Legeforeningen viser til Direktoratet for e-helses høring av utkast til retningslinje for bruk av direkte identifiserbare helseopplysninger til utvikling og testing av behandlingsrettede helseregistre, og takker for muligheten til å komme med innspill til høringen.
Innledningsvis følger noen overordnede kommentarer til retningslinjen. Deretter konkrete kommentarer til enkelte av punktene.
Overordnede kommentarer
Behandlingsrettede helseregistre er det viktigste verktøyet for helsepersonell. Våre medlemmer opplever ikke sjeldent at funksjonaliteten i behandlingsrettede helseregistre er mye dårligere enn hva brukerne av systemene skulle ønske. Dette kan medføre mindre hensiktsmessige arbeidsprosesser, og et økt press på helsepersonellet, noe som kan utfordre kapasiteten i helsetjenesten. Legeforeningen er derfor enig i at det å sikre optimal utvikling og testing av behandlingsrettede helseregistre er et formål som etter omstendighetene kan rettferdiggjøre bruk av direkte identifiserbare helseopplysninger.
Samtidig er det helt sentralt at pasienter opplever tillit til at deres helseopplysninger anvendes i tråd med formålet de er avgitt for, og at opplysningene underlegges sikker forvaltning, ikke kommer på avveie eller tilgjengeliggjøres for uvedkommende. Helseopplysninger avgis i hovedsak direkte fra pasient til behandler. Pasientenes tillit til rett bruk og forvaltning av helseopplysninger er derfor en avgjørende forutsetning for at behandlere skal kunne gi god og omsorgsfull helsehjelp og at helsetjenesten skal kunne fungere godt. Pasienter forstår at deres opplysninger anvendes i pasientbehandlingen, men er i varierende og mindre grad innforstått med at opplysninger anvendes til andre formål, herunder utvikling av helseregistre. Utvikling og testing av helseregistre skjer gjerne i samarbeid mellom helsetjenesten og tredjepart. Dette kan være kommersielle selskap i inn- og utland. Tilgjengeliggjøring av personidentifiserbare helseopplysninger til aktører utenfor helsetjenesten og utenfor landets grenser vil av mange pasienter oppleves som urettmessig bruk av opplysningene de har avgitt, og i strid med det de har oppfattet som vilkårene for at de avgav opplysningene til helsetjenesten i første omgang. Legeforeningen mener at hensynet til pasienten tilsier at det skal kvalifiserte grunner til for å bruke direkte identifiserbare helseopplysninger til test- og utviklingsformål, og at denne unntaksadgangen bør begrenses så mye som mulig.
Overordnet stiller vi spørsmål ved at direktoratet foreslår at dette skal være en retningslinje. Vi ber om at direktoratet vurderer om dokumentet skal få status som en anbefalt standard, slik at det kreves "svært gode grunner" for å ikke følge retningslinjen. I det minste bør det spesifiseres i pkt. 1.1 at dersom en virksomhet velger å ikke følge anbefalingene i retningslinjen, "skal" dette være basert
på en konkret og begrunnet vurdering, og begrunnelsen for å fravike retningslinjen "må" dokumenteres. Dette oppfatter vi at er standard mht. fravikelse av retningslinjer iht. informasjon på direktoratets nettsider(1).
I mange tilfeller innebærer dessuten retningslinjen kun en pedagogisk sammenstilling over krav som uansett følger av lovgivningen. Når det i retningslinjen åpnes for at retningslinjen kan fravikes, bør det tydeliggjøres at dette naturligvis ikke gjelder for det som uansett følger av lovgivningen.
Jevnt over kunne tonen i retningslinjen med fordel ha vært skarpere, slik at formuleringene fremstår mer forpliktende. Ordet "bør" burde i flere sammenhenger ha vært erstattet med "skal". Eksempelvis bør det i pkt. 3.4 stå at det "må" utarbeides dataflytskjemaer som gir detaljerte oversikter over dataflyten i utviklings- og testmiljøet, og at det "må" vurderes om tilgang til internett eller andre nettverk bør monitoreres, og om inntreningningstesting kan være et hensiktsmessig sikkerhetstiltak. Et annet eksempel er at det bør følge av punkt 3.5 at virksomheten "må" etablere en utviklings- og testplan som inneholder en beskrivelse av aktivitetenes formål, omfang, fremgangsmåte, ressurser og fremdriftsplan.
Språket i retningslinjen oppleves godt og lett tilgjengelig, og disposisjon og øvrig innretning synes hensiktsmessig. Det er også fint at man har inntatt løpende henvisninger til andre relevante kilder, slik som relevante lovbestemmelser, normens faktaark, mv.
Som en refleksjon, nevner vi at det oss bekjent p.t. ikke er hjemmel for å registrere fiktive personer i folkeregisteret. Det ville være en fordel om dette var mulig, fordi man da til testformål kunne rekvirere legemidler, mv. til fiktive personer i produksjonsdatabasen for å teste og verifiser at integrasjonene fungerer. Dette ville redusere behovet for å bruke reelle data/direkte identifiserbare helseopplysninger i denne fasen.
Punkt 2. Vilkårene "umulig" eller "uforholdsmessig vanskelig"
Vi oppfatter at man i denne retningslinjen bruker begrepet "helseopplysninger" kun i betydningen direkte identifiserbare helseopplysninger. Vi har også forståelse for at det er bruk av direkte identifiserbare helseopplysninger som er tema for retningslinjen. Vi savner likevel at retningslinjen i større grad anerkjenner/tydeliggjør at også pseudonyme opplysninger per definisjon er identifiserbare, og er helseopplysninger i personvernregelverkets forstand. Det er da noe forvirrende når man f.eks. innledningsvis i punkt 2 skriver at:
"Virksomheten kan bare benytte helseopplysninger dersom det vil være umulig eller uforholdsmessig vanskelig å oppnå formålet ved å benytte fiktive, anonymiserte eller pseudonyme helse- og personopplysninger. Unntaksadgangen skal altså forstås som et begrenset og restriktivt unntak fra hovedregelen om å benytte ikke-identifiserbare opplysninger [våre kursiveringer]".
Formuleringen er misvisende all den tid pseudonyme opplysninger ikke er "ikke-identifiserbare opplysninger". Vi savner at det kommer tydeligere frem i retningslinjen at det også for denne gruppen opplysninger er viktig å gjøre vurderinger av hvorvidt det er forholdsmessig å benytte opplysningene.
Det er viktig med tiltak som sikrer at unntakene "umulig" eller "uforholdsmessig vanskelig" i praksis benyttes på en måte som ivaretar intensjonen i lovens forarbeider om at dette skal være snevre unntaksregler. Utfordringen ligger i at begrepene er skjønnsmessige, i tillegg til at det er virksomhetene selv som i praksis foretar skjønnsvurderingene.
Særlig vil det være en risiko for at begrepet "uforholdsmessig vanskelig" kan tolkes ulikt i ulike virksomheter, herunder at det kan oppstå ulik praksis mht. hvilke momenter man vektlegger i denne forholdsmessighetsvurderingen. Hvis ikke terskelen for å gjøre unntak blir tilstrekkelig tydeliggjort og vurderingene etterprøvbare er det sannsynlig at unntaksbestemmelsen vil bli anvendt i større utstrekning enn hva lovgiver har lagt til grunn – fordi det ofte er enklere, raskere, rimeligere, og mer virkningsfullt å anvende personidentifiserbare helseopplysninger i testing og utvikling.
Legeforeningen mener at retningslinjen, slik den nå er utformet, ikke gir tilstrekkelig klar veiledning mht. hvordan man i praksis skal vurdere om vilkåret «uforholdsmessig vanskelig» er oppfylt. Dette utdypes nærmere i det følgende.
Under underoverskriften "Pasientsikkerhet" vises det til at bruk av ikke-identifiserbare data kan utfordre pasientsikkerheten eksempelvis ved at testen ikke gir gode nok resultater, og at systemet derfor ikke virker som forutsatt i prøvedrift eller i produksjon. Videre fremheves at pasientsikkerheten også kan utfordres "ved bruk av helse- og personopplysninger, eksempelvis ved at produksjonsdata blir overskrevet av data fra testmiljøet". Sistnevnte formulering er uklar og vanskelig å forstå. Videre savner vi en tydeligere påpeking av at pasientsikkerheten også kan utfordres som følge av bruk av helseopplysninger. Dette kommer heller ikke tydelig frem under underoverskriften "Oppfyllelse av pasientrettigheter". Enhver duplisering og overføring av helseopplysninger skaper en økt risiko for personopplysningssikkerheten, og for at opplysninger kommer på avveie. Retningslinjen bør oppfordre virksomhetene til å ta denne risikoen i betraktning i sine avveininger.
Under underoverskriften "Tid- og ressursbruk" står det at det ikke er tilstrekkelig at man har begrenset tilgang på ressurser eller er forsinket med utviklings- og testaktiviteter, men at «tidsbruken eller ressursbruken må̊ også̊ være uproporsjonalt høy sammenlignet med formålet som søkes oppnådd med testingen eller utviklingen». Her kunne det med fordel blitt presisert tydeligere hva som forutsettes. Bruk av unntaksadgangen bør forutsetningsvis kun gjøres i tilfelle der formålet er særlig viktig. Og unntak bør kun gjøres der tids- eller ressursbruken ved annen tilnærming vil være særlig høy.
Videre mener vi at det under samme underoverskrift bør legges føringer på i hvilken grad økonomiske hensyn kan vektlegges i vurderingen. Vi antar at økonomi i mange situasjoner vil være noe virksomhetene vil ønske å ta i betraktning i sine avveininger. Her bør terskelen være svært høy, og som utgangspunkt bør ikke økonomiske hensyn alene kunne begrunne bruk av unntaksadgangen.
Legeforeningen foreslår to tiltak som vil kunne bidra til å sikre at unntaksadgangen praktiseres strengt og i tråd med intensjonene i lovforarbeidene:
- Slik direktoratet også ber om innspill på, bør retningslinjen inneholde et bredere utvalg av eksempler som sier noe om hvordan virksomhetene skal vurdere om det vil være "uforholdsmessig vanskelig" å uføre test og utvikling med bruk av pseudonyme, anonyme eller fiktive opplysninger. Gjerne både eksempler på situasjoner hvor flere kriteriet opplagt ikke er oppfylt, og tilfeller hvor det opplagt er oppfylt.
- En mekanisme hvor bruk av unntaksadgangen med tilhørende vurderingsunderlag skal rapporteres til tredjepart. Denne tredjeparten vil da ha i oppgave å følge med på bruk av unntaksbestemmelsen, og skal ved forespørsel redegjøre for bruk av unntaksadgangen. Legeforeningen vurderer at det vil være naturlig at denne oppgaven legges til Direktoratet for e-helse (senere Helsedirektoratet).
Punkt 3. Tiltak for å lukke et utviklings- og testmiljø
Legeforeningen stiller seg spørrende til formuleringen under avsnitt 3.5 hvor det står at «Virksomheten bør inkludere sine utviklings- og testaktiviteter i eksisterende rammeverk for endringsledelse (Change Management)». Vi forstår ikke hva som menes med dette.
I retningslinjenes punkt 3.6 vises det til at virksomheten må ivareta lovens krav til nekting av innsyn, sperring og fortrolig adresse, og at dersom bruk av opplysninger underlagt slike begrensninger vurderes som nødvendig for å oppnå formålet med behandlingen, må virksomheten vurdere særskilt hvordan prinsippene om konfidensialitet, integritet og tilgjengelighet skal ivaretas for denne delen av datagrunnlaget. Dersom lovens krav ikke kan oppfylles, må slike opplysninger ekskluderes fra uttrekket. Legeforeningen mener at det ikke bør åpnes for at slike opplysninger tas med i uttrekket i det hele tatt. Dette er opplysninger som må håndteres med særdeles stor varsomhet, og enhver duplisering og forflytning av disse vil i prinsippet innebære en økt risiko for at opplysningene kommer på avveie, at sletterutiner kan svikte e.l. Til dette kommer at det, slik vi forstår det, kan være aktuelt at en utvidet gruppe får tilgang til opplysningene i en eventuell prøvedriftsfase. Dette er risiko man ikke bør ta for denne typen opplysninger.
Med hilsen
Den norske legeforening
Jus- og arbeidsliv
Siri Skumlien
generalsekretær
Lars Duvaland
direktør
Saksbehandler: Mari Garborg Hanto, advokatfullmektig/rådgiver
1 https://www.ehelse.no/standardisering/om-standardisering/normerende-produkter-og-normeringsniva#Retningslinjer