Høring - NOU 2022:11 Ditt personvern - vårt felles ansvar. Personvernkommisjonens rapport

Utredningen har vært på intern høring i Legeforeningens organisasjonsledd, som har kommet med sine uttalelser. Disse uttalelsene ligger til grunn for foreliggende høringsuttalelse, som er behandlet av Legeforeningens sentralstyre.

Overordnet er det slik at Legeforeningen deler Personvernkommisjonens vurdering av utfordringsbildene. Videre støtter vi overordnet intensjonene bak de tiltak som foreslås i utredningen, uten at vi har gjort nærmere vurderinger av enkelthetene på hvert av områdene som kommisjonen spesielt har vurdert. Legeforeningen bemerker også at vi uansett ikke er i stand til å vurdere om alle tiltakene vil være treffsikre. Som det fremkommer av utredningen dreier svært mange av anbefalingene seg om å etablere rutiner og prosesser for å etterleve personvernregelverket på en mer effektiv måte enn i dag. Den faktiske etterlevelsen vil avhenge av hvilke prioriteringer, herunder økonomiske, som gjøres.

Om mandatet

Kommisjonen har hatt et vidt mandat. Den har kartlagt situasjonen for personvern, og trukket frem de viktigste utfordringene og utviklingstrekkene på områdene offentlig sektor/forvaltningen, justissektoren, skole- og barnehagesektoren og forbrukersektoren.

Særlovgivning på helseområdet, herunder pasientjournalloven, helseregisterloven og helseforskningsloven, er ikke behandlet, da helseområdet ikke var en del av Personvernkommisjonens mandat. Som vi kommer nærmere inn på nedenfor hadde Legeforeningen særlig ønsket at å kartlegge problemstillinger på dette området ble inkludert i mandatet.

Kommisjonen har dessuten i liten grad befattet seg med problemstillinger tilknyttet personvern for arbeidstakere.

Som arbeidstakerforening i helsesektoren er det særlig disse temaene som foreningen savner behandlet.

Legeforeningen har forståelse for at med et såpass vidt mandat må oppdraget nødvendigvis begrenses, men mener likevel det burde fremkommet tydeligere av rapporten at sentrale områder ikke er dekket av kommisjonens arbeid. Kommisjonen burde på eget initiativ ha redegjort for bredden i temaet personvern, herunder gjort rede for hvilke områder de ikke har utredet, men som likevel er relevante for innbyggernes personvern. Selv om mandatet ikke favnet så vidt som til å utrede temaene helse og arbeidsliv, burde det ha fremkommet tydeligere at dette er eksempler på områder hvor det behandles betydelige mengder personopplysninger, med potensielt stor betydning for den enkelte registrerte.

Personvern på helseområdet

Av det endelige mandatet til Personvernkommisjonen fremkommer det at den skulle "kartlegge offentlig sektors behandling av personopplysninger til andre formål enn innsamlingsformålet, og gi en vurdering av de negative personvernkonsekvensene ved dette sett opp mot fordelene".

Denne problematikken er særlig relevant for helseopplysninger, og må sees i sammenheng med risikoen for "nedkjøling", forstått slik at innbyggerne endrer atferd fordi de føler seg overvåket. Tillit til at helseopplysninger brukes i tråd med formålet for innhenting oppleves å være avgjørende for at pasienter skal avgi opplysninger til helsetjenesten. Våre foreningsledd oppfatter at dette hensynet ikke i tilstrekkelig grad vektlegges ved forslag til etablering av ulike helseregistre og ved etablering av løsning for analyser av helsedata. Dette inngikk også som et overordnet innspill til mandatet i 2018.

Kommisjonen vurderer at en nasjonal personvernpolitikk må innebære at offentlig sektor går foran, og at offentlige myndigheter har et ansvar for å holde en høy standard når det gjelder personvern. Til dette forslås en helhetlig tilnærming til personvern i den offentlige forvaltningen, og kommisjonen foreslår konkrete tiltak som regjeringen bør iverksette for å ivareta innbyggernes personvern. Tillit skapes ved at det offentlige behandler personopplysninger i tråd med personvernreglene, og at hensynet til blant annet åpenhet, sikkerhet og gjennomsiktighet ivaretas. Legeforeningen deler dette synet, og mener det i høyeste grad gjør seg gjeldende på helseområdet.

Personvernhensyn i arbeidslivet

Legeforeningen oppfatter at personvernet er under press i arbeidslivet.

Som kommisjonen beskriver er det slik at sikkerhetstiltak legger press på personvernet. På side 49 fremkommer det at:

Avveininger mellom informasjonssikkerhet og personvern er også en utfordring innenfor blant annet arbeidsliv og helsesektoren, hvor et økende trusselnivå for datainnbrudd og lignende cyberangrep kan føre til økt ønske eller behov for mer overvåkning, for eksempel gjennom logging, kameraovervåkning og systemer for identifikasjon for å hindre uautorisert adgang til fysiske eller digitale rom. Slik overvåkning kan styrke sikkerheten, og være viktig for å hindre datainnbrudd og dermed i realiteten ivareta personvernet til kunder av en virksomhet. Samtidig legger overvåkning press på personvernet til for eksempel ansatte i den aktuelle virksomheten.

Kommisjonen beskriver dette som utfordrende avveininger i arbeidsliv og helsesektoren. Legeforeningen kan sies å se utfordringene samlet – som avveininger som må skje for arbeidstakere i helsesektoren.

Det er hverken nytt eller kontroversielt at helsepersonell må være underlagt en rekke tiltak for å trygge informasjonssikkerheten. Dette kan sees i sammenheng med tilliten til helsevesenet, hvis viktighet er redegjort for ovenfor og i vårt innspill til mandat av 2018. Pasienter skal ha tillit til at de digitale løsningene i helsevesenet sikrer hensynene til vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet, i tråd med personvernforordningen artikkel 32 nr. 1 bokstav b. En del av dette vil selvsagt innebære å føre kontroll over helsepersonells tilgang til innbyggernes helseopplysninger.

Det er likevel slik at Legeforeningen ser med bekymring på en del av de andre tiltak som ønskes iverksatt for å kontrollere arbeidstakere i helsevesenet – på bekostning av personvernet. Dette kan handle om tiltak som ikke konkret er satt for å styrke informasjonssikkerheten, men om hvordan helsepersonell kontrolleres på annet vis. Et eksempel kan hentes fra Kreftregistret som etter en endring i Kreftregisterforskriften § 1-9, våren 2022 kan registrere helsepersonellnummeret til helsepersonell som utfører endoskopier som inngår i Tarmscreeningprogrammet. Det er nå slik at Kreftregisteret kan inneholde opplysninger om legen eller annet helsepersonell som utfører undersøkelsen eller stiller diagnosen – både helsepersonellnummer eller annen personidentifikator, og hvorvidt spesifikke kompetansekrav er oppfylt, jf. bestemmelsens første ledd nr. 4.

Legeforeningen mener at kreftscreeningprogram ikke skal brukes til å vurdere kvaliteten på utøvende helsepersonell. Det er riktig å vurdere kvaliteten på programmet som sådan, men helsepersonellet bør være kvalifisert i kraft av profesjon og yrkesutøvelse ved relevant helseinstitusjon. Det vises til Legeforeningens høringssvar for foreningens fullstendige syn på dette.2

Legeforeningen konstaterer at arbeidsgivere sitter på store mengder data om egne ansatte, samtidig som de har tilgang til flere datakilder utenfor egen virksomhet. Dette gir arbeidsgivere en mulighet til å gjøre sammenstillinger mellom personopplysninger og ulike typer virksomhetsdata.

I kombinasjon med ulike kontrolltiltak kan konsekvensen være en opplevelse blant de ansatte av overvåking, og påfølgende nedkjølingseffekt. I tillegg til dette melder flere medlemmer at det er belastende at deres personopplysninger behandles, subjektive og objektive, på nettsteder der pasienter kan vurdere helsepersonell (eks legelisten.no, men også på andre plattformer). Dette danner grunnlag for et større press. I ytterste konsekvens kan nedkjølingseffekten skje på slikt vis at helsepersonell ikke lenger ønsker å arbeide i sektoren.

Øvrige merknader

Legeforeningen støtter kommisjonens anbefaling om å styrke Datatilsynet.

Det er videre slik at Legeforeningen støtter kommisjonen i at andre tilsynsmyndigheter med ansvarsområder som har stor og direkte betydning for ivaretakelse av personvern kan spille en større rolle for personvernet enn de gjør i dag. Kommisjonen viser her til at Arbeidstilsynet bør kunne føre tilsyn med arbeidsgivers kontroll med ansatte etter bestemmelsene i arbeidsmiljøloven, og samtidig anvende de generelle reglene i personvernforordningen som aktualiseres av kontrolltiltaket. For ivaretakelse av arbeidstakers personvern, vil en tydeliggjøring av Arbeidstilsynets tilsynsrolle, også i personvernspørsmål, være en egnet tilnærming. Det må forutsettes at tydelige avklaringer med hensyn til Arbeids- og Datatilsynets ansvarsområder blir gjort.

Med hilsen
Den norske legeforening
Jus- og arbeidsliv

Siri Skumlien
generalsekretær

Lars Duvaland
direktør

Saksbehandler: Mathias Gravdehaug, rådgiver/advokatfullmektig