Forskrift om kommunalt pasient- og brukerregister

Sendt: 23.03.2017

Adressat: Helse- og omsorgsdepartementet

1. Innledning

Vi viser til departementets høringsbrev av 23.12.2016 vedrørende ovennevnte høring.

Det er en prioritert oppgave for Advokatforeningen å drive rettspolitisk arbeid gjennom høringsuttalelser. Advokatforeningen har derfor en rekke lovutvalg inndelt etter fagområder. I våre lovutvalg sitter advokater med særskilte kunnskaper innenfor det aktuelle fagfelt og hvert lovutvalg består av advokater med ulik erfaringsbakgrunn og kompetanse innenfor fagområdet. Arbeidet i lovutvalgene er frivillig og ulønnet.

Advokatforeningen ser det som sin oppgave å være en uavhengig høringsinstans med fokus på rettssikkerhet og på kvaliteten av den foreslåtte lovgivningen.

I saker som angår advokaters rammevilkår vil imidlertid regelendringen også bli vurdert opp mot advokatbransjens interesser. Det vil i disse tilfellene bli opplyst at vi uttaler oss som en berørt bransjeorganisasjon og ikke som et uavhengig ekspertorgan. Årsaken til at vi sondrer mellom disse rollene er at vi ønsker å opprettholde og videreutvikle den troverdighet Advokatforeningen har som et uavhengig og upolitisk ekspertorgan i lovgivningsprosessen.

I den foreliggende sak uttaler Advokatforeningen seg som ekspertorgan. Saken er forelagt lovutvalget for IKT og personvern. Lovutvalget består av Thomas Olsen, Fred Richard Elsheim, Kirill Miazine, Jarle Roar Sæbø og Malin Tønseth. Saken er også forelagt lovutvalget for velferdsrett, som ikke har hatt noen ytterligere bemerkninger.

2. Sakens bakgrunn

Helse- og omsorgsdepartementet har sendt på høring et forslag om forskrift om et nytt kommunalt pasient- og brukerregister (KPR). Høringsbrevet vektlegger at KPR skal bidra til kunnskap som er nødvendig for fornying, forenkling og forbedring av omsorgstjenesten.

Det er åpenbart at et slikt personregister har betydelige personvernmessige utfordringer, som må håndteres på en betryggende måte. Advokatforeningen mener departementets høringsnotat og forskriftsforslag inneholder mange gode betraktninger og prinsipper om de personvernmessige implikasjonene. Dette gjelder eksempelvis den måten departementet vektlegger brukernes innsynsrett som blant annet kan bidra til bedre datakvalitet.

Advokatforeningen ønsker likevel å knytte kritiske bemerkninger til tre forhold hvor forskriften bør utvikles noe mer.

3. Kommentarer til de enkelte forslagene

I et register hvor man i stor grad ikke har kontroll over hvilke opplysninger som registreres, er det av avgjørende betydning at den registrerte har enkel tilgang til følgende:

  • Hvilke personopplysninger som er registrert
  • Hvem som faktisk har aksessert personopplysningene (tilgangslogg).
  • Hvem som har mulighet til å se personopplysningene

Forskriften berører samtlige av disse punktene, men Advokatforeningen mener dette kan, og bør gjøres på en måte som i enda større grad sikrer den registrerte enkelt innsyn.

Innsyn i hvilke personopplysninger som er registrert

Stortinget har vedtatt at den registrerte «skal sikres enkle løsninger for innsyn i registreringer [...] av egne opplysninger i KPR», se Prop. 106 L (2015–2016) punkt 10.3.2. Slik enkel tilgang til registreringer av egne opplysninger kan ikke anses «sikret» med mindre forskriften klart etablerer en slik rett for den registrerte. Forskriften slik den er foreslått, etablerer ikke en slik rett. Advokatforeningen mener derfor at forskriften ikke oppfyller stortingets pålegg om å sikre enkle løsninger for den registrertes innsyn i registrerte data.

Advokatforeningen forslår at departementet i denne sammenheng ser hen til kjernejournalforskriften (FOR-2013-05-31-563) § 6, men mener også at ordlyden bør reflektere Stortingets pålegg om at det skal sikres «enkle løsninger» for innsyn.

Innsyn i hvem som faktisk har aksessert personopplysningene (tilgangslogg)

Stortinget har vedtatt at den registrerte «skal sikres enkle løsninger for innsyn i [...] bruk av egne opplysninger i KPR», jf Prop. 106 L (2015–2016). Forskriftens § 4-10 pålegger den databehandlingsansvarlige å føre slik tilgangslogg, og fastsetter at denne skal oppbevares i minst fem år etter utleveringen. Til dette skal bemerkes to forhold.

For det første, Stortingets pålegg om loggføring av oppslag i registret er ikke begrenset til fem år. Når personopplysningene skal lagres i ubegrenset tid, jf. forskriftsforslagets punkt 4-11, bør loggen over oppslag ikke være begrenset til fem år. Advokatforeningen mener loggen bør oppbevares vesentlig lenger, men antar at oppslag mer enn 10 år tilbake i tid kan ha mindre interesse.

For det andre, forskriften etablerer ikke en rett for den registrerte til å få innsyn i denne loggen. Advokatforeningen mener derfor at forskriften ikke oppfyller stortingets pålegg om å sikre enkle løsninger for den registrertes innsyn logg over oppslag i egne data.

Innsyn i hvem som mulighet til å se personopplysningene

Advokatforeningen mener den registrerte også bør sikres enkle løsninger for innsyn i hvem som kan få tilgang til personopplysningene, altså ikke bare hvem som faktisk har aksessert opplysningene.

Løsningen for slik innsyn bør kombineres med løsningen for innsyn i egne personopplysninger, samt tilgangsloggen. Advokatforeningen mener derfor at forskriften bør etablere en plikt til å sørge for en slik enkel løsning for innsyn i hvem som har tilgang til personopplysningene.

Om samtlige av de tre ovennevnte

Advokatforeningen mener det bør være en forutsetning at løsningene for slikt innsyn er etablert og er aktivt umiddelbart etter at KPR er gjort operativt.

Vennlig hilsen

Jens Johan Hjort       Merete Smith
leder                          generalsekretær