Hvilke data har vi lov til å bruke? Og hvilke krav stilles til oss som brukere av Persontjenestens personopplysninger? Dette er sentrale spørsmål alle virksomheter må kunne svare på, og etterleve.
Persontjenesten vil fra starten bare inneholde folkeregisterinformasjon. Bruk av folkeregisterinformasjon reguleres av Lov og forskrift for folkeregistrering fra 2017. I tillegg gjelder Personopplysningsloven og relevante lover for helsetjenesten, som Pasientjournalloven og Helseregisterloven. Det innebærer at helsevirksomheter som skal bruke Persontjenesten må ha et forhold til sitt ansvar som dataansvarlig og mulighetsrommet som ligger innenfor hjemmelen virksomheten har til å innhente folkeregisterinformasjon.
Tilgang til og bruk av Folkeregisterinformasjon
Folkeregisterregelverket
Lov og forskrift for folkeregistrering fra 2017 regulerer tilgangsstyringen til folkeregisteropplysninger gjennom fem rettighetspakker. Loven åpner for nye tilganger, moderniserte tjenester og deling av mer informasjon enn tidligere. Samtidig stilles det strengere krav til at hver enkelt virksomhet som bruker folkeregisteropplysninger har kontroll på hvem som bruker hvilke opplysninger, og hvordan de benyttes. Brudd på forvalteransvaret kan sanksjoneres.
Tilgang til folkeregisterinformasjon – ikke taushetsbelagt
De fleste virksomheter har som hovedregel tilgang til opplysninger som ikke er taushetsbelagte. Dette er opplysninger om en persons fulle navn, fødselsdato, kjønn, fødselsnummer eller d-nummer, grunnlaget for registrert identitet, adresse, fødested, statsborgerskap, sivilstand, vergemål, stadfestet fremtidsfullmakt og dødsdato. Oversikt over hvilke informasjonselementer som er taushetsbelagt og ikke finnes i sammenstillingen for PREG, FREG og Persontjenesten.
Tilgang til taushetsbelagt folkeregisterinformasjon
I den nye folkeregisterloven er det offentliges tilgang til taushetsbelagte opplysninger endret til følgende (§ 10-2): "Taushetsbelagte opplysninger kan utleveres til offentlige myndigheter og virksomheter og til private virksomheter som har hjemmel i lov til å innhente opplysninger fra Folkeregisteret uten hinder av taushetsplikt."
- Alle virksomheter må dermed ha hjemmel for å kunne få tilgang til taushetsbelagt informasjon. Den enkelte virksomhet er selv ansvarlig for å vise til sin hjemmel. Noen store grupper av virksomheter dekkes av generelle hjemler:
- Mange virksomheter i helsesektoren er underlagt pasientjournalloven, og vil da ha hjemmel til å innhente folkeregisterinformasjon (inkludert taushetsbelagt informasjon dersom det er behov for det iht. Pasientjournalloven § 21).
- Virksomheter som er underlagt helseregisterloven har tilgang iht. denne lovens § 14. Her er begrensningen på tilgang knyttet til hvilken informasjon virksomheten har tillatelse til å behandle. Det må den enkelte virksomhet selv ta stilling til.
Helsevirksomheter som faller utenfor disse hjemlene og søker tilgang til Persontjenesten må selv vise til en hjemmel for å få tilgang til taushetsbelagt informasjon.
De fleste virksomheter har uansett som hovedregel tilgang til opplysninger som ikke er taushetsbelagte. Se avsnittene nedenfor om dette.
Tilgang for private virksomheter og offentlige uten hjemmel til taushetsbelagt informasjon
Etter folkeregisterloven § 10-1 kan disse gruppene virksomheter få tilgang til følgende opplysninger til oppslag og ajourføring av egne registre:
- fullt navn, inkludert historikk
- fødselsnummer/d-nummer
- fødselsdato
- kjønn
- grunnlaget for registrert identitet
- adresse og flyttedato for nåværende bostedsadresse (ikke adresser undergitt taushetsplikt eller gradert etter Beskyttelsesinstruksen)
- tidligere adresser, inn- og utflyttingsland
- fødested
- statsborgerskap
- sivilstand (alle typer)
- vergemål (verges navn og adresse)
- stadfestet fremtidsfullmakt
- dødsdato
- registreringsstatus (bosatt, utflyttet, død, opphørt og inaktivt d-nummer)
Utlevering til forskning
Det er hjemmel for utlevering av opplysninger til bruk i forskning i folkeregisterloven § 10-3. Følgende opplysninger kan utleveres:
- fullt navn
- navnehistorikk
- fødselsnummer/d-nummer
- fødselsdato
- fødselsår
- kjønn
- grunnlaget for registrert identitet
- adresse inkl. flyttedatoer
- adressehistorikk
- fødested
- statsborgerskap
- sivilstand
- vergemål
- stadfestet fremtidsfullmakt
- ektefelle/registrert partner
- barn
- foreldre
- foreldreansvar
- søsken
- kontaktopplysninger for dødsbo
- adopsjon
- tilknytning til Sametingets valgmanntall
- samisk språk
- oppholdsstatus
- utlendingsmyndighetens identifikasjonsnummer
- registreringsstatus (bosatt, utflyttet, død, opphørt og inaktiv – de to siste om d-nummer)
Roller og ansvar etter Personvernregelverket – personopplysninger og helseopplysninger
Personopplysningsloven (inkludert personvernforordningen, også kjent som GDPR) regulerer virksomheters ansvar for all behandling¹ av personopplysninger. Disse reglene ligger til grunn for all behandling av personopplysninger og helseopplysninger i helsetjenesten.
Hva er den dataansvarliges ansvar?
Behandlingsansvarlig, som i helsetjenesten gjerne kalles "dataansvarlig", er ansvarlig for å overholde personopplysningsregelverket når folkeregisterinformasjon behandles i egen virksomhet. I forbindelse med Persontjenesten vil spesielt spørsmålet om dataminimering være viktig å ta stilling til når helsevirksomheten bestemmer hvilken informasjon som skal innhentes fra Persontjenesten. Se nedenfor om dataminimering.
Flyten av folkeregisteropplysninger mellom virksomheter
I flyten av folkeregisteropplysninger er mange virksomheter behandlingsansvarlige/dataansvarlige. Folkeregisteropplysningene kommer fra Folkeregisteret som ligger hos Skatteetaten. Skatteetaten er behandlingsansvarlig for Folkeregisteret. Når Norsk helsenett innhenter folkeregisteropplysninger til Persontjenesten skjer dette som en utlevering. Norsk helsenett blir da behandlingsansvarlig for folkeregisterinformasjonen i Persontjenesten. Når en helsevirksomhet skal innhente folkeregisterinformasjon fra Persontjenesten vil det være som selvstendig dataansvarlig virksomhet som skal bruke informasjonen inn i sine fagsystemer. Dette kan illustreres slik:
Dataansvarlig kan få hjelp av en databehandler
Den dataansvarlige kan få en annen virksomhet til å behandle personopplysninger for seg, og i vår sammenheng vil dette gjerne være en eller flere systemleverandører eller driftsleverandører. Disse kalles i denne sammenheng for "databehandlere". Når en dataansvarlig lar en databehandler behandle data på sine vegne krever det at det er inngått en databehandleravtale som regulerer hvordan databehandler skal behandle personopplysningene. Uten databehandleravtale vil behandlingen være ulovlig. I Persontjenesten identifiseres virksomheten med og svarer fullt ut for databehandlerens handlinger.
Behandlingsgrunnlag
Persontjenesten får sitt behandlingsgrunnlag i den nye e-helseloven. Her vil adgang til å innhente personopplysninger fra Folkeregisteret iht. den foreslåtte § 7 og plikt til å gjøre opplysningene tilgjengelige til sammen utgjøre behandlingsgrunnlag etter personopplysningsloven.
Dataansvarlige helsevirksomheter som bruker Persontjenesten har sine egne behandlingsgrunnlag ut fra sin egen virksomhets formål og regulering, og har ulike rettigheter til å få tilgang til informasjonen, se over om Tilgang.
Ansvar for bruk av folkeregisterinformasjon – dataminimering
Helsevirksomhetene har behov for å ha tilgang til og motta kontinuerlig oppdaterte folkeregisteropplysninger for alle sine pasienter, samtidig som de overholder personvernlovgivingen og ikke mottar eller lagrer mer informasjon enn de har hjemmel til og tjenstlig behov for (dataminimeringsprinsippet).
Mange dataansvarlige virksomheter i helsetjenesten har som utgangspunkt vid tilgang til folkeregisterinformasjon slik det fremgår over om tilgang. Rollen som dataansvarlig omfatter i denne sammenhengen også plikten til å overholde personvernprinsippet om dataminimering. Prinsippet om dataminimering er til for å hindre overskuddsinformasjon, dvs. at virksomheten får mer informasjon enn det er behov for. Det kan være mer informasjon om en person enn det som er nødvendig for fagsystemets behov, eller det kan dreie seg om tilgang til informasjon om flere personer enn nødvendig. Det innebærer at det er helsevirksomheten selv som må vurdere hvilken folkeregisterinformasjon som det til enhver tid er behov for å innhente fra Persontjenesten. Selv om hjemmelen for tilgang kan være vid betyr dette at helsevirksomheten selv må ha et bevisst forhold til hvilken informasjon som innhentes av fagsystemet, og hvordan informasjonen behandles i fagsystemet.
Ansvar for innebygd personvern
Leverandører må påse at integrasjonen av fagsystem mot Persontjenesten er utviklet på en måte som ivaretar helsevirksomhetenes lovkrav om innebygd personvern og ivaretar dataminimeringsprinsippet og kravet til oppdatert og korrekt personinformasjon.
Helsevirksomhetene forholder seg til lov om behandling av personopplysninger (personopplysningsloven) med forskrifter og helselovgivningen som er basert på dette regelverket. Leverandører må spesielt ivareta kravet til innebygd personvern, og nye/endrede løsninger som implementeres må forholde seg til dette. Leverandøren må bistå dataansvarlige helsevirksomheter med å gjennomføre egnede tekniske og organisatoriske tiltak for å sikre effektiv gjennomføring av prinsippene for vern av personopplysninger, f.eks. dataminimering og integrere de nødvendige garantier i behandlingen og verne de registrertes rettigheter. Det innebærer å sikre at det som standard bare er personopplysninger som er nødvendige for hvert spesifikke formål med behandlingen, som behandles. Det handler f.eks. om:
- mengden personopplysninger som behandles
- omfang av behandling
- lagringstid
- tilgjengelighet
Hvordan legger Persontjenesten til rette for dataminimering?
Persontjenesten vil legge til rette for ulike former for dataminimering.
I første omgang vil Persontjenesten implementere funksjonalitet for minimering av personopplysninger ved søk og oppslag. Her kreves det at personopplysninger må defineres eksplisitt i kallet, ellers returneres ingenting. I tillegg vil Persontjenesten implementere funksjonalitet for minimering av hendelsestyper ved henting av hendelser. Se Funksjoner i Persontjenesten for mer informasjon om søk, oppslag og hendelser.
Funksjonalitet for å minimere ved å hente ut personopplysninger om et gitt sett av personer (et personutvalg eller en Client System Master Index) er en del av målbildet for Persontjenesten. Mer informasjon om denne måten å sørge for dataminimering på kommer.
I tillegg vurderes det å standardisere ulike sett av opplysningstyper som helsevirksomhetene kan bruke for å minimere rammen for den tilgangen som virksomheten trenger. Vil det f.eks. være aktuelt å bare bruke et enkelt sett av opplysninger som fødselsnummer, navn, adresse for en større gruppe av virksomheter er dette en måte å innsnevre tilgangen på.
Det er nødvendig at helsevirksomheten tar stilling til de ulike måtene å begrense tilgangen til folkeregisterinformasjon for å oppfylle sitt dataansvar.
For virksomheter som bruker fagsystemer fra kommersielle leverandører er det viktig å rette oppmerksomheten mot hvordan systemene legger til rette for dataminimering.
Bruksvilkår for Persontjenesten
Bruk av Persontjenesten er avhengig av at helsevirksomheten har inngått medlemsavtale med Norsk helsenett om tilgang til Helsenettet. Bruk av Persontjenesten reguleres av bruksvilkår, på lik linje med de andre nasjonale e-helseløsningene som Norsk helsenett har. Bruksvilkårene setter krav til hvordan virksomheten kan bruke Persontjenesten. Vilkårene må aksepteres før helsevirksomheten får tilgang til tjenesten.
Rettigheter
Den dataansvarlige skal sørge for at de personene som helsevirksomheten behandler opplysninger om får ivaretatt sine rettigheter ved informasjon, innsyn, retting, sletting, osv. Disse kalles gjerne "den/de registrerte". Den enkelte helsevirksomhet må sørge for å ivareta dette overfor sine registrerte, dvs. brukere, pasienter eller ansatte.
I Persontjenesten vil de registrerte ha rett til innsyn. Ettersom Persontjenesten er en maskin-til-maskin tjeneste rettet mot helsevirksomheter, vil det ikke være en innbyggerorientert tilnærming til innsynsretten. Innsynskrav må håndteres av helsevirksomhetene.
Når det gjelder de registrertes rettigheter til endringer av folkeregisterinformasjon vil dette skje innenfor rammen av folkeregisterregelverket og gjøres hos kilden, dvs. hos Folkeregisteret. Se Skatteetatens side om Registrere og endre opplysninger i Folkeregisteret for mer informasjon.
1 Behandling av personopplysninger: All bruk av personopplysninger,
slik som innsamling, registrering, sammenstilling, lagring og utlevering,
eller en kombinasjon av slike bruksmåter.