Publisert: 15.09.2023
Av Anine Frølich
Onsdag 10. mai 2023 leverte jeg min mastergrad i rettsvitenskap ved UiB. Oppgaven skrev jeg hos KS Advokatene, som har stilt opp med uvurderlig støtte underveis. Jeg vil særlig takke Tor Allstrin, Johan Spiten som ga meg muligheten til å skrive oppgaven hos KS Advokatene, og Stig Eidissen og Benita Tobiasson for gode diskusjoner og uvurderlig bistand i form av gjennomlesing og korrektur.
Oppgavens tema berører både helseretten og personvernretten. I en tid der digitalisering har fått en økende betydning i helsesektoren, har nasjonal kjernejournal blitt en sentral plattform for å sammenstille og dele helseopplysninger om pasienter på tvers av virksomheter og nivåer i helsevesenet. At personvernet ivaretas, er sentralt for kjernejournalens suksess og utvikling. Regler om personvern kan sette begrensninger for hvilke opplysninger som kan fremgå av en kjernejournal, og etterlevelse av reglene er egnet til å påvirke hvor stor tillit befolkningen og helsepersonell har til tjenesten. På den andre siden bør personvernhensyn ikke sette så store begrensninger på løsningen at den ikke oppfattes som brukervennlig.
Hva er nasjonal kjernejournal?
Nasjonal kjernejournal ble innført i 2015 og er et «sentralt virksomhetsovergripende behandlingsrettet helseregister» som «skal inneholde et begrenset sett relevante helseopplysninger som er nødvendig for å yte forsvarlig helsehjelp», jf. pasientjournalloven § 13 (2). Dette kan eksempelvis være opplysninger om diagnose, behandlingsplan, allergier og medisinbruk. De fleste opplysningene i kjernejournalen hentes automatisk fra offentlige registre. Helsepersonell kan i tillegg, i samråd med pasienten, registrere spesielt viktige helseopplysninger. Innbyggere kan også selv legge inn opplysninger i kjernejournalen via helsenorge.no. Informasjonen i nasjonal kjernejournal skal oppdateres fortløpende av leger og annet helsepersonell. Helsepersonell som har behov for disse opplysningene for å gi helsehjelp, skal få tilgang til opplysningene etter samtykke fra pasienten.
Pasienten har én pasientjournal hos fastlegen, én hos legevakten, én på sykehuset, osv. Kjernejournalen gir derimot en sammenstilling og et utvalg av de viktigste helseopplysningene om pasienten som skal være tilgjengelig for behandlere med tjenstlig behov, uavhengig av virksomhet. Kjernejournalen er dermed et supplement til pasientjournalen.
Alle fastboende i Norge har en kjernejournal, med unntak av dem som har reservert seg mot tjenesten og dem med sperret adresse i Folkeregisteret. Opprettelse av kjernejournalen er ikke avhengig av samtykke fra den enkelte, men følger blant annet av helsepersonellets plikt til å føre journal. På helsenorge.no har enhver tilgang til sin kjernejournal. Der kan man undersøke kjernejournalens innehold, rette eventuelle feil og tilføye opplysninger.
Da kjernejournalen ble opprettet i 2015 mottok de registrerte over 16 år en e-post fra Helsedirektoratet om at kjernejournalen var opprettet, forutsatt at den registrerte hadde epostadresse. Også barn får automatisk sin egen kjernejournal når de blir født. Foreldrene informeres om opprettelsen per e-post. Når barn fyller 16 år kan de få digital tilgang til sin egen kjernejournal på nettstedet helsenorge.no, dersom de har BankID. Flere aspekter ved dette er belyses i oppgaven, særlig problematikken knyttet til at det er flere grupper i samfunnet som av ulike grunner ikke benytter seg av digitale tjenester. Det er viktig at også denne gruppens rettigheter knyttet til personvern ivaretas.
Norsk Helsenett SF er dataansvarlig for personopplysninger som behandles i nasjonal kjernejournal.
Personopplysningloven og GDPR
Oppgaven tar for seg artikkel 5 (1) som er en av de mest sentrale artiklene i GDPR. Artikkelen fastsetter følgende grunnleggende prinsipper som skal ivaretas ved all behandling av personopplysninger:
- Lovlighet, rettferdighet og åpenhet
- Formålsbegrensning
- Dataminimering
- Riktighet
- Lagringsbegrensning
- Integritet og konfidensialitet
Prinsippene er selvstendige regler som stiller krav til all behandling av personopplysninger, men utfylles også av andre krav i GDPR og pasientjournalloven. Prinsippene må legges til grunn før eller når behandlingen starter, mens behandlingen pågår og i tillegg på spesielle tidspunkter eller ved spesielle hendelser, eksempelvis ved brudd på informasjonssikkerheten.
Oppsummering av oppgavens funn
Basert på de rettskilder som er gjennomgått i oppgaven, er det min vurdering at riktighetsprinsippet i artikkel 5 (1) (d) og integritetsprinsippet i artikkel 5 (1) (f) vil være brutt dersom det forekommer feilopplysninger i kjernejournalen.
Det viktigste funnet i oppgaven er at de registrertes mulighet til selv å kunne ivareta sine interesser og rettigheter er begrenset, fordi en stor gruppe registrerte reelt sett ikke informeres om at helseopplysningene sammenstilles og behandles i nasjonal kjernejournal. Selv om mange trolig ikke motsetter seg den behandling av personopplysninger som kjernejournalen forutsetter, er det et grunnleggende prinsipp at de registrerte skal ha mulighet til selv å kunne kontrollere og ha oversikt over hvordan og hvorfor ens helseopplysninger behandles. Et sentralt moment i vurderingen er at helseopplysninger er en særlig kategori personopplysninger som krever et særskilt vern. I relasjon til riktighets- og integritetsprinsippet bemerkes at feilopplysninger i kjernejournalen kan medføre alvorlige konsekvenser for den registrerte. Feil kan lettere oppdages dersom de registrerte er proaktivt informert om kjernejournalen, dens innhold og brukerinnstillinger. Plikten til å yte forsvarlige og nødvendige helsetjenester vil ikke svekkes av en streng etterlevelse av personopplysningsvernet. Basert på de rettskilder som er gjennomgått i oppgaven, er det min vurdering at praksisen tilknyttet informasjonsformidling til de registrerte i nasjonal kjernejournal kan utgjøre et brudd på åpenhets- og rettferdighetskravet i GDPR artikkel 5 (1) (a).
En ytterligere tilpasning av lovverket kan synes å være påkrevd for å bedre ivareta de registrertes mulighet til selv å kunne ivareta sitt personvern. Etter min oppfatning bør kjernejournalforskriften og pasientjournalloven inneholde bestemmelser som i tydeligere grad pålegger den behandlingsansvarlige å informere de registrerte om behandlingen av personopplysninger i kjernejournal. Eksempelvis bør pasientjournalloven oppstille en tilsvarende bestemmelse som helseregisterloven § 24 (1) som oppstiller en klar informasjonsplikt i tråd med GDPR artikkel 13 til 15.
Etter min vurdering bør enkelte sider ved Norsk Helsenetts praksis bedre tilpasses dagens regelverk. Et tiltak er at varsling av oppslag i kjernejournalen endres slik at varslingstjenesten er aktivert fra start. På den måten blir det opp til den registrerte selv å styre hyppigheten av varsling, eventuelt å deaktivere tjenesten. Et annet tiltak er å gi informasjon om behandling av personopplysninger i kjernejournal i brevform til registrerte som ikke bruker digitale kommunikasjonsløsninger. Tiltakene vil styrke den registrertes personopplysningsvern i større grad enn dagens løsning.