Angriper strategi for Norsk Helsenett

Norsk Helsenett har som statsforetak tiltenkt seg en rekke sentrale roller i det norske helsevesenet. Strategien til helsehubben er på høring, og nå har Datatilsynet gått til frontalangrep på forslaget til strategi for Norsk Helsenett.

Ifølge Datatilsynet er strategien til Norsk Helsenett mangelfull, basert på ufullstendige definisjoner og personvern er fraværende i dokumentet. I tillegg stiller Datatilsynet seg svært kritisk til NHNs ambisjoner om å lagre sentrale helseregistre, og mener NHN blander roller.

Høringsuttalelsen ble sendt i slutten av mai, men er først i går publisert på nettsiden til Datatilsynet. Norsk Helsenett har midlertidig hatt et styremøte om alle høringssinspill, og ifølge daglig leder Håkon Grimstad har Datatilsynets innspill ført til flere endringer.

- Min kommentar er at det er viktig innspill, og at noen av endringer i den reviderte strategien er etter innspill fra Datatilsynet, sier Grimstad til Computerworld.

I alt har Norsk Helsenett mottatt av 22 høringsuttalelser. Ifølge Grimstad vil alle 22 legges ut på nettstedet til NHN i løpet av kort tid.

Sikkerhet og personvern

Datatilsynet henviser i sin høringsuttalelse til sentrale kunngjøringer og dokumenter fra NHN, som gir klare føringer for Norsk Helsenett i forbindelse med etablering av ”det sikre helsenettet”. I det fremlagte strategidokumentet på 25 sider, er dette hovedtemaet viet under én side. Strategi for sikkerhetsområdet er ifølge Datatilsynet ikke nærmere konkretisert.

- Personvern er gjennomgående et fraværende tema i dokumentet, skriver tilsynet.

Strategidokumentet beskriver en visjon om Norsk Helsenett som en nasjonal sentral datasentral for lagring av alle viktige helseregistre, som da kan distribueres ved felles tilgang for hele helsevesenet gjennom standardisert teknologi.

- Denne visjonen fremstår som utfordrende både prinsipielt og praktisk, ved at den behandlingsansvarliges reelle kontroll utfordres. Tilgangskontroll og konfidensialitetssikring vil bli mer utfordrende, og det kan også reises bekymringer knyttet til tilgjengeligheten ved å samle alle opplysninger på ett sted - noe som i ytterste konsekvens kan få følger for den enkelte pasient.

- Unødvendig og uønsket

Datatilsynet mener en helhetlig samling av sentrale helseregistre vil representere et betydelig inngrep i personvernet, og vil kunne være i konflikt med grunnleggende menneskerettighetsprinsipper.

Det er imidlertid forskjell på helseregistre etablert for samhandling, som for eksempel den eksisterende reseptformidleren og en fremtidig kjernejournal, og andre sentrale helseregistre.

- Det kan være gode argumenter for plassere samhandlingsregistrene sentralt i infrastrukturen hos Norsk Helsenett. For de øvrige registrene vil en slik samling derimot fremstå som unødvendig og uønsket, mener tilsynet.

Ulike roller

Datatilsynet påpeker også at det er vesentlige ulikheter mellom rollene til en nettverksleverandør, en databehandler og en databehandlingsansvarlig. Det fremstår som Norsk Helsenett i større grad vil ta rollen som databehandler ved behandling av helseopplysninger.

"Det vil være andre organisatoriske og sikkerhetsmessige forventinger til en virksomhet som aktivt deltar i behandlingen av helseopplysninger, enn til en nettverksleverandør." skriver Datatiltynet i uttalelsen.

Et skille mellom nettverksdriftsrollen og databehandlerrollen er ifølge Datatilsynet påkrevd for å ivareta forsvarlig drift av registrene.

Mangel

Ifølge avdelingsdirektør Leif Aanensen i Datatilsynet virker avstanden mellom tilsynet og Norsk Helsenett i høringsuttalelsene større enn den er. Han påpeker at Datatilsynet er kritisk til strategiutkastet, men ønsker en dialog med NHN om strategiens praktiske konsekvenser.

- Vi har forståelse for at Norsk Helsenett ønsker en synlig og mer markert rolle i norsk helsesektor.Vi observerer imidlertid den ønskede dreining mot tjenester bant annet innen lagring av sensitive personopplysninger. Det gjør at vi kunne tenke oss et langt sterkere fokus på sikkerhet og personvern i strategien, sier han.

Det handler ikke alene om teknologi, også om hensiktmessig organisering for å skape tilstrekkelig tillit.

- Hvis de skal forvalte sensitive personlige opplysnigner for andre, må de ta stilling til dette. Det vil skape helt nye utfordringer i forhold til det NHN hatt hittil, mener Aanensen.

Registre

Grimstad mener at en bedre beskrivelse av personvern kan bidra til bedre forståelse av strategien.

- Vi hadde ikke behandlet sikkerhet som et særslilt område, fordi vi mener det er fundamentet for hele strategien. Men vi ser det er lett å misforstå, og har lagt til et eget kapittel om sikkerhet.

Lederen i Norsk Helsenett ser et område han og Datatilsynet kan være uenige om, og det er samlokalisering av helseregistre.

- Vi er muligens saklig uenige med Datatilsynet når de sier at distribuert registerdrift er sikrere enn sentralisert. Det er vi da så langt ikke nødvendigvis enig i. Det gir grunnlag for videre dialog med Datatilsynet, sier Grimstad.