Av Erik Boe2
1 Hva saken gjelder
Skal dine og mine helseopplysninger kunne bli samlet i et landsomfattende helseregister? Regjeringen har nylig lagt fram et lovforslag som gir Regjeringen hjemmel til å bestemme det (Ot prp nr 5 1999–2000, fra nå av forkortet Ot prp 5). Registeret som vi snakker om, må ikke forveksles med pasientopplysningene som behandlingssektoren har, for naturligvis har private legekontorer, privatpraktiserende psykologer, bedriftshelsetjenesten, sykehus, poliklinikker, legevakten m fl en rekke opplysninger om sykdommene våre. Det skulle bare mangle at behandlerne ikke tar vare på disse opplysningene. Det gjør de for pasientenes skyld.
Det er den videre bruken av andre enn behandlingspersonell som nå er poenget. Lovforslaget åpner for at opplysningene som vi gir til behandlerne for behandlingens skyld, skal kunne gå videre til et sentralt helseregister uten hensyn til om vi ønsker det eller ei (lovutkastet § 8).
Den nominelle hovedregelen i lovutkastet er riktignok at samtykke er nødvendig (§ 9 første ledd første punktum). Men utkastet inneholder samtidig en åpen fullmakt til Kongen i statsråd (fra nå av kalt Regjeringen) til å bestemme at helseopplysningene skal kunne registreres uten hensyn til samtykke og uten hensyn til taushetsplikten (§ 9 annet ledd annet punktum). Når vi så vet at opplysningene skal brukes til helseadministrative formål og til helseforskning (§ 1 første ledd), som jevnt over krever data fra hundrevis til tusenvis av mennesker, slik epidemiologisk forskning gjør, skjønner vi at Regjeringen i praksis blir nødt til å gjøre unntaket til hovedregelen såfremt de nevnte formålene skal realiseres.
Ikke alle erkjenner det. I en kronikk i Aftenposten 29. mai 2000 påstår Bjørn Henrichsen, lederen for Norsk samfunnsvitenskapelig datatjeneste (NSD) at "personidentifiserte helseopplysninger bare kan benyttes til andre formål (enn behandlingsformål) når den enkelte har samtykket til det" (Henrichsen 2000). Denne påstanden stemmer verken med lovens åpne unntaksfullmakt eller med realitetene. Hadde forskerne og helseadministrasjonen kunnet klare seg med et samtykke, ville vi ikke trengt noen helseregisterlov overhodet. Det er disse kretsene som har presset på for å få helseregistre uten samtykke. Gang på gang er det blitt understreket fra medisinsk forskerhold at kun en liten del av den medisinske forskning som nytter helseopplysninger kan drives så sant forskerne skal være avhengige av å få samtykke fra hvert enkelt individ. Hvorfor skulle noe annet gjelde samfunnsvitenskapelig forskning om en ikke ubetydelig populasjon? Henrichsen 2000 skjønnmaler virkeligheten.
I klartekst betyr dette at det blir opp til den til enhver tid sittende Regjering å bestemme om helseopplysninger om deg og meg skal bli lagret og stilt sammen uten at vår identitet trenger å skjules, for så å bli brukt til andre formål enn til å behandle oss for sykdommene eller lidelsene som gjorde at vi kom med opplysningene. Legekontorene, sykehusene og andre behandlingsinstitusjoner som mottar opplysningene våre, skal kunne bli pålagt plikt til å rapportere opplysningene til nye helseregistre som kan bli etablert med hjemmel i lovutkastet §§ 7–8 enda opplysningene er belagt med taushetsplikt og uten hensyn til at de ble avgitt for behandlingens skyld.
Vår helsetilstand skal kunne bli registrert fra A til Å. Vil vi ha det slik?
2 Det dobbelte nedslagsfeltet
Lovforslaget har et dobbelt nedslagsfelt. Det skal for det første gi skikkelig hjemmel for dagens helseregistre, som Medisinsk fødselsregister, Kreftregisteret m fl. For det annet åpner §§ 7–8 for å etablere nye lokale, regionale eller landsomfattende helseregistre som Regjeringen ønsker. Det holdt jeg fram i en kronikk i Aftenposten 5. april 2000 (Boe 2000). Henrichsen 2000 påstår at jeg tar feil: "Den nye loven medfører ikke at nye registre blir opprettet". Det skal heller ikke stemme at lovforslaget "åpner for at journalopplysninger kan overføres til andre registre som kan benyttes av andre enn behandlingspersonell. Dette er ikke korrekt! Lovforslaget åpner ikke for det. Det har alltid vært mulig." (Henrichsen 2000. Kursivert av Henrichsen.) Det er neppe taktiske overveielser, men unøyaktig lovgjengivelse, som gjør at han framstiller saken slik. Realitetene bør imidlertid ikke pakkes inn i bomull. Blir den nye loven vedtatt, er det ikke bare dagens registre som kan få overført diagnoser og andre helseopplysninger til seg (Medisinsk fødselsregister, Kreftregisteret osv). Hvilke som helst registre som Regjeringen oppretter, kan få det. Og det vil ikke lenger bare være de spesielle diagnosene og helseopplysningene som dagens registre bruker som kan bli rapportert og registrert, lovforslaget åpner for å innføre generell rapportering og registrering. Sakens kjerne er derfor ikke om et nasjonalt pasientregister blir innført direkte i loven, poenget er at loven gir hjemmel til å opprette nye registre, f eks et landsomfattende register med heldekkende helseopplysninger om deg og meg. Fullmakten i lovforslaget er, som vi skal se, så og si uten grenser. Første ledd punktum i § 8 Sentrale helseregistre, lyder:
"Kongen i statsråd kan i forskrift gi nærmere bestemmelser om behandling av helseopplysninger, herunder om bruk av navn, fødselsnummer og andre personidentifiserende kjennetegn i sentrale helseregistre til bruk for administrasjon, styring, planlegging og kvalitetssikring av helseforvaltningen og helsetjenesten, forskning og statistikk".
Med "behandling" av helseopplysninger menes "enhver formålsbestemt bruk av helseopplysninger, som f eks innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter" (§ 2 nr 4). Oversatt til mer folkelig tale, betyr dette at det kan opprettes et sentralt register med de opplysninger som Regjeringen finner nødvendig. Det beste hadde vært om dette var blitt sagt rett ut i lovutkastet istedenfor å nytte den mer fagspesifikke termen "behandling av helseopplysninger". Men meningen er klar nok, både når vi ser på legaldefinisjonen i § 2 og når vi ser hva som står om lovbakgrunnen i Ot prp 5. Se f eks s 62, 68, 77, 89, 91 og 96. For bare å ta ett sitat:
"Videre skal loven gi det nødvendige rettsgrunnlag for lokale, regionale og sentrale helseregistre helseforvaltningen finner det nødvendig å opprette for å utvikle og formidle informasjon og kunnskap, slik at målene som settes for folkehelsen, helsetjenesten og den enkeltes helse kan nås" (Ot prp 5 s 68.)
3 Lyspunktene
Jeg konsentrerer meg i det følgende om denne siden av lovforslaget, altså om Regjeringens rett til å opprette nye registre, f eks et landsomfattende helseregister eller et spesialregister om sensitive helseforhold, f eks et potensregister. Jeg er kritisk til dette lovopplegget. For å vise at jeg ikke er blind for lovens positive sider, starter jeg med lyspunktene. Det er bra at lovutkastet klargjør hjemmelen for de eksisterende registrene; det trengtes (se NOU 1993: 22 Pseudonyme helseregistre s 67 og 70). For det annet er det positivt at lovutkastet går vekk fra tanken om at hvert register skal "eie" sine data. Data skal forvaltes av en behandlingsansvarlig, går det fram av §§ 7–8 jf § 2 nr 7. Forvaltningsansvaret skal utøves blant annet på forskerfellesskapets vegne. For det tredje gleder det meg at i det minste prinsippet om forsvarlig systemsikkerhet skal lovfestes (§ 16). Et lovprinsipp av denne karakteren er første skritt for å få rettet oppmerksomhet mot systemdesignet istedenfor bare mot hvordan enkeltopplysninger blir håndtert (se NOU 1993: 22 s 136–140). Men detaljerte regler om systemsikkerhet og om administrative rutiner etc må komme når loven skal settes ut i livet. Et fjerde positivt punkt gjelder tilsyns- og sanksjonsreglene. Lovutkastet legger delt tilsynsansvar til Statens helsetilsyn og Datatilsynet (§ 31). Datatilsynet kan gi pålegg for å sikre lovmessig bruk (§ 32), og tvangsmulkt kan ilegges den som overtrer pålegget (§ 34). Straff og erstatning er også hjemlet (§§ 34–35). Et femte viktig punkt handler om saksbehandlingsrettighetene for den registrerte (§§ 21–24). Lovutkastet følger på disse punktene godt opp reformforslagene fra NOU 1993: 22 s 147–152. Den registrerte skal blant annet bli orientert om at han eller hun står i et helseregister, vedkommende skal få vite hva formålet med registeret er osv. Den registrerte har i utgangspunktet krav på innsyn i registeropplysningene. Feilaktige opplysninger kan kreves rettet, og sterkt belastende opplysninger skal på visse betingelser kunne kreves slettet. Prinsipielt viktig, men neppe like betydningsfullt for praktiske formål, er informasjonsplikten overfor allmennheten om hvilke typer av opplysninger som et register inneholder (§ 20). Det siste lyspunktet jeg vil nevne, dreier seg om typen av registerkopling. Det nevnes i det minste som en mulighet at registre skal bli koplet ved hjelp av krypterte identiteter (Ot prp 5 s 119). Blir denne ordningen gjennomført, vil det være mer tilfredsstillende fra et personvernsynspunkt enn om data blir koplet med full identitet.
4 Lovfullmaktene
På den negative siden kommer fullmaktene som Regjeringen skal få, jf § 7 (Regionale og lokale registre) og især § 8 (Sentrale registre). Lovforslaget som i disse dager ligger på stortingskomiteens bord, går rett nok inn for å etablere viktige pasientrettigheter, men er ellers en ren fullmaktslov. Stortinget inviteres verken til å ta stilling til om opplysninger skal samles og lagres i et landsomfattende register eller om nye helseregistre kun skal være lokale eller regionale; Stortinget inviteres heller ikke til å ta stilling til om helseopplysninger i hovedsak skal registreres med navn/fødselsnummer eller med krypterte identiteter. Lovforslaget sier lite om hvilke opplysninger registrene kan inneholde og ikke inneholde, og det er ikke trukket skarpe grenser for hvilke brukergrupper som skal få tilgang til registeret. Lovutkastet bestemmer ikke hvordan helseregistre skal kunne koples mot hverandre. Det kan bli valgt en distribuert løsning der opplysninger stilles sammen for den enkelte anledning, for så å vende tilbake til hver sine registre etter bruken uten at koplingen selv skaper et nytt register. Men det kan også tenkes at registerkoplingene akkumulerer registrerte data. Om koplingen skal skje ved hjelp av personidentifiserbare data eller med kryptert identitet, er helt åpent. På alle disse punktene står vi overfor en typisk fullmaktslov. Forslaget er ikke engang innskrenket til det offentlige helsevesenet; det åpner for at også våre besøk hos privatpraktiserende leger, psykologer og annet helsepersonell skal kunne registreres. Enhver behandlingsinstitusjon kan bli nødt til å levere data til registret på et så spinkelt hjemmelsgrunnlag som en forskrift gitt i medhold av en åpen fullmaktslov.
5 Rettslig vurdering av fullmaktene
Hvor godt stemmer dette opplegget med de rettslige kravene som legalitetsprinsippet setter, med prinsippene i Den europeiske menneskerettighetskonvensjon (EMK) og med skrankene for å delegere lovmyndighet? Jeg diskuterer disse rettsspørsmålene i avsnitt 5, mens avsnitt 6 blir viet til en rettspolitisk vurdering av lovfullmaktene.
5.1 Delegasjonsrammene
La oss ta det enkleste først. Delegasjonssperrene i norsk rett er så beskjedne at disse knapt setter en praktisk grense for lovgiverens mulighet til å overlate reguleringen til Regjering og forvaltning. Bare hvis store og viktige rettsområder, som strafferetten eller forvaltningsretten, blir overlatt til den utøvende makt, eller hvis handlingsrommet for den utøvende makt blir så omfattende at Regjering eller forvaltning kan lovgi om alt annet enn det som er negativt avgrenset, ville lovgiveren ha stanget hodet i taket. Det sier seg selv at fullmaktene i lovutkastet §§ 7–8 ligger langt unna denne grensen.
5.2 Legalitetsprinsippet
Det som derimot er spørsmålet er hvilke skranker legalitetsprinsippet setter for å forskriftsregulere et felt. Etter legalitetsprinsippet skal individene ikke behøve å finne seg i at Regjering eller forvaltning bestemmer individenes rettsposisjoner på egen hånd. Det må lov til. Og ikke en hvilken som helst lovbestemmelse holder. Jo mer inngrepspreget en lovbeslutning er, jo mer drastisk den virker overfor individene, og jo mer sentrale rettsgoder som berøres, desto større blir kravene til klar og tydelig lovforankring. For eksempel nytter det ikke å bestemme viktige ting for individene bare i kraft av en lovfullmakt til "å gi nærmere regler til utfylling og gjennomføring av loven". Etableres det et registersystem som gjør at opplysninger som er gitt for behandlingens skyld må rapporteres til et helseregister og lagres der uten pasientens samtykke, vil dette innebære en integritetskrenkelse overfor pasienten. Mange vil sikkert ikke ha noe imot registreringen, men det er likevel ikke poenget. Poenget er at å registrere sensitive data over hodet på pasientene og å gjøre bruk av helseopplysninger til andre formål enn de er avgitt for, etter sin art og etter sine konsekvenser må ses som inngrep i den personlige integritet. Det som skjer, er at diagnoser og følsomme opplysninger som pasientene kom med for behandlingens skyld, blir nyttet til et annet formål, til helseadministrative og forskningsmessige formål, uten at pasienten har anledning til å motsette seg det. Skal det kunne skje, må ikke bare rapporteringen, men også selve registreringen ha lovhjemmel. Og en vassen lovhjemmel duger ikke. Registrering skjer i våre dager elektronisk, hvilket gjør opplysningene operative og tilgjengelige i en helt annen grad enn da helseopplysninger ble registrert manuelt, på papirkort, for så å bli oppbevart i en skuff i et arkivskap i et hvelv. Når helseopplysningene nå blir digitalisert, øker risikoen for at opplysningene blant annet skal komme i hendene på kretser som ikke har noe med hvilke sykdommer, lidelser og plager du og jeg har. Derfor må hjemmelskravet stilles ut fra vissheten om at moderne registrering er noe annet enn hva registrering engang var; vi snakker snarere om å legge opplysninger inn i databaser enn i gammeldagse arkivskap, for å bruke den analogien.
Hvor klar og tydelig lovhjemmelen må være, avhenger blant annet av hva slags diagnoser som det er aktuelt å registre. Skal det etableres landsomfattende registre med våre totale helseprofiler basert på navn eller fødselsnummer, må hjemmelen være tydeligere enn om det er snakk om et distribuert informasjonssystem med enkeltvise helseopplysninger. Hjemmelskravene varerer også med sykdomsslaget. Skal det registreres kurante diagnoser, som beinbrudd eller kusma, eller særlig følsomme opplysninger med stort skadepotensial så sant opplysningene skulle komme på avveie, som opplysninger om kjønnssykdommer, HIV/Aids eller psykiatriske diagnoser? Kravene må videre stilles høyt såfremt det skal etableres en landsomfattende genbank (blodbank) der alle skal måtte stå med fullt navn eller fødselsnummer med sin genetiske sammensetning. Mer om disse skillelinjene i NOU 1993: 22 s 78–83.
Det kan diskuteres om Høyesterett gjennom psykoseregisterdommen (Rt 1994 s 691) har lagt til grunn en mindre streng hjemmelsbedømmelse. Hjemmelskravene ble ikke stilt spesielt høyt i denne dommen, men jeg tror likevel ikke det kan utledes mange konsekvenser fra dommen. Til det er den for spesiell. Blant annet dreide psykoseregistersaken seg om et gammeldags, manuelt register, ikke om slike registre som det er aktuelt å opprette med hjemmel i §§ 7–8 i den foreslåtte helseregisterloven. For det annet dreide saken seg ikke om et igangværende, operativt register, men om et spesialregister som var "dyplagret" i Riksarkivet, omgjerdet av helt spesielle sikringstiltak og tilgangsregler. For det tredje handlet saken om et slettingskrav, ikke om hvorvidt registeret kunne etableres, og etterpåvurderingen av om registrerte opplysninger skal slettes kan lett falle annerledes ut enn når en på forhånd skal ta stilling til om det foreligger tilstrekkelig lovhjemmel for registeret. En av grunnene til det er at historiske interesser og verdier kommer inn som et særlig hensyn i hjemmelsbedømmelsen. For det fjerde holder ikke argumentasjonsbruken til Høyesterett såfremt den skulle brukes til å hjemle dagens og morgendagens digitale, operative registre. Høyesterett gjorde bemerkelsesverdig lite ut av den viktige forskjellen som jeg nettopp nevnte, nemlig skillet mellom å kreve hjemmel for å kommunisere informasjon fra helsetjeneste til et sentralt psykoseregister og å kreve hjemmel for å registrere den psykiatriske diagnosen i et sentralregister. Grunnen til det kan ha vært nettopp særtrekkene til det daværende Psykoseregisteret.
Hva så med hjemlene i lovutkastet §§ 7–8? Er disse tilstrekkelig tydelige til å tilfredsstille legalitetsprinsippet? Kan Regjeringen opprette landsomfattende helseregistre der våre helseprofiler blir registrert med full identitet? Kan Regjeringen etablere spesialregistre om særskilt sensitive diagnoser med navn eller fødselsnummer? Formodentlig må det svares ja på disse spørsmålene. §§ 7–8 dreier seg nemlig om all "behandling" av personopplysninger, deriblant innsamling og registrering, jf avsnitt 2 foran. Hjemlene er spesifikke, ikke ubestemte, slik tilfellet ville ha vært om det hadde stått i lovutkastet at Regjeringen "kan utfylle og gjennomføre loven" med forskrifter. Sånn sett, minner §§ 7–8 mer om f eks lovhjemmelen i lov om psykisk helsevern § 2 fjerde ledd fjerde og femte punktum enn om en generell lovfullmakt til å "utfylle eller gjennomføre" en lov, for å ta disse parallellene.
5.3 Hjemmelskrav etter EMK
En annen sak er om hjemlene i §§ 7–8 også tilfredsstiller kravene i Den europeiske menneskerettighetskonvensjon til spesifiserte hjemmelsgrunnlag. Som påvist av Bygrave 1998 s 259 flg, s 264, har Menneskerettighetskommisjonen lagt til grunn at registrering av helseopplysninger med navn eller fødselsnummer i prinsippet omfattes av regelen om privatlivets fred i EMK art 8 (1). Det betyr at inngrep i konvensjonsrettigheten bare kan finne sted så sant inngrepet er hjemlet gjennom "law". Dessuten må tilleggskravene i art 8 (2) være oppfylt. Det er ingen tvil om at tilleggsvilkårene er oppfylt. Men hva med kravet til rettsgrunnlaget – etablering "in accordance with law"? Hva ligger i det?
Skjerdal 1998 har gått gjennom Menneskerettighetskommisjonens og Menneskerettighetsdomstolens praksis, og konstaterer at bedømmelsen er forholdsvis sammensatt. Et minstekrav er at inngrep i konvensjonsbeskyttede rettigheter er avgrenset gjennom en presis formålsangivelse (Skjerdal 1998 s 80–84). En generell formålsbestemmelse, slik som lovutkastet § 1, er neppe tilstrekkelig; fullmakten til å etablere helseregistre må være formålsavgrenset. §§ 7–8 i lovutkastet er for så vidt det, se formuleringen i § 8 "til bruk for administrasjon, styring, planlegging og kvalitetssikring av helseforvaltningen og helsetjenesten, forskning og statistikk", og for den del formuleringene i § 7 "for ivaretakelse av oppgaver etter smittevernloven, spesialisthelsetjenesteloven og tannhelsetjenesteloven"/ "for ivaretakelse av oppgaver etter kommunehelsetjenesteloven og smittevernloven". Disse formålsrammene er imidlertid i seg selv så vide at de bare i liten grad tilfredsstiller presisjonskravene i EMK. Det blir derfor ekstra viktig å se på om de andre kriteriene i EMK-bedømmelsen er oppfylt. Et særmerke ved lovutkastet er at §§ 7–8 verken angir bestemte betingelser (ut over formålet) som må være oppfylt for å kunne bruke fullmaktene eller bestemmer hvordan personvern skal avveies mot helseadministrative og forskningsmessige behov. Etter lovutkastet ser det ut til å rekke at det blir anført et eller annet formål med behandlingen av opplysningene og en eller annen begrunnelse for nødvendigheten av å benytte personidentifiserbare opplysninger (§ 7 første ledd annet og tredje punktum; § 8 første ledd annet og tredje punktum). Dette er langt mindre enn det som til vanlig kreves for å tilfredsstille konvensjonskravene. Sagt med Opsahl:
"Hvor vide fullmaktene skal være, bør lovgiveren avgjøre, men hvor vage de kan være, bør domstolene avgjøre." (Opsahl 1965 s 81. Kursivert av Opsahl.)
Det hjelper naturligvis at lovutkastet inneholder en generell kontrollordning (§§ 29–35), og det hjelper også at det finnes en alminnelig regel om informasjonssikkerhet (§ 16). Men enkelthetene om registrene og om deres funksjonsmåte er i liten grad angitt i loven. Vi nærmer oss derfor rettstilstanden som er beskrevet slik hos Danelius i hans nordiske standardverk om EMK:
"... Lagen måste … vara utformad med erforderlig precision, så att inskränkningarna i den grundläggande konventionsrättigheten är i rimlig utsträckning förutsebara (‘foreseeable’). En nationell lag, som ger de rättstillämpande organen ett visst tolkningsutrymme och en viss diskretionär prövningsrätt, är emellertid inte i och för sig oförenlig med kravet på förutsebarhet, under förutsetning att omfånget av den diskretionära bedömningen är tilräckligt avgränsat för att ge individen skydd mot godtyckliga ingrepp." (Danelius 1997 s 223.)
Jeg sier ikke med dette at §§ 7–8 er konvensjonsstridig, for det er neppe et absolutt krav etter EMK at alle avgrensningene må stå i loven. (Noe slikt ville iallfall ikke ha gått an i Storbritannia eller i andre stater som forfekter et mindre parlamentsforankret legalitetsprinsipp enn vi gjør i Norden.) Et stykke på vei må vage lovfullmakter kunne avhjelpes med presise forskrifter. Men bare et stykke på vei. Ikke alle avgrensningene kan komme i forskriftene. I land hvor legalitetsprinsippet betyr at nasjonalforsamlingen må ha gitt grønt lys for inngrepet, må det være en rimelig balanse mellom hvilke avgrensninger som må tas i loven og hvilke som kan følge av forskriftene for at EMK-kravet til rettsforankring "in accordance with law" skal være tilfredsstilt. Etter mitt syn ligger lovutkastet §§ 7–8 betenkelig nær denne grensen. Når Regjeringen har valgt linjen med åpne lovfullmakter framfor å treffe veivalgene i loven, slik NOU 1993: 22 la opp til (s 276–280), stiller EMK iallfall strenge krav til hvordan forskriftene må se ut. Skal summen av lov- og forskriftsavgrensninger være forenlig med kravet til "law"-forankring, må forskriftene ta igjen det tapte terrenget i loven og angi i klartekst hvordan nye registre skal se ut, hva slags opplysninger som kan lagres der, om opplysningene skal lagres i personidentifiserbar form, i kryptert form eller avidentifisert eller anonymt, om lagringen skal skje lokalt, regionalt eller på sentralt plan, på hvilke betingelser man kan få tilgang til registeret, hvilke sikkerhetsmekanismer som må til for å tilfredsstille kravet i § 16 og verne individet mot at opplysninger skal komme uvedkommende i hende, og mer til. Siden loven er slapp på alle disse punktene, må til gjengjeld forskriftene være desto mer presise.
6 Rettspolitisk vurdering av lovfullmaktene
Uansett hva en mener om lovutkastet juridisk, kommer spørsmålet om Stortinget bør gi så omfattende vage fullmakter på et felt som dette. For å svare på det, må lovfullmaktene ses i lys av det materielle lovinnholdet. Har myndighetene funnet den rette balansen mellom å angi prinsippene og veivalgene i loven og å overlate enkelthetene til forskriftene? Hvilke prinsipper og veivalg er det egentlig vi snakker om?
Lovområdet er ikke enkelt å regulere. På den ene siden bør de som planlegger og styrer helsevesenet få data til å organisere helsehjelpen på en effektiv og god måte. Også forskere trenger tilgang til helsedata for å finne ut årsaker til sykdommer vi ennå vet for lite om. På den annen side er helseopplysninger, eller i hvert fall noen av disse, blant de mest sensitive personopplysninger som finnes. Vi vil nødig at de skal kunne flyte rundt. Hvem vet hvor opplysninger om f eks kjønnssykdommer, HIV/Aids eller psykiatriske diagnoser vil kunne havne i en tid hvor opplysningene lagres i datamaskiner, og kan hentes fram, kopieres og transporteres med et par tastetrykk? Hvem vet til hvilke formål de vil bli brukt? Grunnleggende verdikonflikter kommer på spissen. De gjør det i en helt annen grad enn den gang det bare fantes papirbaserte registre.
6.1 Lovforslaget til Boeutvalget
Bekymringen for hvor dette vil ende var bakgrunnen for at Stortinget i 1989 ba Regjeringen sette ned et utvalg til å utrede hvorvidt det lar seg gjøre å etablere helseregistre uten å krenke grunnleggende personvernhensyn. Ti personer med kyndighet i medisin, helseforskning, personvern, pasientinteresser, etikk og juss arbeidet i tre år med å løse denne tilsynelatende uløselige oppgaven. Jeg ledet utvalget. Vi la fram vår innstilling i 1993 (NOU 1993: 22). Et samlet utvalg gikk mot å etablere et landsomfattende register basert på navn eller fødselsnummer. Et flertall på åtte personer gikk inn for å gjøre forsøk med pseudonyme registre basert på kryptert identitet. Det var for å skaffe gode og valide data om en og samme person uten at identiteten blir kjent. Et sentralt register ble funnet overflødig, for opplysninger kan koples uten at koplingen skaper et nytt register. En rekke tiltak ble foreslått for å gjøre systemet betryggende. Aller viktigst var at navn eller fødselsnummer skulle gjøres om til en kryptert identitet (et såkalt digitalt pseudonym) uten mulighet til å reversere prosessen fra kryptert identitet tilbake til navn eller personnummer. Vi foreslo at registrene bare skulle ha diagnosekoder og data om tid, sted og varighet for behandlingen, verken genetiske opplysninger, som sier noe om risikoen for å bli rammet av arvelige lidelser en gang i framtiden, eller det som kalles eksposisjonsdata, som opplysning om røykevaner, drikkevaner, kosthold eller annen livsførsel. En rekke pasientrettigheter ble foreslått. Den viktigste var retten til å reservere seg mot å stå i registrene selv om registrene ikke skulle være personidentifiserbare. Systemdesignet ble foreslått lovfestet, for i en sak som har skapt mye bruduljer, og som fortsatt vil gjøre det om ikke systemet blir tillitvekkende, får Stortinget i lov ta stilling til hvordan innretningen på helseregistrene skal være.
6.2 Tilbakeskrittene
Nesten ti år er gått siden den gang. Lovutkastet som ligger på Stortingets bord, representerer på seks forskjellige måter tilbakeskritt i forhold til forslagene som vi kom med i NOU 1993: 22.
For det første har det vært en bevegelse bort fra tanken om å kryptere identitet til et pseudonym. Så sent som i 1997 forestilte en arbeidsgruppe i Helsedepartementet seg at registrering måtte være basert på en eller annen form for kryptering. Nå, tre år senere, er krypteringstanken praktisk talt forsvunnet. Den er i høyden redusert til en mulighet. Lovutkastet benytter en rekke steder betegnelsen personidentifiserbare opplysninger og det definerer begrepene avidentifiserte helseopplysninger og anonyme opplysninger (§ 2 nr 2 og 3). Betegnelser som kryptering eller pseudonymer glimrer derimot helt med sitt fravær i loven. Det står påfallende lite i proposisjonen om kryptering som middel til å bedre helseadministrasjonens og forskningens datagrunnlag uten å gå vesentlig på bekostning av personvern. Mest lovende er det som står om hvordan registre kan tenkes koplet mot hverandre. Regjering og departement er iallfall inne på den krypteringsløsningen som Henrichsen var med på å klekke ut (NOU 1997: 26). Henrichsen tror tydeligvis at all kopling skal skje ved hjelp av pseudonymer. "Helseregistrene skal ved behov levere data til Statistisk sentralbyrå (SSB). SSB skal foreta eventuelle koblinger og pseudonymisere materialet før det sendes videre til en serviceenhet, f eks Norsk samfunnsvitenskapelig datatjeneste (NSD)", skriver Henrichsen 2000. Det han overser, er at intet i loven påbyr denne formen for kopling av registre. Loven er, på ny, helt åpen. Koplinger kan derfor godt komme til å finne sted på tradisjonelt vis, ved å nytte personidentifiserbare kjennetegn fullt ut.
Når ikke engang koplingsmåten er innskrenket til krypterte identiteter, er det ikke for ingenting. Bare en og annen setning i Ot prp 5 røper at kryptering og digitale pseudonymer ikke er betydningsløst for Regjering og departement. Så veldig viktig er perspektivet tydeligvis ikke, for det anses faktisk som et argument mot kryptering at det er "usikkerhetsfaktorer når det gjelder varetakelsen av personvernet i et slikt system" (s 21). En gnir seg i øynene. Skal personvernhensyn være et argument mot kryptering og for en personidentifiserbar løsning? Jeg skjønner Forbrukerrådet som under høringsrunden bl a uttalte:
"... Det virker lite betryggende når departementet lar sin usikkerhet omkring behov, tekniske muligheter og økonomi føre til at man åpner for ikke-pseudonymiserte helseregistre, med den usikkerhet og fare for misbruk det innebærer for den enkelte. ... (Ot prp 5 s 89.)
... [Det] skinner ... igjennom at ønsket om at alle opplysninger i utgangspunktet skal være registrerbare er så sterkt at åpenbare personvernhensyn må vike. ..." (Ot prp 5 s 103–104.)
Ikke rart at blant annet Sykepleierforbundet, Jordmorforeningen og andre fra behandlingssektoren går mot et personidentifiserbart sentralregister.
For det annet er det heller ikke på annet vis anslag i Ot prp 5 til å bruke moderne IT som redskap til å trygge personvernet. Forestillingen om Privacy Enhancing Technologies (PETs), som sto sentralt i NOU 1993: 22 (s 138 og 153–180), glimrer med sitt fravær. Regjering og Helsedepartementet er klar over at teknologiutviklingen legger til rette for mer intensiv bruk av helseopplysninger, noe som gjør personvernet mer utsatt (Ot prp 5 s 59 og s 129). Men til forskjell fra NOU 1993: 22 ofres likevel forekomsten av alarmsystemer, "brannmurer" og andre teknologiske tiltak for å styrke datasikkerheten, ja, personvernet i det hele tatt, påfallende liten oppmerksomhet.
Forklaringen kan være at forskjellen på regler og regelvirkelighet ikke har opptatt Regjeringen og Helsedepartementet like mye som det opptok oss i Boeutvalget (NOU 1993: 22 s 136–137). Det rekker ikke bare å få gode regler, vi må også få administrative rutiner og en systemutforming som følger opp reglene og som sikrer etterlevelse, var gjennomgangstonen vår. I Ot prp 5 slår Regjering og departement seg mer til ro med en mer klassisk tenkemåte. Det gjelder å få gode regler. Punktum finale. Det som står om samtykkekravet er for så vidt betegnende. På den ene siden gis det uttrykk for at samtykke er hovedgrunnlaget for å registrere helseopplysninger. "Dersom samtykkespørsmålet ikke omtales i forskriften, kan helseopplysninger bare innsamles til vedkommende register etter at den registrerte har samtykket" (Ot prp 5 s 106). På papiret ser dette pent ut. Men hvor realistisk denne regelen vil bli, sies det intet om. Det står heller ingenting om hva som må til for å gjøre samtykkeregelen til en realitet. "Gå utenom", sa Bøygen. På den annen side åpnes det for en uavgrenset unntaksregel, og det ut fra følgende argumentasjon: "Begrunnelsen for å ha en unntaksregel i forhold til kravet om samtykke, er at personvernet og taushetsplikten, etter departementets mening, ikke skal hindre etablering av helseregistre helseforvaltningen og helsetjenesten finner nødvendig for å tilby befolkningen nødvendig og kvalitativ god helsehjelp" (Ot prp 5 s 105). Merk "finner nødvendig". Merk også at "helsetjenesten" og "helsehjelp" blir brakt inn som begrunnelse for å kunne fravike kravet til samtykke enda vi nå snakker om registrering for helseadministrative og forskningsmessige formål, ikke om sykehusenes og legekontorenes registre osv.
For det fjerde er fokus blitt flyttet fra systemperspektivet til en mer tradisjonell, individualiserende synsmåte. Mens Boeutvalget beskrev hvordan registerdesignet burde være for å sikre et framtidsrettet informasjonssystem som i minst mulig grad truer personvernet (NOU 1993: 22 s 138 og s 145), blir søkelyset i lovutkastet satt på hvordan den enkelte helseopplysning skal håndteres. Det er tydeligvis taushetspliktreglene, og i hovedsak dem, som skal utgjøre bolverket mot at den enkelte helseopplysning blir misbrukt (Ot prp 5 s 28). Med det går en hoveddimensjon tapt.
Min femte hovedinnvending går på hvordan beslutningsprosessen blir lagt opp. I likhet med Forbrukerrådet ser jeg det som uheldig at grunnleggende veivalg om "hvordan identifiserbare helseopplysninger skal innhentes og behandles uten samtykke fra den enkelte" skal overlates til Regjeringen istedenfor til Stortinget. Det er et tankekors at det skal være Forbrukerrådet som må si at saken gjelder "politiske spørsmål som bør behandles av Stortinget" (Ot prp 5 s 102), mens Regjering og departement mener at saken turneres best av den utøvende makt. "Departementet har særlig vurdert om opprettelsen av landsomfattende helseregistre bør skje direkte i lov, ved at det gis en lov for hvert sentralt register, jf Boeutvalget. Demokratihensyn og kanskje muligheten til bedre å sikre den politiske debatt, kunne tale for å legge en slik myndighet til Stortinget. Departementet har imidlertid kommet til ikke å ville foreslå en slik løsning. Departementet mener at personvernet kan bli like godt ivaretatt, om ikke bedre ivaretatt, ved at Stortinget gir rammebestemmelser for sentrale helseregistre, og at det enkelte register opprettes ved forskrift" (Ot prp 5 s 28 jf også s 92). Vi trenger ikke feste oss ved at departementet har misforstått Boeutvalget. (Vi foreslo slett ikke en lov for hvert register, vi foreslo en lov om grunnvilkårene og prinsippene for registreringsnivå, registreringsmåte, kretsen av brukere, nivået for datasikkerhet osv.) Det oppsiktsvekkende er det som står om at lovsaken blir best tatt hånd om dersom den blir overlatt til Regjeringen istedenfor til Stortinget.
Mitt sjette hovedinnvending gjelder det som har vært grunntonen i denne artikkelen, nemlig mangelen på presise lovavklaringer. Bortsett fra reglene om pasientrettigheter gir lovutkastet bare "vi får vente og se"-regler. Ikke engang vilkårene for å kunne fravike samtykkekravet er presisert i lovforslaget. Med en så vid lovfullmakt som Stortinget innbys til å gi, kan vi fort ende opp med et eller flere nye sentralregistre med personidentifiserbare følsomme data, modellert etter tradisjonell oppskrift.
6.3 Vridd perspektiv
Et gjennomgående trekk ved proposisjonen er at småproblemer knyttet til nye registreringsformer forstørres mens det blir tatt få konsekvenser av ulempene ved å registrere med full identitet. Departementet gjør f eks et nummer av at betegnelser som pseudonym og kryptering savner entydig forståelse (Ot prp 5 s 70). Som om det er grunn til å fortsette å registrere med fullt navn eller fødselsnummer. Poengene blir vridd en rekke steder. Blant annet brukes mulighetene til å avidentifisere helseopplysningene som belegg for at personvernet skal være godt nok varetatt (s 109). Og hva skal en si om dette: "Velger en behandling, velger en også registrering" (s 58). Registreringen en snakker om da, henspiller på pasientjournalene til behandlingsinstitusjonene. Det er noe annet.
Perspektivene blir helt enkelt fordreid. Er det for å få dem til å passe med konklusjonen, nemlig at "personvernet og taushetsplikten, etter departementets mening, ikke skal hindre etablering av helseregistre helseforvaltningen … finner nødvendig" (s 105)?
6.4 Overdriver kritikerne?
Henrichsen 2000 mener at Legeforeningens formann, Hans Petter Aarseth, overdriver når han i en kronikk i Aftenposten 13. mars 2000 (Aarseth 2000) bl a hevder at "det blir definitivt slutt på at pasienter kan komme til sin lege og i fortrolighet gi nødvendige opplysninger":
"Det er ingenting i dette forslaget som tilsier at den enkelte skulle ha grunn til å føle seg mer usikker enn før. Snarere tvert imot. Forslaget gir et trygt rammeverk om bruk av helseopplysninger samtidig som det ivaretar personvernet på en trygg måte." (Henrichsen 2000.)
Henrichsen ser tydeligvis bort fra at det etter lovforslaget vil bli hjemmel for å registrere alle slags helseopplysninger. I framtiden kan en pasient derfor komme til å oppleve at enhver medisinsk diagnose vil bli rapportert til de nye registrene som loven åpner for å opprette, uavhengig av om legen vil det eller ikke og uavhengig av om pasienten sier nei til en slik kommunikasjon eller ikke. Det går da ikke an å stikke under en stol at dette er et alvorlig skår i fortroligheten mellom pasient og behandlende institusjon.
Henrichsen 2000 treffer heller ikke spikeren på hodet når han med tydelig adresse til Aarseth 2000 og meg kritiserer oss for å gi inntrykk av at den nye loven "åpner for å spre sensitive medisinske opplysninger vilkårlig og fritt, uten noen form for kontroll. Helseregistre med personkjennetegn vil angivelig vokse opp som paddehatter uten noe annet mål enn å behage forskere og helsebyråkrater". Det vi har tatt opp, er risikoen for at helseopplysninger skal komme på avveie. I en sak som involverer så følsomme opplysninger som denne stusser jeg over at Henrichsen ikke ser faremomentene. Verken Aarseth eller jeg sier at opplysningene kommer til å flyte fritt, vi er opptatt av hva som kan gjøres for å etablere et trygt forhold mellom pasient og behandler, og hva som skal til for å minimalisere risikoen for at helseopplysninger skal kunne komme på avveie, kanskje med katastrofale følger for den enkelte. En risikoanalyse av dette slaget er ikke det samme som å male en bestemt mann på veggen. Lagring av mindre sensitive data enn helseopplysninger påkaller ofte stor oppmerksomhet fra bedrifter og myndigheter. Kostbar hjelp blir hyret fra datasikkerhetsfirmaer og fra andre IT-konsulenter. Skal plutselig slik risikotenkning være malplassert når saken virkelig gjelder ømtålige opplysninger? Har vi lov til å se bort fra utsiktene til at det kan inntreffe systemfeil og menneskelig svikt?
6.5 Skal norsk IT-næring miste en stimulans?
Saken har også en næringspolitisk side. Hadde lovgiveren gått inn for et utradisjonelt registerdesign, ville norsk næringsliv ha fått en spennende utfordring. Hva kan ikke ekspansive norske IT-miljøer få til innenfor en høyprioritert næringssektor når det gjelder å skreddersy løsninger til et distribuert informasjonssystem basert på krypterte identiteter? Modellen med kryptert identitet og lignende Privacy Enhancing Technologies (PETs) har vakt interesse i utlandet. Den er i ferd med å prøves ut i litt andre varianter, blant annet i USA og i Canada. Ennå har vi ikke tapt skansen som spydspiss. Skal Norge la en slik sjanse gå fra seg? Skal vi komme i bakleksa når vi faktisk var først på banen?
7 Passer "carte blanche" her?
Det beste som kan sies om fullmaktsloven, er at den ikke direkte hindrer en mer framsynt og akseptabel måte å kombinere personvern, helseadministrative formål og forskningsbehov. Loven er åpen og kan fylles med så å si hva det skal være. Så kan man si: Ja, men da er det jo ikke så farlig. Etter mitt syn er det det. "Carte blanche" passer nemlig ikke her, for det bør ikke være opp til den til enhver tid sittende regjering å bestemme om våre mest følsomme personopplysninger skal finnes i et personidentifiserbart helseregister. Skal vi måtte finne oss i det, bør Stortinget ha gått inn for det, etter vanlig demokratisk behandling. Helt fra beredskapslovenes dager har det vært et middel i rettssikkerhetens tjeneste og et grunnleggende prinsipp i et demokrati at individenes rettsstilling skal bli bestemt i lov framfor i forskrift basert på åpne lovfullmakter. Lovgiveren bør ikke kunne flykte fra veivalgene ved å overlate disse til Regjeringen. Stortinget skal trekke opp lovrammene for våre liv, Stortinget skal bestemme hvilke fundamentale rettigheter, plikter, friheter og byrder som individene skal ha, Stortinget skal gi grønt lys for inngrepene vi må finne oss i, Stortinget skal vise vei. Det er derfor vi har valgt det.
8 Utfordringene for Stortinget
Stortinget bør nå stramme opp lovforslaget eller sende det tilbake til Regjeringen. Det bør ikke velge en løsning som harmonerer dårlig med legalitetsprinsippet og med EMK, selv om lovforslaget ikke direkte strider mot disse grunnleggende rettsprinsippene.
Loven bør i stedet gi klarere føringer for hvordan opplysninger skal lagres (uten å binde loven til akkurat én bestemt krypteringsteknikk), det bør tas stilling til om opplysningene trenger å lagres sentralt, hva som kan lagres, hvilke kretser som skal få tilgang til registrene, og hvordan helseopplysninger skal kunne koples på en sikker og betryggende måte. Iallfall hovedtrekkene bør bestemmes i loven, slik at Regjering og departement vet om de arbeider i riktig eller gal retning når de senere skal utfylle loven med forskrifter og bemanne registre. Ellers risikerer vi å havne med gårsdagens løsninger på morgendagens utfordringer.
Henvisninger
Boe, Erik 2000 Helseregistre – hvor ble det av personvernet? [kronikk] i: Aftenposten 5.4.2000
Bygrave, Lee A. 1998 Data Protection Pursuant to the Right to Privacy in Human Rights Treaties, i: International Journal of Law and Information Technology 1998 (6) s 247–298, Glasgow: Oxford University Press 1998
Danelius, Hans 1997 Mänskliga rättigheter i europeisk praxis : En kommentar til Europakonventionen om de mänskliga rättigheterna, Stockholm: Norstedts Juridik 1997
Henrichsen, Bjørn 2000 Helseopplysninger og lovregulert personvern, [kronikk] i: Aftenposten 29.5.2000
NOU 1993: 22 Pseudonyme helseregistre : Et lovutkast om personvern, pasientvern og helsevern
NOU 1997: 26 Tilgang til helseregistre
Opsahl, Torkel 1965 Delegasjon av Stortingets myndighet, Oslo: Tanum 1965
Ot prp nr 5 (1999–2000) Om lov om helseregistre og behandling av helseopplysninger (helseregisterloven)
Skjerdal, Nicolai V. 1998 Kvalitative hjemmelskrav : Legalitetsprinsippet i norsk rett og lovskravet i Den europeiske menneskerettighetskonvensjon med enkelte komparative linjer, Oslo: Tano Aschehoug 1998
Aarseth, Hans Petter 2000 Nye helseregistre – svekket personvern, [kronikk] i: Aftenposten 14.3.2000.
Fotnoter:
- Manuskriptet har tidligere vært publisert i Kritisk Juss 2000 (2) s 63–77
- Erik Boe (født 1943) er cand jur (UiO 1970) og dr juris (UiO 1980) på avhandlingen «Distriktenes utbyggingsfond: en kritisk rettslig/rettssosiologisk studie av DUFs generelle forvaltningsrettslige stilling». Han har vært professor ved UiO, Institutt for offentlig rett siden 1986, og var leder av utvalget som la fram NOU 1993: 22 Pseudonyme helseregistre: Et lovutkast om personvern, pasientvern og helsevern. E-post: erik.boe@jus.uio.no
[Tilbake]