Tid og sted for prøveforelesning
Bedømmelseskomité
- Professor Dag Elgesem, Universitetet i Bergen (leder)
- Professor Mette Hartlev, Københavns Universitet
- Professor Professor Elisabeth Rynning, Universitetet i Uppsala
- Instituttleder Kristian Andenæs, Universitetet i Oslo
Leder av disputas
Instituttleder Ole-Andreas Rognstad
Veileder
Sammendrag
Avhandlingen er en tverrfaglig analyse av mulighetene for å kontrollere tilgang til helseopplysninger, med særlig vekt på de sammenhengene der ulike aktører har behov for de samme opplysningene. Hovedperspektivet er berettiget tilgang og videreformidling, altså den bruk av opplysninger som normalt skal eller bør finne sted. Det innebærer også at analysens mål først og fremst er å vurdere mulighetene for hensiktsmessig kontroll av de store datavolumene. Atypiske tilfeller og særskilt kompliserte gråsoner vies mindre oppmerksomhet.
Det sentrale forskningsspørsmålet er ”hvilke teknologiske representasjoner er best egnet til å uttrykke og håndheve ulike sider ved reguleringen av tilgang til og videreformidling av helseopplysninger”? Denne reguleringen har to hovedkomponenter. Den ene er generelle krav til tilgangskontroll som en del av virksomhetens informasjonssikkerhetsarbeid, den andre er konkrete regler om når det kan gjøres unntak fra taushetsplikten, og på hvilke betingelser.
Kravene til informasjonssikkerhet er forankret i personopplysningsretten, og basert på internkontroll som reguleringsmetode. Denne formen for regulering gir prosessregler som er svært fleksible, og gir virksomhetene stort handlingsrom. Taushetsplikten, som primært er regulert i helsepersonelloven, er i utgangspunktet individuell. Den binder hver enkelt som behandler helseopplysninger. Unntakene er i prinsippet uttømmende regulert, selv om det i praksis ligger noe fleksibilitet i at det ofte er en skjønnsmessig vurdering hvorvidt en unntakssituasjon faktisk har inntruffet.
I avhandlingen legges det vekt på å tydeliggjøre forskjellene mellom disse to hovedkomponentene i reguleringen, selv om det også trekkes frem enkelte forhold som minsker avstanden mellom dem. Et forhold som minsker denne avstanden er at virksomhetene er pålagt å sørge for å legge til rette for at taushetsplikten blir overholdt. Et annet slikt forhold er at det både innen personopplysingsretten og helseretten finnes begrensede, men viktige, rettigheter til kontroll og medvirkning for pasienten. Likevel er det avstanden mellom disse to hovedkomponentene som er mest slående.
Den teknologiske innfallsvinkelen i avhandlingen er en drøfting av autorisasjonsprinsipper, og hvordan de ulike trekkene ved reguleringen kan representeres i tilgangskontrollmekanismer. Beskrivelsene av representasjonsmåter er lagt på et relativt generelt nivå, og ikke knyttet til konkrete produkter eller implementasjoner. Autorisasjonsprinsippene er vurdert og sammenlignet ut fra kriterier som er utarbeidet og begrunnet gjennom avhandlingens innledende deler. Hvert av prinsippene har sterke og svake sider, ingen av dem peker seg ut som overlegent bedre enn de andre.
Summary.
The thesis is a cross-disciplinary analysis of the possibilities for controlling access to personal health data, in particular when different institutions or health care professionals need access to the same set of data. The thesis concentrates on legitimate data access and disclosure, thus implicating that the analysis primarily assesses the possibilities for suitable and sufficient ways to control the flow of health data at large. Unusual cases or particularly complicated grey areas are paid minor attention.
The primary research question is “what kind of technological representations will express and enforce the regulations pertaining to health data access control in the most optimal way”? These regulations can be divided into two main components. One is the enterprise’s access control requirements, which are part of the information security regulations. The other is the relevant legislation regulating exceptions to the general secrecy obligations of the medical professions.
The information security regulations are laid down in data protection law, and they are based on internal control as a methodological principle. Thus information security regulations are flexible procedural rules that allow individual enterprises to work out their own risk assessments and control measures to a certain degree. On the other hand, the secrecy obligation, as laid down in the Health Personnel Act, is an individual obligation on each person who process personal health data. The exceptions to the secrecy obligations are exhaustive, although some flexibility can be read into the fact that there is often a discretionary assessment whether a situation calling for an exception to the secrecy obligation has actually occurred.
The thesis puts a large emphasis on elucidating the differences between these two main components of the relevant regulation. Yet, some circumstances are also described which diminish the differences between them. One is the enterprise’s obligation to see to it that the conditions are favourable for compliance with the individuals’ obligations of secrecy. Another circumstance is that both data protection law and health law provides limited, yet important, means for the patients themselves to decide or participate in decisions concerning processing of their personal data. Still, the differences between these two components of regulations are more striking than their similarities.
The technological approach of the thesis is a comparison of authorization principles, discussing how the regulations can be represented in access control mechanisms. The different ways of representing authorizations are described at a general level. The different authorization principles are assessed and compared on the basis of criteria which are compiled and motivated throughout the opening parts of the thesis. Each principle has both strengths and weaknesses. Different principles are more or less suited for different purposes or concerns, but no single principle appears to be outstanding or superior.