Innledning
I dette kapittelet vurderer vi om og hvordan dataansvaret for behandling av genomdata i registerløsningen bør reguleres.
I all behandling av person- og helseopplysninger er det krav om at det er en dataansvarlig. Den dataansvarlige har ansvaret for at behandlingen av person- og helseopplysninger er i samsvar med gjeldende regelverk. Personvernforordningen gir rammer for dataansvarliges plikter og oppgaver, og legger opp til sanksjoner dersom pliktene ikke overholdes. Det er dermed behov for tydelige avklaringer av hvem som har ansvaret for genomdata som hører til genomregisteret. Det er knyttet en rekke plikter til dataansvarlig for behandling av helseopplysninger etter gjeldende rett, for eksempel tilgjengeliggjøring av data til formål som ligger innenfor det rettslige grunnlaget og ivaretakelse av de registrertes rettigheter, og det må være klart hvem som skal ivareta disse pliktene for genomdata.
Det er klart at den enkelte virksomhet er dataansvarlig for genomdata idet de samles inn ved den genetiske undersøkelsen som gjennomføres som ledd i helsehjelpen som ytes, dvs. der dataene "oppstår". Vurderingen av dataansvar her berører ikke ansvaret helsetjenesten har for innsamling av data. For ordens skyld presiseres også at ansvaret for dataene er et annet ansvar enn virksomhetenes og helsepersonellets ansvar for helsehjelpen og behandlingen av pasientene.
Spørsmålet som vurderes her er dataansvaret for genomdataene i genomregisteret som allerede er samlet inn, om dette ansvaret skal plasseres hos en annen enhet/organ enn den enkelte virksomheten som har samlet inn/generert data, og om ansvaret for genomdataene skal overføres til en annen dataansvarlig når genomdataene lagres i genomregisteret (som vi har foreslått at skal etableres med nytt rettslig grunnlag i pasientjournalloven). Det er også et spørsmål om dataansvaret skal knyttes opp til ulike typer behandling av genomdata, og til ulike formål - helsehjelp, kvalitetssikring og forskning (sekundærbruk). Det må vurderes hvilken løsning som best ivaretar det overordnede ansvaret for det aktuelle formålet for bruken av genomdata. For helsehjelp er det avgjørende at det gis tilgang til data tilstrekkelig raskt, mens for forskning og annen sekundærbruk er det blant annet viktig med kjennskap til hvilke data som det skal gis tilgang til (dataminimering).
I likhet med spørsmålet om etablering av genomsenteret, har også plasseringen av dataansvaret for genomregisteret en sammenheng med de vurderinger Helse Sør-Øst RHF gjør i sitt oppdrag. Dataansvaret må knyttes opp til en person eller organ, og det kan ha betydning for vurderingen av dataansvaret om genomsenteret skal etableres som en organisatorisk enhet som vil bli tillagt ansvar og oppgaver. I tillegg vil vurderingen av dataansvaret ha betydning for hvilke tekniske løsninger som er mulige for infrastrukturen som skal på plass. Et ledd i behandling av opplysningene er oppbevaringen av disse for de formålene de skal behandles for, og da er det en forutsetning at teknisk løsning understøtter at genomdata kan behandles for de spesifikke formålene. Det forutsettes at løsningen må kunne operere innenfor de juridiske rammene for helsetjeneste/pasientbehandling og forskning med tilfredsstillende informasjonssikkerhet og personvern.
Gjeldende rett
Krav til behandlingsansvarlig og databehandler i personvernforordningen
I personvernforordningen er behandlingsansvarlig definert som en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes, jf. artikkel 4 nr. 7. Det er de faktiske forholdene som avgjør hvem som er behandlingsansvarlig. Hvem som er behandlingsansvarlig kan også fastsettes i lov eller forskrift, noe det finnes eksempler på i nasjonal kjernejournal og de lovbestemte helseregistrene.
Personvernforordningen er tuftet på ansvarsprinsippet, som innebærer at den behandlingsansvarlige har ansvar for at personvernprinsippene og enkeltbestemmelser i forordningen ellers etterleves. Dersom dette ikke skjer, kan den behandlingsansvarlige (eventuelt databehandler) bli ilagt store overtredelsesgebyrer, og eventuelt bli idømt erstatning.
Behandlingsansvarliges ansvar fremgår av artikkel 24. Sentrale plikter for den behandlingsansvarlige er blant annet å sørge for at all behandling av personopplysninger er i tråd med lover, forskrifter og eventuelle godkjenninger, sørge for tilfredsstillende informasjonssikkerhet og internkontroll. Behandlingsansvarlig har plikt til å vurdere personvernkonsekvenser og identifisere risikoreduserende tiltak. Dersom risikoen ikke kan håndteres på en tilfredsstillende måte av virksomheten, skal virksomheten gjennomføre forhåndsdrøftinger med Datatilsynet. Behandlingsansvarlig bør føre en protokoll over behandlingsaktiviteter som utføres under deres ansvar.
Personvernforordningen gir personer det er registrert opplysninger om (de «registrerte») en rekke rettigheter overfor den behandlingsansvarlige. Blant annet kan registrerte personer kreve innsyn i egne personopplysninger. Den behandlingsansvarlige har i tillegg plikt til på eget initiativ å gi registrerte en rekke opplysninger om hva og hvordan personopplysningene om de registrerte blir behandlet. Den enkelte registrerte kan også be om at opplysninger rettes, suppleres eller slettes, protestere mot at spesielt belastende opplysninger om dem blir behandlet, eller motsette seg helt automatisert behandling av personopplysninger. Den behandlingsansvarlig skal legge til rette for bruk av rettigheter, eventuelt ved å lage systemløsninger som gjør det lettere å bruke dem (for eksempel innsynsrutiner, rutiner for å gi og trekke tilbake samtykke).
Behandlingsansvarlig kan inngå avtale med en databehandler om behandling av personopplysninger, jf. personvernforordningen artikkel 4 nr. 2 og artikkel 28. Databehandleren kan bare behandle opplysningene «på dokumenterte instrukser» fra den behandlingsansvarlige, jf. artikkel 28 nr. 3 bokstav a og artikkel 29. Behandlingen skal være underlagt en kontrakt eller et annet juridisk dokument som er bindende for databehandleren. Databehandleren har ansvar for sin egen behandling av opplysningene og skal blant annet sørge for informasjonssikkerheten ved sin behandling av opplysningene, jf. artikkel 32.
Artikkel 26 regulerer krav for felles behandlingsansvar. Felles behandlingsansvar gjelder der to eller flere behandlingsansvarlige i fellesskap fastsetter formålene med og midlene for behandlingen. Det må skilles mellom felles behandlingsansvar og utlevering. Felles behandlingsansvar oppstår ikke automatisk ved at flere virksomheter er tilknyttet hverandre når de behandler personopplysninger. Ofte skjer det kun en utlevering av personopplysninger fra en behandlingsansvarlig til en annen behandlingsansvarlig. Felles behandlingsansvar kan bare oppstå dersom hver enkelt behandlingsansvarlig på egen hånd har lovlig adgang til å behandle de konkrete personopplysningene. De må fastsette sitt respektive ansvar for å overholde personvernforordningen, for eksempel i avtale. Datatilsynet skisserer som eksempel at det kan oppstå et felles behandlingsansvar hvis flere behandlingsansvarlige lager en felles infrastruktur eller informasjonssystem for å behandle personopplysninger[69]. Ved bruk av felles informasjonssystem har ofte flere virksomheter gått sammen og bestemt hva slags opplysninger som skal lagres i systemet, lagringstid og hvem skal ha tilgang. Virksomhetene bestemmer i felleskap formålet med å bruke systemet og de avgjørende midlene ved behandlingen.
Det europeiske personvernrådet har gitt ut en retningslinje om dataansvar og databehandler "Guidelines 07/2020 on the concepts of controller and processor in the GDPR"[70].
Pasientjournalloven og helseregisterlovens bestemmelser om dataansvar
Definisjonen av dataansvarlig i pasientjournalloven § 2 bokstav e og helseregisterloven § 2 bokstav d viser til definisjonen i personvernforordningen. Begrepet "dataansvarlig" tilsvarer begrepet "behandlingsansvarlig" etter personvernforordningen. Dataansvarlig brukes som begrep i helselovgivningen for å skille behandling av opplysninger fra medisinsk behandling av pasienter. For behandlingsrettede helseregistre er den enkelte virksomhet som hovedregel dataansvarlig, for eksempel helseforetaket som behandler helseopplysninger i forbindelse med at det gis helsehjelp, jf. også pasientjournalforskriften § 3. Et eksempel på et særskilt regulert dataansvar, har vi i kjernejournalforskriften for nasjonal kjernejournal. Her fremgår det av § 2 at Norsk Helsenett SF er dataansvarlig.
Av pasientjournalloven § 19 følger det at dataansvarlige skal sørge for at relevante og nødvendige helseopplysninger er tilgjengelig for helsepersonell og annet samarbeidende personell når dette er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til den enkelte. Det må skje innenfor rammen av taushetsplikten. Det er typisk for informasjonsdeling innad i helsetjenesten ved helsehjelp, men delingen kan også skje på tvers av virksomheter. Kravet om nødvendighet må vurderes konkret og den som får tilgang må ha et tjenstlig behov. Dataansvarlig bestemmer på hvilken måte opplysningene skal gjøres tilgjengelig, samtidig som informasjonssikkerheten ivaretas[71]. For andre formål enn helsehjelp, reguleres tilgangen til opplysningene fra behandlingsrettede registre av pasientjournalloven § 20. Det kan for eksempel være til helseforskning. Slik tilgjengeliggjøring krever samtykke fra den enkelte, eller at det er fastsatt i lov eller forskrift. Et slikt eksempel er dispensasjon fra taushetsplikten etter helsepersonelloven § 29.
For helseregistre med hjemmel i helseregisterloven følger det av § 8 at forskriften som gis for det aktuelle helseregistre skal angi hvem som er dataansvarlig. Dataansvarlig har ansvar for å tilgjengeliggjøre opplysninger fra de registrene de har ansvaret for, jf. helseregisterloven §§ 19 flg. Dataansvarliges plikter kan også følge av de enkelte forskriftene, eksempelvis når det gjelder de lovbestemte helseregistrene.
Det stilles krav om blant annet informasjonssikkerhet og internkontroll for dataansvarlig etter både pasientjournalloven og helseregisterloven, se nærmere om dette i kapittel 4.13.
Vurdering av etiske prinsipper
Spørsmålet om dataansvar er i seg selv et snevrere spørsmål enn etablering av genomsenter og genomregister. Selv om disse spørsmålene kan sees i sammenheng, og kan ha betydning for den etiske vurderingen, er det sentrale ved vurderingen av dataansvaret at lovpålagte oppgaver for behandling av genomdataene ivaretas. Ved vurdering av dataansvaret er det særlig de etiske prinsippene om tillit og selvbestemmelse som peker seg ut. Tillit er beskrevet som en forutsetning ved det menneskelige liv og i all etisk og politisk refleksjon, særlig i asymmetriske forhold som kjennetegner forholdet mellom en pasient og helsetjenesten, og spesielt i situasjoner med bruk av avansert teknologi hvor det ikke er mulig å ha full oversikt og kontroll for den registrerte enkeltpersonen. For den enkelte er det vesentlig at dataene ivaretas trygt og at dataansvarlig er i stand til å ivareta sine forpliktelser.
Det er aktuelt for genomregisteret å kunne ha data fra pasienter som får helsehjelp gjennom et behandlingsopplegg som inkluderer genomdata, forskningsdeltakere som også får helsehjelp, for eksempel gjennom kliniske studier, og fra frivillige forskningsdeltakere som rekrutteres direkte til forskningsprosjekt som inkluderer genomdata. Et genomregister kan dermed bestå av data fra ulike grupper med ulike forhold av etisk relasjon til registeret. Felles for alle data i et genomregister, er at de skal kunne gjøres tilgjengelig for flere aktører og til flere formål. Den dataansvarlige skal bl.a. vurdere risiko ved slik tilgjengeliggjøring og har også en rekke andre plikter. Personvernforordningen gir personen som har avgitt data (den registrerte), en rekke rettigheter, som igjen medfører plikter for den dataansvarlige.
Dersom personer som har data i genomregisteret skal ha mulighet for å kunne utøve noen grad av selvbestemmelse om bruk av data, må de ha informasjon om dataansvarlig og databehandlere, hvilke plikter disse har, og hvor den registrerte skal henvende seg for å for eksempel rette opplysninger. Det betyr at det må eksistere lett tilgjengelig informasjon om genomsenterets rolle og ansvar, hvordan informasjonen håndteres, og hvordan den enkelte kan ta kontroll over sin egen informasjonen gjennom begrensninger og å kunne trekke seg. Like viktig er informasjonen om hvem som har tilgang til hvilke data, og under hvilke betingelser, og hvordan denne bruken kontrolleres. Slik informasjon må formuleres enkelt og oversiktlig for at den skal kunne bygge og opprettholde tillit. Hvis ansvarsforholdene som etableres blir for kompliserte, kan det svekke tilliten som den enkelte personen har til systemet, og redusere deres mulighet til selvbestemmelse.
Siden det vil være aktuelt å samle og tilgjengeliggjøre genomdata over mange år, må en ha tydelige retningslinjer for hvordan data håndteres når en "deltaker" dør. Disse retningslinjene må inngå i samtykkeskrivet til deltakerne, og eventuelt inneholde valgmuligheter for deltakerne når det gjelder hvordan ens data skal håndteres etter ens død.
Vurdering og anbefaling
Oppsummering
Som presisert innledningsvis innebærer ikke vurderinger om plassering av dataansvar føringer eller endringer i hvordan helsehjelpen gis, eller hvor sekvenseringen av genomet foregår. Valg av dataansvarlig har i utgangspunktet heller ikke innvirkning eller føring på hvor data fysisk lagres. Det er også et viktig premiss for vurderingen at plassering av dataansvaret ivaretar behovene i helsetjenesten for rask og effektiv tilgang til genomdata, særlig å kunne sammenlikne genomdata på tvers av foretak. I tillegg må sekundærbruk håndteres effektivt og hensiktsmessig.
Det finnes ulike alternativer for plassering av dataansvar for behandling av genomdata. Av hensyn til den registrerte, kontroll og ansvar for databehandlingen og tilliten i samfunnet vurderer Helsedirektoratet at det bør fremgå tydelig av lov eller forskrift hvem som er dataansvarlig for et genomregister.
Genomdata må kunne brukes både til helsehjelp og forskning mv. Ved samling av opplysningene i ett register vil bruken skille seg fra hvordan data fra andre helseregistre brukes. Behovet for at genomdata kan brukes i helsetjenesten taler etter vårt syn for at registeret håndteres i nær tilknytning til helsetjenesten. Erfaring viser at nærhet til faget og eget ansvarsområde gir den dataansvarlige bedre grunnlag for utviklings- og kvalitetsforbedringsarbeid, og bidrar til at et register faktisk tjener de formål de er opprettet for[72]. Registerforvaltning knyttet til sekundærbruk av genomdata vil imidlertid kunne være relativt lik annen registerforvaltning, slik dette gjøres i de lovbestemte helseregistrene. For helsehjelp er det avgjørende at tilgang til og deling av genomdata mellom virksomheter skjer tilstrekkelig raskt på grunn av forsvarlighetskravet som stilles ved ytelse av helsehjelp. For forskning og annen sekundærbruk kan det blant annet være viktigere at dataene er standardiserte og strukturerte på en annen måte enn i helsehjelpssammenheng. Det kan også være behov for at forskere kan rådføre seg med ressurser med kompetanse på genomdata, blant annet for at det gis tilgang til riktig data og at dataminimeringsprinsippet kan ivaretas på en god måte.
Vi vurderer videre at det i hovedsak er fire alternativer som er aktuelle. For det første at dataansvaret plasseres hos én aktør. For det andre at dataansvaret deles mellom virksomhetene og genomsenteret om en felles løsning. For det tredje at dataansvaret ligger hos den enkelte virksomhet hvor helsehjelpen ytes og genomdataene genereres, med genomsenteret som databehandler på vegne av virksomhetene. For det fjerde at dataansvaret deles opp ut fra formålet med behandlingen av genomdataene; for helsehjelp (primærbruk) og forskning (sekundærbruk).
Vi anbefaler det førstnevnte alternativet, at dataansvaret er tydelig plassert hos en aktør og at dette er fastsatt i lov eller forskrift. Fra et personvernperspektiv er det avgjørende at ansvarsforholdene er avklart slik at det er forutsigbart for den enkelte og for samfunnet, i tillegg til dataansvarlig selv, hvem som er ansvarlig for de ulike forpliktelsene som følger av blant annet personvernforordningen. Hjemmel i lov og nærmere regulering i forskrift for både genomsenteret og tilhørende registerløsning kan legge godt til rette for at et nasjonalt genomsenter kan få ansvar for bruk og forvaltning av genomdata.
Samlet dataansvar hos én aktør
Vi vurderer at det er hensiktsmessig å samle dataansvaret for genomregisteret hos én aktør, for eksempel et genomsenter eller en annen organisatorisk enhet. For at genomsenteret skal kunne være dataansvarlig kan senteret eksempelvis etableres som en selvstendig juridisk person, eller være organisatorisk tilknyttet et regionalt helseforetak, slik som Kreftregisteret er per i dag[73]. Helse Sør-Øst peker på at oppdraget løses innenfor spesialisthelsetjenestens organisasjonsstruktur og det er foreløpig ikke planlagt per i dag å opprette et frittstående senter.
Det legges ikke føringer for hvem som kan være dataansvarlig i personvernforordningen utover at det må være tydelig hvilken fysisk eller juridisk person som innehar dataansvaret. Personvernkommisjonen peker på de tydelige oppsidene ved bruk av ny bioteknologi, og at det er særlig viktig at personvern og informasjonssikkerhet ivaretas i utviklingen av slik teknologi[74]. De omtaler videre det offentliges bruk av personopplysninger i sin utredning. De skriver at det bør unngås tvil om dataansvaret ved bruk av ny teknologi og ansvar for store mengder sensitive data. Et av deres eksempler på at dataansvaret i større grad bør lov- eller forskriftsfestes, er der deling av data inngår som en del av et samarbeid mellom organer, og hvor uklarhet kan medføre alvorlige personvernkonsekvenser. Lov- eller forskriftsregulering vil innebære klarhet om forpliktelsene knyttet til dataansvaret hos det enkelte organ[75]. Dette alternativet for genomregisteret vil imøtekomme slike bekymringer.
Det bør være tydelig for de registrerte hvordan personopplysningene deres behandles. I personvernforordningen artikkel 5 bokstav a kommer dette kravet til uttrykk ved at personopplysninger skal behandles på en "åpen måte med hensyn til den registrerte" (prinsippet om åpenhet). For å oppnå dette kreves det blant annet informasjon om databehandlingen til den registrerte for at rettighetene skal være reelle. Dersom dataansvaret er plassert ett sted, kan det bli enklere tilgjengelig for befolkningen og den registrerte hvem som har ansvaret for genomdata uavhengig av om den registrerte er pasient eller forskningsdeltaker. Videre vil det kunne være ett sted å henvende seg om det oppstår spørsmål knyttet til informasjonssikkerhet (datakvalitet, integritet og tilgjengelighet).
Tydelig plassering av dataansvaret vil sikre at forpliktelsene etter personvernforordningen kan ivaretas på en enhetlig måte. Dette går ut på å vurdere personvernkonsekvenser av behandlingen, jf. personvernforordningen artikkel 35, sikre tilstrekkelig sikkerhetsnivå, jf. personvernforordningen artikkel 32, ivareta kravene til innebygd personvern og personvern som standardinnstilling, jf. personvernforordningen artikkel 25, sikre at løsningene er tilrettelagt for at de registrertes rettigheter kan bli oppfylt, jf. personvernforordningen kapittel 3 og gi informasjon til de registrerte om hvordan personopplysningene behandles, jf. personvernforordningen artikkel 13. Plassering av ansvaret hos en aktør vil kunne forhindre ulike vurderinger av disse kravene, og gi grunnlag for likebehandling og hindre ulik praktisering av reglene. Det vil kunne være enklere å forvalte opplysninger fra registeret til både primærbruk og sekundærbruk og på en enhetlig måte. Eksempelvis for tilgjengeliggjøring av data til EHDS, 1+ Million Genomes og i andre samarbeid vil det være en fordel med én dataansvarlig. Omfanget av personopplysninger som vil behandles i et genomregister vil være stort, og omfatter særlige kategorier av personopplysninger. Det tilsier også at det ikke bør være uklarheter om hvem som har dataansvaret for personopplysningene.
Ved å legge dataansvaret til det nasjonale genomsenteret vil det være tydelig at senteret som dataansvarlig skal følge opp kravet om innebygget personvern ved utvikling av programvare, ved bestilling av system, løsninger og tjenester, og ved inngåelse av avtaler med leverandører. Det europeiske personvernrådet har gitt ut en retningslinje om "Privacy by design and default" som er relevant ved planleggingen av genomsenteret med tilhørende registerløsninger[76].
På samme måte som for andre forpliktelser som den dataansvarlige er pålagt, er det ikke noe i veien for at oppgavene kan håndteres av flere dataansvarlige i fellesskap. Det vil imidlertid innebære enklere og mer oversiktlig behandling av opplysningene dersom ansvaret er plassert ett sted.
Samarbeid mellom virksomhetene og genomsenteret om felles løsning – delt dataansvar
Pasientjournalloven § 9 gir adgang til å inngå samarbeid om behandlingsrettet register. For et genomregister kan en se for seg en løsning hvor de ulike helseforetakene og et genomsenter samarbeider om de ulike elementene av dataansvaret til et genomregister[77]. Selv om det finnes en hjemmel for denne typen samarbeider, vurderer vi som nevnt ovenfor at dette hjemmelsgrunnlaget ikke er tilstrekkelig for den omfattende datadelingen som det er beskrevet er nødvendig for genomdata, og at bruk av eksisterende hjemmel ikke vil gi tilstrekkelig demokratisk forankring.
Dataansvaret kan deles opp slik at den tekniske infrastrukturen (som ligger i eksempelvis genomsenteret) har ansvaret for de delene av dataansvaret som gjelder informasjonssikkerhet mv. og at denne delen av dataansvaret generelt er avgrenset mot behandling av personopplysninger som forutsetter helsefaglige vurderinger.
Helsetjenesten i hele landet skal være likeverdig slik at det ikke kan være frivillig å delta i samarbeidet. Et slik samarbeid må omfatte samtlige virksomheter hvor helsehjelp med genomdata ytes, i tillegg til den virksomheten som skal ha ansvar for informasjonssikkerhet mv. For at det skal være transparent hvem som inngår i samarbeidet kan det fastsettes i lov/forskrift hvem som er ansvarlig for hvilke deler av dataansvaret. Det vil likevel være behov for skriftlige avtaler mellom partene som regulerer samarbeidet, blant annet for å sikre tydeliggjøring av forpliktelser og oppgaver/aktiviteter for å oppfylle dataansvaret.
Det må bestemmes hvem som skal beslutte tilgang til genomdata for sekundærformål. Denne funksjonen kan legges til Helsedataservice for å få ett kontaktpunkt og enhetlig forvaltning. Det bør ikke være de ulike helseforetakene som skal avgjøre dette fordi det vil bli en fragmentert håndtering og lite hensiktsmessig organisering.
Dataansvaret ligger hos den enkelte virksomhet med genomsenteret som databehandler
Et annet alternativ er at dataansvaret for genomdata forblir i virksomhetene (sykehusene) hvor helsehjelpen ytes og infrastrukturen (genomsenteret) blir en databehandler på vegne av virksomhetene. En slik løsning vil kunne håndteres effektivt av databehandler og styres gjennom databehandleravtaler. Det vil kunne kreve et omfattende samarbeid mellom databehandler og alle virksomhetene i Norge hvor det foretas genomundersøkelser. En slik løsning vil kunne medføre utfordringer når det skal fattes felles beslutninger og gå på bekostning av en effektiv styring. Dette alternativet samsvarer med gjeldende rett for behandlingsrettede registre, og innebærer ikke noe endring av dataansvaret. Det gir dermed en forutsigbarhet for pasientene. Dette argumentet bør ikke tillegges stor vekt fordi god og tilstrekkelig informasjon til pasientene om behandling av opplysningene vil kunne imøtekomme innvendingen.
I stedet for databehandleravtaler kan det fastsettes i lov eller forskrift hvem som er databehandler og hva som er databehandlers oppgaver på vegne av dataansvarlig. Forskriftsregulering er en fordel for å sikre at rammene for behandling av opplysningene hos databehandler blir likt uavhengig av den enkelte dataansvarlig.
Forskriftsfesting av dataansvaret er valgt for registeret for tolkede genetiske varianter jf. pasientjournalloven § 9 a. Dataansvaret for dette registeret er lagt til virksomheter som gjør undersøkelser etter bioteknologiloven §§ 4-1, 5-1 annet ledd bokstav a eller 5-1 annet ledd bokstav b. Med andre ord legges det opp til delt dataansvar for dette registeret. En viktig forskjell fra enkeltvariantregisteret er at et helseregister med genomdata vil ha en større mengde opplysninger, og at opplysningene genereres ved langt flere virksomheter fordi genomdata kan komme fra mange områder som kreftbehandling, mikrober og så videre.
For dette alternativet bør det også etableres en effektiv prosess for tilgjengeliggjøring av genomdata til forskning og andre sekundærformål, som ikke fordrer at hver enkelt dataansvarlig skal vurdere om vilkårene for tilgjengeliggjøring til spesifikke formål er oppfylt. Helsedataservice[78] kan være aktuell som vedtaksmyndighet for avgjørelser om tilgang til genomdata på vegne av de dataansvarlige. Se mer om dette i kapittel 4.8.
Dataansvaret deles i to – behandlingsrettet register og helseregister for sekundærbruk
Det kan vurderes en modell med to ulike registre med ulike dataansvarlige for et behandlingsrettet helseregister (eksempelvis dataansvaret ligger i tjenesten som i dag eller samles hos genomsenteret) og helseregister for sekundærbruk hvor dataansvaret legges til for eksempel Folkehelseinstituttet eller genomsenteret[79]. En slik modell vil samsvare med gjeldende organisering og regulering.
En slik løsning innebærer at dataansvaret knyttes opp til de ulike formålene for bruk - helsehjelp, kvalitetssikring og forskning og annen sekundærbruk. Det kan være at det er ulike behov som er sentrale ut ifra for hvilket formål genomdataene skal behandles. For helsehjelp er det avgjørende at tilgang til og deling av genomdata mellom virksomheter skjer tilstrekkelig raskt på grunn av forsvarlighetskravet. For forskning og annen sekundærbruk kan det blant annet være viktigere at dataene er standardiserte og strukturerte på en annen måte enn i helsehjelpssammenheng. Det kan også være behov for at forskere kan rådføre seg med ressurser med kompetanse på genomdata, blant annet for at dataminimerings-prinsippet kan ivaretas og tilgjengeliggjøring av genomdata begrenses til det som er nødvendig for det spesifikke formålet. Datasettene vil, med andre ord, kunne kreve noe tilrettelegging ut ifra sine respektive formål, det vil si at bruk av data til hhv. helsehjelp og forskning sannsynligvis vil kreve noe bearbeiding og at det eksempelvis stilles ulike krav til datakvalitet for de ulike formålene. Mulige problemstillinger for dette alternativet er at hele eller deler av datasettet må dupliseres og lagres flere steder. Som tidligere nevnt, krever genomdata stor lagringskapasitet og det kan bli utfordrende å måtte lagre i all hovedsak de samme dataene flere ganger. Både av hensyn til datakvalitet og klima bør en slik løsning unngås. Også for dette alternativet bør det vurderes at myndighet til å ta avgjørelser om tilgjengeliggjøring av genomdata til forskning og andre sekundærformål samles ett sted, eksempelvis legges til Helsedataservice. Se mer om dette i kapittel 4.8.
[71] I Prop. 72 L (2013–2014) punkt 11.3.6 angis viktige prinsipper om adgangen til å tilgjengeliggjøre opplysninger, blant annet at tilgjengeliggjøring kan skje ved en teknisk løsning for tilgangsstyring som tillater at helsepersonellet selv kan tilegne seg opplysninger innen rammen av den tilgangen de er gitt.
[73] Kreftregisteret skal overføres til Folkehelseinstituttet fra 1. januar 2024.
[74] NOU 2022:11 Ditt personvern – vårt felles ansvar, kapittel 5.2.4, side 53–54.
[75] NOU 2022:11 Ditt personvern - vårt felles ansvar, kapittel 6.4.3, side 77–78.
[77] Denne modellen tar utgangspunkt i hvordan dataansvaret er løst mellom kommuner, helseforetak og Helseplattformen AS i Helse Midt-Norge.
[78] Helsedataservice planlegges overført til FHI fra 1.1.24.
[79] Folkehelseinstituttet er dataansvarlig for mange lovbestemte helseregistre, og får fra 1.1.24 også dataansvaret for Norsk pasientregister, Kommunalt pasient- og brukerregister og Kreftregisteret.