Høringsuttalelse - Utkast til forskrift om medisinske kvalitetsregistre
Artikkel
|Publisert
FHI er positive til at Helse- og omsorgsdepartementet foreslår at medisinske kvalitetsregistre som ikke er etablert med hjemmel i annen lov eller forskrift skal reguleres i en egen forskrift. FHI støtter ønsket om å understøtte økt bruk av helsedata fra kvalitetsregistre, og er generelt positive til bruk av reservasjonsrett når det ikke er formålstjenlig å innhente samtykke. Vi gir også vår fulle støtte til viktigheten av datakvalitet og dekningsgrad for å nå registrenes formål og nyttepotensiale, og støtter derfor meldeplikt.
Høringsuttalelsen
Folkehelseinstituttet (FHI) produserer og oppsummerer kunnskap for å bidra til godt folkehelsearbeid og gode helse- og omsorgstjenester. I tillegg har FHI et beredskapsansvar innen smittevern, og driver kontinuerlig overvåkning for å oppdage utbrudd og opphopning av sykdom. For å kunne utføre hovedoppgavene våre innen kunnskap og beredskap er vi avhengige av en effektiv og dekkende infrastruktur. Vi baserer mye av vårt arbeid på helseregistre, andre helsedatakilder og andre registre. Et overordnet synspunkt er at det hadde vært nyttig å i større grad se hele registerfeltet i sammenheng, da analyser og vurderinger av kvalitet i helse- og omsorgstjenestene ikke utelukkende skjer gjennom bruk av medisinske kvalitetsregistre.
FHI er positive til at Helse- og omsorgsdepartementet foreslår at medisinske kvalitetsregistre som ikke er etablert med hjemmel i annen lov eller forskrift skal reguleres i en egen forskrift. FHI støtter ønsket om å understøtte økt bruk av helsedata fra kvalitetsregistre, og er generelt positive til bruk av reservasjonsrett når det ikke er formålstjenlig å innhente samtykke. Vi gir også vår fulle støtte til viktigheten av datakvalitet og dekningsgrad for å nå registrenes formål og nyttepotensiale, og støtter derfor meldeplikt.
FHI merker seg at forskriften åpner for at virksomheter innen spesialisthelsetjenesten, primærhelsetjenesten og kommuner etablerer kvalitetsregistre, og at det er foreslått en avgrensning for hvilke virksomheter som kan være dataansvarlige for kvalitetsregistre hvor helseopplysninger behandles uten den registrertes samtykke (et regionalt helseforetak, helseforetak, kommune, fylkeskommune eller privat ideell virksomhet med avtale med et regionalt helseforetak). FHI er enig i at det er flere områder i helse- og omsorgstjenester som har behov for mer kunnskap om kvalitet, blant annet de kommunale helse- og omsorgstjenestene, og støtter departementets ønske om at dataansvar forbeholdes offentlige aktører eller virksomheter med avtale med det offentlige. Vi savner likevel en drøfting av hvordan man skal oppnå en bærekraftig forvaltning av alle helse- og personopplysningene desentralisert hos et økende antall virksomheter av ulik størrelse samtidig som kravene til systemer og løsninger for å ivareta personvern og de registrertes rettigheter er omfattende og krever høy spesialkompetanse og relativt store investeringer.
For øvrig har FHI følgende mer spesifikke merknader til de foreslåtte bestemmelsene:
Merknad til § 1-1 Formål 2. ledd: «Forskriften skal legge til rette for at medisinske kvalitetsregistre gjennom statistikker, analyser og forskning danner grunnlag for kvalitetsforbedring av helse- og omsorgstjenesten.»
FHI mener at formålet som her skisseres er for smalt. Registrene bør kunne brukes til annet enn kvalitetsforbedring av helse- og omsorgstjenesten. I et folkehelseperspektiv vil det være viktig å ikke miste muligheten til at registrene skal kunne brukes som kunnskapsgrunnlag for helsefremmende og forebyggende tiltak og beredskap også utenom helse- og omsorgstjenesten. Kvalitetsregistrene bør også bidra til forsvarlig og effektiv drift av helse- og omsorgstjenestene og folkehelsearbeidet utenfor tjenestene. Slik brukes de allerede i dag. Videre er det sentralt at registrene skal kunne brukes til forskning på årsaker til sykdom, skade og tidlig død. En mulighet ville være å legge til et nytt ledd som for eksempel: «Opplysninger i registeret skal også kunne benyttes til forebyggende arbeid og generell helseforskning.» Formålet vil da også være bedre harmonisert med forskriftene for andre nasjonale helseregistre.
Merknad til § 1-1 Formål 3. ledd: «Helseopplysninger som er samlet inn kan også brukes til planlegging, styring og beredskap i helse- og omsorgstjenesten.»
Det er viktig at registrene skal kunne brukes til andre formål enn kun innenfor helse- og omsorgstjenesten. Overvåkning av sykdomsforekomst i befolkningen bør også omtales. FHI foreslår følgende: «Helseopplysninger som er samlet inn kan også brukes til planlegging, styring, beredskap i helse- og omsorgstjenesten og til overvåkning av sykdomsforekomst i befolkningen.»
Merknad til § 1-3: Forbud mot kommersiell utnyttelse. «Kommersiell utnyttelse av de registrerte og helseopplysninger som sådan er forbudt.»
FHI anser at det kan være noe uklart hva som menes med «som sådan», og tenker det kan være hensiktsmessig å se an til hvordan dette fortolkes i helseforskningsloven (ref Helseforskningsloven §8).
Merknad til § 2-2, 2. ledd: «Den dataansvarlige skal ta i bruk nasjonale fellesløsninger for utsendelse av informasjon, reservasjon og innsyn der dette finnes og er relevant.»
Departementet ber om høringsinstansenes syn på forslaget om krav til nasjonale standarder, og om eventuelt andre standarder kan og bør pålegges, for eksempel medisinskfaglige standarder. FHI synes det er positivt at en stiller visse krav til bruk av nasjonale fellesløsninger. Dette vil gi større muligheter for samhandling mellom, og en bedre utnyttelse av registrene. Fellesløsninger kan, om de fungerer godt, også være kostnadseffektive. Det kan imidlertid tenkes tilfeller der tekniske eller økonomiske rammebetingelser gjør at det vil være lite hensiktsmessig/ikke praktisk mulig for enkelte registre å knytte seg opp mot større nasjonale aktører selv om det kan anses som relevant.
FHI foreslår derfor at en tar høyde for dette i ordlyden. En kan for eksempel skrive: «Den dataansvarlige skal ta i bruk nasjonale fellesløsninger for utsendelse av informasjon, reservasjon og innsyn der dette finnes og der dette er relevant og hensiktsmessig.» FHI mener for øvrig at det vil være lite formålstjenlig å ta inn krav om medisinskfaglige standarder i forskriftsform. Slike standarder må nødvendigvis være svært generelle på grunn av at registrene er svært ulike. Slike generelle standarder vil da sannsynligvis ikke få en praktisk betydning og kan da like godt utelates.
Merknad til § 2-3: Innmelding av opplysninger. Det er positivt at det pålegges meldeplikt til de nasjonale medisinske kvalitetsregistrene. Dette vil kunne øke innrapporteringsgraden. En begrensning av meldeplikten til de nasjonale registrene vil bidra til å redusere registreringsbyrden.
Merknad til 3. ledd: «Opplysningene kan meldes inn uten hinder av taushetsplikten når registreringen ikke har grunnlag i samtykke, jf. § 3-2. I andre tilfeller må innmeldingen være omfattet av den registrertes samtykke.» FHI er positive til at det åpnes for unntak fra taushetsplikten ved innmelding.
Merknad til § 3-1: Samtykke og til § 3-2: Adgang til å behandle opplysninger uten den registrertes samtykke.
FHI ser flere utfordringer med at samtykke skal være hovedregel for registrering, mens registering med reservasjonsrett kun blir mulig unntaksvis. Vi oppfordrer departementet til å vurdere om valget mellom samtykke og reservasjonsrett kan likestilles i forskriften. Et samtykke skal i henhold til personvernforordningen artikkel 4 nummer 11 være en frivillig, spesifikk, informert og utvetydig erklæring eller tydelig bekreftelse fra den registrerte, der vedkommende gir sitt samtykke til behandling av personopplysninger. Pasienten må kunne forstå hva opplysningene fra et register brukes til, allerede før opplysningene registreres. I en del sykdomssituasjoner (for eksempel ved akutte hendelser) vil pasientene ikke ha en reell mulighet til å sette seg inn i informasjonen som gis i forbindelse med innhentingen av et samtykke. Ved registering på bakgrunn av reservasjonsrett vil pasientene kunne få sette seg inn i informasjonen på et tidspunkt hvor de er mer mottagelige, for eksempel etter at den første akutte medisinske behandlingen er overstått. Registrering på bakgrunn av samtykke vil også kunne være utfordrende dersom det er behov for at personopplysningene skal brukes på en annen måte enn beskrevet da samtykket først ble innhentet. I en slik situasjon vil samtykke som oftest måtte innhentes på nytt. Ved reservasjonsrett vil informasjonsplikten også være tilstede, men man vil ikke trenge en aktiv tilbakemelding fra den registrerte.
FHI anser derfor at registering med gode reservasjonsløsninger som et godt alternativ til krav om samtykke for medisinske kvalitetsregistre. Ved å kombinere gode nasjonale løsninger for en generell reservasjon fra å bli registrert i medisinske kvalitetsregistre allerede før sykdom inntrer, for eksempel via Helsenorge.no, med enkle måter for reservasjon i forbindelse med en aktuell hendelse som gir grunnlag for å bli registrert i et konkret medisinsk kvalitetsregister (for eksempel innleggelse eller behandling), vil dette også kunne være en god personverngaranti for pasientene.
For øvrig vil forutsetningen for reservasjonsretten gjengitt i § 3-2 første ledd punkt a: «Krav om samtykke medfører at pasientgruppen og helsehjelpen ikke blir godt nok representert til at kvalitetsregisteret kan oppnå sitt formål» være vanskelig å håndheve. Hvordan og hvem skal bedømme at pasientgruppen og helsehjelpen ikke blir godt nok representert til at kvalitetsregisteret kan oppnå sitt formål? Nivået for å oppnå representativitet vil kunne variere mellom registre og mellom hvilke problemstillinger om skal belyses innad i et register. Deler av registre kan ha god kvalitet, mens andre deler kan ha dårlig kvalitet. Det er sannsynlig at de aller fleste registrene vil argumentere for at de ikke vil kunne få god nok representativitet uten fritak fra kravet om samtykke.
Videre, hva vil en gjøre når komplettheten til et register er blitt svært god ved registrering uten krav om samtykke? Skal registeret da miste muligheten til å registrere uten samtykke på grunn av at de da har oppnådd svært god representativitet? Eller vil de beholde muligheten for å registrere uten krav om samtykke for evig tid? Da vil det i så fall være gunstig å ha dårlig kompletthet/representativitet initialt for å oppnå mulighet for å registrere uten samtykke deretter. Resultater fra et register vil også, på tross av at de har oppnådd god dekningsgrad, for eksempel kunne estimere feil overlevelse for en tilstand, dersom det for eksempel er de 10% mest alvorlige sykdomstilfellene som ikke registreres på grunn av krav om samtykke.
Merknad til § 3-2, 1. ledd punkt d) «Den dataansvarlige for kvalitetsregisteret er et regionalt helseforetak, helseforetak, kommune, fylkeskommune eller privat ideell virksomhet med avtale med et regionalt helseforetak.»
Selv om FHI ikke yter helse- eller omsorgstjenester, mener vi at det på grunnlag av vår rolle, kompetanse og erfaring som dataansvarlig for nasjonale helseregistre kan være hensiktsmessig å vurdere om FHI også skal ha mulighet til å være dataansvarlig for kvalitetsregistre som ikke er underlagt § 11 i helseregisterloven.
Merknad til § 3-3: Virkning av å trekke samtykke tilbake eller å motsette seg behandling
Folkehelseinstituttet er positive til en bestemmelse om hvordan samtykket trekkes og at det settes en frist på 30 dager. En klargjøring av tidsfrister er spesielt viktig for eksempel ved behandling av opplysninger på en helseanalyseplattform. I hvilken grad dette er i tråd med personvernforordningen artikkel 6 nr. 1 bokstav a er antagelig ikke relevant da forskriftene har sitt rettslige grunnlag på personvernforordningen artikkel 6 nr. 1 bokstav e.
Merknad til § 3-4: Krav om dokumentasjon. «Før behandling av helseopplysninger tar til skal den dataansvarlige:
a) fastsette formålene for det medisinske kvalitetsregisteret, som skal være innenfor formålene i § 1-1,
b) fastsette kriterier for hvilke pasientgrupper og/eller behandlingsform som skal inkluderes i kvalitetsregisteret
c) fastsette hvilke opplysninger, som vil bli samlet inn og behandlet, og at opplysningene er nødvendige for å oppnå kvalitetsregisterets formål
d) dokumentere hvilke virksomheter som skal melde inn opplysninger
e) vurdere hvordan personvernkonsekvenser kan minimeres
f) dokumentere opprettelsen av et fagråd hvor fagmiljøet og pasientgruppen er representerte
g) gi informasjon til de registrerte i samsvar med § 3-5. Dersom opplysningene samles inn uten samtykke etter § 3-2, skal informasjonen gis så snart som mulig.
h) innhente samtykke fra de registrerte i samsvar med § 3-1, med mindre opplysningene kan behandles uten samtykke etter § 3-2
i) fastsette plan for hvordan andelen registrerte i kvalitetsregisteret skal bli høy nok til å representere pasientgruppen
j) fastsette prosedyrer for tilgjengeliggjøring av helseopplysninger
k) dokumentere at det ikke finnes overlappende registre
l) fastsette hvordan kravene til taushetsplikt, informasjonssikkerhet, internkontroll, kvalitetskontroll mv. etter EUs personvernforordning, helseregisterloven og denne forskriften, skal ivaretas.»
FHI mener det bør vurderes om det er nødvendig at alle punktene under til § 3-4 skal gjelde for kvalitetsregistre som ikke er nasjonale. For eksempel, første ledd: «Før behandling av helseopplysninger tar til skal den dataansvarlige f) dokumentere opprettelsen av et fagråd hvor fagmiljøet og pasientgruppen er representerte» Er dette ikke et urimelig krav at alle lokale/regionale kvalitetsregistre skal ha pasientgruppen representert? Og hvordan skal registrene i praksis kunne «k) dokumentere at det ikke finnes overlappende registre»? Hvordan er her «overlappende» definert? Hva skal til for at to registre skal være overlappende?
De fleste andre krav som ligger under § 3-4 kreves for øvrig allerede via den europeiske menneskerettighets konvensjonen art 8 (vedrørende retten til privatliv) og personvernforordningen. Det kan derfor diskuteres om det er nødvendig at alle formkravene som gjengis her skal legges inn under forskriften.
Merknad til § 3-5: Informasjon til de registrerte
Første ledd: «Den dataansvarlige skal sørge for at de registrerte får den informasjonen som er nødvendig for at de skal få innsikt i hva samtykket og retten til å motsette seg innebærer. Informasjonen som gis skal være i samsvar med EUs personvernforordning artikkel 13 og 14.» Bør det her beskrives/omtales ev. legges noen føringer for hva som er tilstrekkelig for formidling av informasjon til de registrerte? Bør det utarbeides en felles praksis? En bør i så fall tenke på hva som er praktisk gjennomførbart for registre som til dels har pasienter på mange ulike institusjoner på ulike nivå (fastlegekontorer, sykehjem, sykehus). Er det tilstrekkelig at informasjonen er tilgjengelig på registrenes nettsider? Eller er det tilstrekkelig med informasjon på Helsenorge.no? Bør det deles ut informasjon i papirform på sykehusene? Eller skal det være i form av oppslag på legekontorer? Å la dette bli opp til registrene selv vil sannsynligvis skape mye usikkerhet og føre til ulik praksis.
Til § 3-5 siste ledd: «Når foreldre eller andre med foreldreansvar har samtykket på vegne av en registrert og den registrerte blir 16 år, skal den registrerte få informasjon om behandlingen av helseopplysningene i kvalitetsregisteret, samtykket og retten til å trekke samtykket tilbake eller motsette seg behandling.» Det er positivt med en rettslig avklaring rundt samtykke, herunder at foreldre kan samtykke for barn frem til 16 år, videre at man ikke trenger et nytt samtykke.
Merknad til § 4-4: Tilbakerapportering
«Den dataansvarlige skal legge til rette for at virksomheter som melder inn helseopplysninger får tilgang til oppdaterte og relevante opplysninger for å kunne kvalitetsforbedre sine helse- og omsorgstjenester.»
FHI ønsker at det spesifiseres nærmere hva en forstår under tilbakerapportering. Hvor detaljert skal tilbakerapporteringen være? Rapportform eller tilbakerapportering av data? Hva regnes som er oppdatert og relevant informasjon? Innebærer bestemmelsen at man kan gjøre tilgjengelig personidentifiserbare data? Folkehelseinstituttet ønsker i så fall en presisering av det rettslige grunnlaget for unntak fra taushetsplikten.
Merknad til § 4-9: Kvalitetskontroll i registeret
FHI synes det er positivt at man legger til rette for kvalitetskontroll av helseopplysningene som behandles i registrene. Det er også positivt at den dataansvarlige kan gjennomføre rutinemessige sammenstillinger med tilsvarende opplysninger i lovbestemte registre etter helseregisterloven § 11 og Folkeregisteret. Det er svært viktig at registerdata kan kvalitetssikres opp mot flere kilder slik at en sikrer kompletthet og vil ivareta en effektiv kvalitetssikring av opplysninger i registrene.
Til siste ledd: Hva mener en med: «Dette skal skje hos virksomheten som har meldt inn opplysningene»? FHI ønsker at departementet spesifiserer nærmere hva som ligger i denne bestemmelsen. Skal en tolke dette slik at sekretariatet i kvalitetsregistrene skal kunne reise til virksomheten og kontrollere innmeldte opplysninger? Eller må de lokale registeransatte kontrollere sine egne innmeldte data? Dvs. kontrollere seg selv? Dette er i så fall ugunstig og krevende registerdriftsmessig. Det vil etter vår mening være mest hensiktsmessig om ansatte i nasjonale sekretariat kunne gjøre dette i tillegg til lokale registermedarbeidere. En vil da få muligheten for en ekstern vurdering av data.
Merknad til § 5-2: Kryptering og tilgang til opplysninger. «Fødselsnummer og andre direkte personidentifiserende kjennetegn skal separeres og lagres kryptert og adskilt fra andre registeropplysninger.
Bare autorisert personell som utfører tjenester eller arbeid mot registeret og arbeider under den dataansvarlige eller databehandlers instruksjonsmyndighet, kan gis tilgang til identifiserende opplysninger i registeret. Tilgangen kan ikke være mer omfattende enn det som er nødvendig for vedkommende sitt arbeid.
Bare spesielt autoriserte personer som har behov for det i arbeidet, skal ha tilgang til ukrypterte helseopplysninger med direkte personidentifiserende kjennetegn (fødselsnumre eller annen personidentifikasjon).»
FHI mener at denne paragrafen kan utgå. Forskriften bør være teknologinøytral. Tekniske løsninger endrer seg mye med tiden. Alle krav til informasjonssikkerhet er allerede spesifisert i § 5-1. Enkelte registre vil kunne oppfylle § 5-1 uten å følge alle spesifikasjonene oppgitt i § 5-2.