Helsetilsynet

Fra: Statens helsetilsyn
Til: Helse- og omsorgsdepartementet
Dato: 07.10.2011
Vår ref.: 2011/945 I VIO

Statens helsetilsyn viser til høringsbrev av 8. juli 2011 med tilhørende høringsnotat og utkast til forskrift om innsamling og behandling av helseopplysninger i nasjonalt register over hjerte- og karlidelser. Høringsfristen er satt til 7. oktober 2011.

Statens helsetilsyn har følgende merknader til høringsnotatet og forskriftsutkastet:

Stortinget vedtok den 22. mars 2010 at det skal etableres et nasjonalt register over hjerte- og karlidelser, og at registeret skal være direkte personidentifiserbart jf helseregisterloven § 8 tredje ledd. Statens helsetilsyn støtter i den anledning departementets uttalelse om at selv om personvernkonsekvensene ble vurdert av Stortinget ved beslutningen om å opprette registeret, er departementet opptatt av å innføre tiltak i forskrifts form som er egnet til å begrense eventuelle personvern-ulemper.  Departementet uttaler videre at opplysningene i registeret skal underlegges strenge krav til informasjonssikkerhet, og det skal etableres gode tekniske og fysiske løsninger. Krav om strenge rutiner og systemer i selve registeret, herunder kryptering av direkte personidentifiserende opplysninger og krav om særskilt tilgang samt logging, er etter vårt syn hensiktsmessige tiltak for å ivareta personvernhensyn.

Særlig om kryptering

Departementet uttaler i høringsnotatets punkt 4.2.5 at hva som skal krypteres og hvordan krypteringen skal foregå, herunder om hele registeret skal krypteres under ett, må som hovedregel vurderes som en del av virksomhetens totale informasjons-sikkerhetsarbeid. Videre uttales det at departementet er av den oppfatning at kostnader og byråkratiske hindre vil være vesentlig høyere ved ekstern kryptering enn ved intern, samtidig som ekstern kryptering gir begrenset merverdi sett hen til risikobildet for denne type registre. Statens helsetilsyn er ikke umiddelbart enig i dette. Statens helsetilsyn mener at ekstern kryptering i større grad enn intern kryptering, vil bidra til å sikre at opplysninger ikke kommer på avveie og hindre at opplysninger misbrukes til formål de ikke skal. Ekstern kryptering vil særlig bidra til at befolkningen har tillit til at helseopplysninger behandles konfidensielt og på en sikker måte.

Meldeplikt

Det fremgår av forskriftsutkastet § 2-2 tredje ledd siste punktum at Helsetilsynet i fylket skal varsles dersom en mangelfull melding til registeret ikke blir rettet. Statens helsetilsyn vil bemerke at begrepet Helsetilsynet i fylket forsvinner ved ikrafttredelsen av ny kommunal helse- og omsorgslov. Videre vil vi bemerke at et mangelfullt meldeskjema kan være brudd på bestemmelser i forskriften. Dette er forhold som faller inn under Statens helsetilsyns tilsynsområde og som vil kunne bli vurdert i en tilsynssak. Etter vår vurdering er det ikke ønskelig med en særlig forskriftsfestet plikt til å bringe et slikt forhold inn for tilsynsmyndigheten.

Straffebestemmelse

Statens helsetilsyn har merket seg at forskriftutkastet inneholder en straffe-bestemmelse i § 6-3 for brudd på forskriftens §§ 1-3 og 5-1. Av merknadene til bestemmelsen fremgår det at § 6-3 må sammenholdes med helseregisterloven § 34 som gir hjemmel for straff av overtredelser av lovens egne bestemmelser. Videre må bestemmelsen sammenholdes med aktuelle straffebestemmelser i andre lover, for eksempel straffeloven § 121 om brudd på taushetsplikt. Det uttales også at brudd på bestemmelsene om utlevering av opplysninger i kapittel 3 ikke sanksjoneres med straff i forskriften, men slik utlevering vil samtidig være brudd på taushetsplikten, og således være straffbart i medhold av helseregisterloven § 34 og straffeloven § 121. Det uttales videre at ved brudd på krav om informasjonssikkerhet, kryptering og tilgang og internkontroll, §§ 4-2 til 4-5, mener departementet at Datatilsynet er nærmere til å avdekke og sanksjonere brudd på bestemmelsene enn politi- og påtalemyndighet.

Statens helsetilsyn kan ikke se at det fremgår av verken høringsnotatet eller merknadene til de enkelte bestemmelsene at det er begrunnet hvorfor man ønsker å straffesanksjonere brudd på §§ 1-3 og 5-1 og dermed oppstiller et særskilt straffeansvar for databehandlingsansvarlig for brudd på disse to bestemmelsene.

Med hilsen

Gorm Are Grammeltvedt etter fullmakt 
avdelingsdirektør 

Vivi Opdal
seniorrådgiver 

 

 

Saksbehandler: Vivi Opdal, tlf. 21 52 99 38