Endringer i pasientjournalloven mv. - nasjonal digital samhandling til beste for pasienter og brukere
Sendt: 15.10.2021
Adressat: Helse- og omsorgsdepartementet
1 INNLEDNING
Advokatforeningens tillitsvalgte advokater utfører et omfattende frivillig og ulønnet arbeid for å ivareta rettsstaten, rettssikkerheten og menneskerettighetene. En del av dette arbeidet består i å utarbeide høringsuttalelser.
Advokatforeningens høringsarbeid er organisert i 27 lovutvalg og 13 faste utvalg, oppdelt etter særskilte rettsområder og rettslige interesseområder. Om lag hundre høringsuttalelser utarbeides av foreningens tillitsvalgte advokater hvert år.
Alle våre høringsuttalelser er forfattet av advokater med ekspertise innenfor det rettsområdet som lovforslaget gjelder. En ekspertise som ikke er hentet kun fra juridisk teori, men fra advokatenes praktiske erfaring med å bistå sine klienter – i den norske rettsstatens hverdag. Denne høringsuttalelsen er skrevet ut fra Advokatforeningens ønske om å bidra til gode lovgivningsprosesser, og gode lover.
2 SAKENS BAKGRUNN
Vi viser til høringen til Helse- og omsorgsdepartementet publisert den 5.7.2021, med høringsfrist den 15.10.2021.Høringen gjelder endringer i pasientjournalloven § 10 for å legge til rette for et rettslig grunnlag for målet om én innbygger – én journal, som forutsetter en nasjonal digital datainfrastruktur som samlet vil utgjøre en nasjonal løsning.
Departementet foreslår samtidig en hjemmel for å automatisere individuelle administrative vedtak ved endring av pasientjournalloven § 11 og folketrygdloven § 21-11 a, og at det i pasientjournalloven § 11 presiseres at helse- og omsorgstjenesten kan behandle journalopplysninger for å utvikle og teste behandlingsrettede helseregistre.
Dette høringssvaret er i hovedsak utarbeidet av Advokatforeningens lovutvalg for IKT og personvern. Lovutvalget består av Jarle Roar Sæbø (leder), Christopher Sparre-Enger Clausen, Kari Gimmingsrud, Eirin Helen Haugvik, Øyvind Molven, Cecilie Wille Søvik og Malin Tønseth, som alle har lang erfaring og god kompetanse innfor det aktuelle rettsområdet.
3 OM FORESLÅTTE ENDRINGER I PASIENTJOURNALEN § 10
Departementet presiserer i høringsnotatet at forslaget ikke gir hjemmel til å etablere nye nasjonale registre utover det som følger av dagens lovgivning, at løsningene som inngår i den digitale infrastrukturen er hver for seg hjemlet i lov, og at forslaget innebærer en tilretteleggelse for å gi forskrifter om nasjonal datainfrastruktur knyttet til samhandling mellom de ulike aktørene og komponentene, samt ansvarsforholdene i samhandlingen.
Advokatforeningen ser fordelene ved å legge til rette for en nasjonal datainfrastruktur som skal gi bedre samhandling mellom spesialisthelsetjenesten, den kommunale helse- og omsorgstjenesten og andre helseaktører, og gi innbyggerne mulighet til å være aktive i prosesser og beslutninger om egen helse og ivareta sine personvernrettigheter.
Advokatforeningen er imidlertid av den oppfatning at det er en grunnleggende svakhet ved høringsnotatet at kritiske aspekter og problemstillinger tilknyttet ivaretakelse av personvernet, ikke er vurdert i større grad, herunder personvernskonsekvensene forslaget vil innebære i praksis, og hvordan utfordringene som det redegjøres for i høringsnotatet, skal håndteres.
Det vises blant annet til at selv om forslaget ikke innebærer endringer i reglene knyttet til hvem journalopplysninger kan bli gjort tilgjengelige for eller i hvilke situasjoner journalopplysninger kan gjøres tilgjengelig, vil det at det i praksis vil være teknisk mulig for aktørene å få tilgang til flere journalopplysninger om hver enkelt person, innebære omfattende personvernkonsekvenser ved for eksempel tekniske feil, menneskelig feil og bevisste lovbrudd, blant annet ved muligheter for økt uønsket spredning av taushetsbelagt pasientinformasjon. Dette særlig tatt i betraktning at dette gjelder helseopplysninger som er særlige kategorier av personopplysninger, og i praksis for hele Norges befolkning.
Videre vises det til de sikkerhetsmessige utfordringer forbundet med etablering av en nasjonal datainfrastruktur hvor det skal legges til rette for muligheten for økt teknisk tilgang, særlig sett i lys av den økte risikoen forbundet med dataangrep og sensitiviteten i opplysningene.
Det vises også til at departementet i høringsnotatet indikerer at det har kommet signaler om at der flere virksomheter går sammen om å etablere felles journalløsninger, har det vært utfordringer knyttet til organisering av ansvaret for informasjonssikkerhet og etterlevelse av personvernregelverket.
Advokatforeningen mener det vil være svært viktig at tilhørende forskrifter klargjør hvordan aktører skal forholde seg til krav om innebygd personvern, sikkerhetsmessige tiltak, tilgang til opplysningene, ansvarsfordelingen mellom aktørene, og ivaretakelse av de registrertes rettigheter, og at det i forbindelse med forskriftsarbeidet foretas grundige vurderinger av personvernkonsekvensene og risiko for innbyggerne.
4 OM FORSLAGET TIL AUTOMATISERTE ENKELTVEDTAK
Advokatforeningen er enig i at automatisering av enkeltvedtak kan gi store effektivitetsgevinster, og at dette også kan bidra til å gjøre tjenester enklere og mer brukervennlige.
Advokatforeningen er imidlertid av den oppfatning at de endringsforslagene som er fremsatt i pasientjournalloven § 11 og folketrygdloven § 21-11 a, medfører utfordringer sett i lys av personvernregelverket som ikke fullt ut er ivaretatt ved forslagene som er fremsatt.
Det gis hjemmel i både pasientjournalloven § 11 og folketrygdloven § 21-11 a til å utelukkende basere avgjørelser og vedtak basert på automatisert behandling av særlige kategorier av personopplysninger uten at hjemmelsgrunnlaget inneholder krav til at det også skal sikres egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser skal ivaretas i tråd med personvernforordningen artikkel 22 nr. 4.
Departementet viser i høringsnotatet til at enkeltvedtak som er inngripende ovenfor den enkelte, kan kreve en mer omfattende regulering som for eksempel krav om stikkprøvekontroller og annen kvalitetsforbedring, og at departementet tar sikte på å regulere dette nærmere i forskrift. Her viser departementet til at det for eksempel kan være nødvendig å regulere krav til jevnlig revisjon av de benyttede algoritmer og regelmessig gjennomgang av riktigheten og relevansen av automatiske avgjørelser for å begrense faren for feil, samt at klagebehandlingen ikke skal være automatisert.
Advokatforeningen er av det den oppfatningen at de kontrolltiltak departementet viser til for inngripende vedtak, også gjør seg gjeldende for avgjørelser som er lite inngripende; ved benyttelse av utelukkende automatiserte avgjørelser, vil det fremdeles være relevant å sikre at algoritmer som benyttes er riktig og at faren for feil begrenses. Advokatforeningen viser også til at det ved automatisering er viktig å påse at løsningen ikke resulterer i en diskriminerende praksis. Dette er utfordringer som har vist seg å være reelle i praksis. Åpenhet og innsyn i løsningene er særlig viktig for å motvirke de uheldige sidene ved bruk av automatisering.
Departementet legger til grunn at effektiv saksbehandling i helse- og omsorgstjenesten omfattes av "viktige allmenne interesser" etter artikkel 9 nr. 2 bokstav g, og at avgjørelser utelukkende basert på automatisert behandling således kan bygge på særlige kategorier av personopplysninger jf. artikkel 22 nr. 4. Personvernforordningen artikkel 9 nr. 2 bokstav g er en hjemmel som tillater behandling av særlige kategorier personopplysninger i tilfeller som ikke er dekket av de øvrige unntakene i art. 9 nr. 2, men der det likevel er et klart samfunnsmessig behov for behandlingen. Det er likevel sentralt at rettsgrunnlag for behandlingen og det aktuelle formålet, bør være tydelig og presist, og at anvendelse av det bør være forutsigbart for dem som omfattes av det jf. personvernforordningens fortalepunkt 41.
Ettersom det her dreier seg om unntak fra det generelle forbudet mot behandling av særlige kategorier personopplysninger, bør det kunne legges til grunn et relativt strengt krav til det rettslige grunnlaget, og legalitetsprinsippet tilsier at det må kunne stilles strengere krav til klarhet for det rettslige grunnlaget for behandling av særlige kategorier av personopplysninger enn for behandling av andre kategorier personopplysninger.
Advokatforeningen mener at forslaget som er fremsatt ikke ivaretar kravene til klarhet i særlig grad, og at en nasjonal hjemmel for å utelukkende basere avgjørelser og vedtak basert på automatisert behandling av særlige kategorier, bør angi klare krav til at det må etableres særlige tiltak for å beskytte de registrerte. Hjemmelen fremstår som uforholdsmessig vid uten nærmere spesifisering av at det må sikres tiltak for ivaretakelse av de registrertes rettigheter og friheter.
5 OM FORSLAGET TIL UTVIKLING OG TEST AV BEHANDLINGSRETTEDE HELSEREGISTRE
Advokatforeningen er av den oppfatning at det klare utgangspunktet bør være at utvikling og testing skal skje ved bruk av anonymiserte eller syntetiske data, og at bruk av personopplysninger i test bør unngås. Videre er Datatilsynet også tydelig på at det ikke er tilstrekkelig å argumentere for at det er vanskelig eller dyrt å bruke anonymiserte eller syntetiske data. Advokatforeningen er likevel enig med departementet i at det er mange hensyn som kan tilsi at det vil være nødvendig å benytte personopplysninger ved utvikling og testing av behandlingsrettede helseregistre. Det er innført flere hjemler i lov for offentlige aktørers benyttelse av personopplysninger i utvikling og testing, og i tråd med forslaget som fremsettes av departementet, gjelder dette kun der det vil være umulig eller uforholdsmessig vanskelig å oppnå formålet ved å bruke anonyme eller syntetiske data.
Departementet viser i høringsnotatet til at utviklings- og testvirksomheten ikke skal kunne ha større omfang enn det som er nødvendig for å oppnå formålet, og at helseopplysningene ikke skal lagres lenger enn det som er nødvendig for å gjennomføre arbeidet (dataminimering). Departementet viser til at Direktoratet for e-helse vil bes om å utarbeide retningslinjer som skal gjelde for utviklings- og testvirksomhet. Advokatforeningen er at den oppfatning at dette er så sentrale hensyn som må ivaretas ved bruk av særlige kategorier av personopplysninger ved utvikling og testing, at hjemmelsgrunnlaget som er foreslått bør stille krav om at disse aspektene ivaretas.
Vennlig hilsen
Jon Wessel-Aas Merete Smith
leder generalsekretær