å føre kontroll med forskrivningen for å sikre sikker ekspedering og korrekt bruk av legemidlet.
Reseptformidleren vil imidlertid føre en begrenset og automatisert kontroll av resepten. Først og fremst vil reseptformidleren gjøre oppslag i helsepersonellregisteret for å sikre at den som har sendt inn resepten, faktisk er autorisert lege med rekvireringsrett. Videre vil reseptformidleren kontrollere rekvirentens PKI-sertifikat for å sikre at det er en autorisert bruker av reseptformidleren som har signert resepten. Tilsvarende kontroll vil gjøres på apotek- og bandasjistsiden for å sikre at forespørsler om utleveringer faktisk kommer fra et apotek eller en bandasjist. Reseptformidleren vil videre føre kontroll med at resepten har riktig format.
9.4 Særlig om intern kryptering av direkte personidentifiserende kjennetegn i reseptformidleren.
9.4.1 Gjeldende rett
Stortinget vedtok 8. februar 2007 at direkte personidentifiserende kjennetegn skal lagres kryptert i de sentrale personidentifiserbare helseregistrene, hvor opplysninger blir behandlet uten samtykke fra den registrerte, jf. helseregisterloven § 8 tredje ledd, jf. denne proposisjonens punkt 5.1.3.
9.4.2 Høringsnotatet
Denne lovendringen ble foreslått og vedtatt etter at høringsnotatet om lovhjemmel for reseptformidleren ble sendt på høring. Dette punktet var derfor ikke omtalt i høringsnotatet, og ingen av høringsinstansene har reist spørsmålet om intern kryptering av de lagrede opplysningene.
9.4.3 Departementets vurdering og forslag
Departementet foreslo opprinnelig at konfidensialiteten i Norsk pasientregister (NPR) kunne sikres ved intern kryptering av de personidentifiserende opplysningene, jf. Ot.prp. nr. 49 (2005 – 2006), punktene 7.4 og 7.8. Siden NPR er et epidemiologisk register med forskning som et av formålene forutsettes det at opplysningene i registrene kvalitetssikres og kontrolleres manuelt, og er tilgjengelig for dem som skal analysere helseopplysningene (for eksempel utarbeide statistikk). Dette medfører at ansatte hos databehandlingsansvarlig/databehandler må kunne se helseopplysningene i registrene. Intern kryptering vil hindre at de samme ansatte kan knytte helseopplysningene til en bestemt person, fordi det er de direkte personidentifiserbare kjennetegnene som krypteres.
Ved behandlingen av forslaget om NPR i Stortinget la Stortinget vekt på at de fleste av de andre personidentifiserbare sentrale helseregistrene allerede har en ordning med intern kryptering av personidentifiserbare kjennetegn. Stortinget ønsket at denne praksisen skulle gjenspeiles i lovteksten, og vedtok å innta krypteringskravet i helseregisterloven § 8 tredje ledd, jf. Innst.O. nr. 40 (2006 – 2007) punkt 2.2.
Hensynet til pasientens personvern og krav til konfidensialitet er av vesentlig betydning for departementet ved opprettelsen av reseptformidleren. De samme hensyn som begrunner intern kryptering for andre sentrale helseregistre har imidlertid ikke samme betydning for reseptformidleren. I reseptformidleren vil det ikke være behov for noen tilsvarende manuell kvalitetssikring eller kontroll av helseopplysningene som nevnt ovenfor. Helseopplysningene skal ikke bearbeides av reseptformidleren. Formålet med reseptformidleren er å formidle resepten fra rekvirenten til apotek eller bandasjist. Både hos rekvirent, apotek og bandasjist må personidentifiserende opplysninger være ukryptert for å sikre betryggende utlevering av legemidler og medisinsk utstyr. Det vil ikke være noen som har tjenestelig behov for og dermed får anledning til å se reseptinformasjon, uten også å ha behov for de personidentifiserende opplysningene. Mens dekryptering kun skal skje unntaksvis i NPR og de andre registrene som hittil har vært hjemlet i helseregisterloven § 8 tredje ledd, vil dette måtte skje hver gang reseptformidleren utleverer opplysninger. Opplysningene vil måtte være ukrypterte i den del av reseptformidleren som har datakommunikasjon mot leger, apoteker og bandasjister. En intern kryptering av opplysningene i reseptformidleren vil derfor ikke være noen effektiv beskyttelse av personvernet. Personvernet må beskyttes med andre tiltak, som beskrevet i 9.2 og 9.3.
Et krav om intern kryptering vil medføre høyere kostnader til utvikling og drift av reseptformidleren. Et krav om slik kryptering vil i tillegg gjøre det mer ressurskrevende å finne igjen resepten når pasienten henvender seg hos apoteket eller bandasjisten. Dette henger sammen med at et søk etter en tilgjengelig resept, dersom pasienten har valgt en slik løsning, vil måtte gjøres på bakgrunn av personidentifiserbare kjennetegn. Dersom de personidentifiserbare kjennetegnene er lagret krypterte hos reseptformidleren, vil prosessen med å finne igjen riktig resept kunne ta litt lenger tid (responstid) enn slik løsningen er planlagt i dag. Også for låste resepter vil dekrypteringen av personidentifikasjon påvirke responstiden noe.
Departementet foreslår på bakgrunn av dette at kravet om intern kryptering av de direkte personidentifiserende kjennetegnene ikke skal gjelde for opplysninger som lagres i reseptformidleren.
9.5 Pasientens rettigheter – innsyn, retting og sletting
Gjennom helseregisterloven er pasienten sikret en rekke grunnleggende rettigheter, som også vil gjelde for reseptformidleren.
Den registrerte vil ha rett til innsyn i de opplysningene som er registrert om seg selv i reseptformidleren. Innsynet vil kunne gjøres gjeldende via henvendelse til databehandlingsansvarlig. På sikt vil innsynet også kunne skje via Internett.
Den registrerte vil også ha rett til å kreve retting eller sletting av opplysninger i reseptformidleren, dersom de lovbestemte vilkårene i helseregisterloven kapittel 5 er tilstede.
Den databehandlingsansvarlige skal sørge for at rutiner for å ivareta disse rettighetene er på plass ved etablering av reseptformidleren. Departementet foreslår at rettighetene også reguleres i forskriften for reseptformidleren.