Del 5
Noen fellesspørsmål

22 Informasjon og innsyn

Rett til innsyn i egen pasientjournal og andre registre med opplysninger som kan knyttes til en selv, er grunnleggende i helse- og omsorgssektoren. Den registrerte skal ha rett til å få vite hvilke helseopplysninger om ham eller henne som er registrert, og hvem som har fått se opplysningene.

Departementet foreslår at den registrerte skal få samme innsynsrett i logg i helseregistre hjemlet i helseregisterloven, som pasienter har i behandlingsrettede helseregistre. Den registrerte får rett til innsyn i hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til den registrertes navn eller fødselsnummer. Se forslaget til ny helseregisterlov § 24 andre ledd.

For øvrig foreslås å videreføre gjeldende rettigheter knyttet til informasjon, innsyn, retting, sletting og sperring av helseopplysninger som registreres i medhold av de to foreslåtte lovene.

22.1 Gjeldende rett

Alle har, med noen få unntak, rett til innsyn i pasientjournaler og andre helseregistre etter helseregisterloven, personopplysningsloven, helsepersonelloven, pasient- og brukerrettighetsloven og etter pasientjournalforskriften. Retten er generell og avhenger av om det faktisk er registrert opplysninger som kan knyttes til personen, ikke hvor eller i hvilket system opplysningene er registrert.

Den databehandlingsansvarlige for det aktuelle helseregisteret har ansvar for å gi den registrerte innsyn i behandlingen av helseopplysninger om seg selv.

Helseregisterloven §§ 21 til 25 har regler om informasjon og innsyn i helseregistre. Disse reglene korresponderer med personopplysningsloven §§ 18, 19, 20 og 23.

22.1.1 Helseregistre

Det følger av helseregisterloven § 21 at enhver som ber om det har rett til generell informasjon om helseregistre og behandlingen av helseopplysninger. Dette gjelder både behandlingsrettede helseregistre og andre helseregistre.

For behandlingsrettede helseregistre gjelder innsynsreglene i pasient- og brukerrettighetsloven § 5-1 og helsepersonelloven § 41, jf. helseregisterloven § 22 første ledd, se punkt 22.1.2.

Når det gjelder helseopplysninger som behandles etter helseregisterloven §§ 5, 6 a, 6 c, 6 d, 7 og 8, har den registrerte i tillegg innsynsrett i konkrete helseopplysninger og behandling av helseopplysninger om seg selv, jf. helseregisterloven § 22 andre ledd.

Helseregisterloven § 25 andre ledd unntar enkelte typer opplysninger fra innsyn, blant annet dersom det anses utilrådelig at den registrerte får kjennskap til opplysningene, av hensyn til vedkommendes helse eller forholdet til personer som står vedkommende nær.

22.1.2 Behandlingsrettede helseregistre

Helseregisterloven § 22 første ledd fastslår at innsyn i behandlingsrettet helseregister skal skje etter bestemmelsene i pasient- og brukerrettighetsloven § 5-1 og helsepersonelloven § 41.

Det er noen unntak fra innsynsretten i pasient- og brukerrettighetsloven § 5-1 andre ledd. Pasienten kan nektes innsyn i opplysninger dersom dette er påtrengende nødvendig for å hindre fare for liv eller alvorlig helseskade for pasienten selv, eller innsyn er klart utilrådelig av hensyn til personer som står pasienten nær.

Når det gjelder barn under 16 år, har foreldre som hovedregel rett til informasjon og innsyn i barnets journal, jf. pasient- og brukerrettighetsloven § 3-4 første ledd, jf. pasient- og brukerrettighetsloven § 5-1 fjerde ledd. Barn mellom 12 og 16 år har en viss grad av selvstendig innsynsrett. Foreldre har ikke rett til innsyn når pasienten er mellom 12 og 16 år, dersom pasienten av grunner som bør respekteres ikke ønsker at foreldrene skal informeres, jf. § 3-4 andre ledd. Barn over 16 år har selvstendig innsynsrett i sin journal på lik linje med myndige.

Den registrerte har i medhold av helseregisterloven § 13 sjette ledd, en særlig rett til innsyn i hvem som har hatt tilgang til eller fått utlevert opplysninger om vedkommende i et behandlingsrettet helseregister (logg).

Det følger også av pasientjournalforskriften § 8 bokstav l at journalen skal inneholde opplysninger om utveksling av informasjon med annet helsepersonell. Innsyn i journalen vil dermed også gi rett til å få disse opplysningene.

22.2 Ulike former for logging

To ulike former for logging er beskrevet i Meld. St. 11 (2012−2013) Personvern – utsikter og utfordringar:

Det er viktig å skilje mellom nettverksbasert logging og innsynslogging. Den nettverksbaserte logginga inneber at dataflyten inn i og ut av nettverket blir logga. Dette kan medverke til at datainnbrot og virus blir oppdaga, og at mistenkjelege typar datatrafikk kan oppdagast og undersøkjast nærmare.

Innsynslogginga (som på fagspråket blir kalla klientbasert logging) er den som skjer internt i eit system. Innsynslogging omfattar mange ulike typar loggar. Typiske innsynsloggar er dei «som dokumenterer vellykkede og mislykkede innloggingsforsøk, brudd på rettigheter tildelt brukeren, oppnådd adgang til filområder, og andre hendelser på systemet». Med klientbasert logging kan ein mellom anna avdekkje såkalla «snoking» i registerarbeidet i denne fasen.

22.3 Høring

22.3.1 Forslaget i høringsnotatet

I høringsnotatet ble det foreslått å gi registrerte innsyn i logg i helseregistre, slik de i dag har i pasientjournaler. Forslaget var begrenset til hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til den registrertes navn eller fødselsnummer (direkte identifiserbare opplysninger). For øvrig ble det ikke foreslått endringer i gjeldende rett knyttet til innsyn, retting, sletting eller sperring av helseopplysninger som registreres i medhold av de to lovene.

22.3.2 Høringsuttalelsene

Ingen av høringsinstansene var imot forslaget om innsynsrett i logg i helseregistre.

Folkehelseinstituttet og Helse Bergen HF uttalte at forslaget var positivt, men at innsynsretten vil ha en administrativ og økonomisk kostnad for databehandlingsansvarlig. Per i dag har de ikke teknisk funksjonalitet for innsyn i alle registrene og dersom det blir mange forespørsler om innsyn i logg vil det være tidkrevende.

Folkehelseinstituttet uttalte følgende:

Folkehelseinstituttet er i utgangspunktet positive til innsyn i logg fra ikke-samtykkebaserte personidentifiserbare helseregistre. Dette forutsetter imidlertid en satsning på teknologiske løsninger. I dag foreligger det ikke krav om denne type logging for helseregistre hjemlet i helseregisterloven § 8. Helseregistrene er heller ikke strukturert slik at man lett kan lage slike innsynsløsninger. Vi ber om at det fremkommer tydelig hvilken ambisjon man skal ha for de eldre registrene. Det vil kreve store ressurser for å utvikle hensiktsmessige logger, løsninger for å avdekke misbruk og innsynsløsninger som gir mening for de registrerte. […] Samfunnsøkonomisk vil det være mest forsvarlig å gjøre dette i tråd med generelle moderniseringer i registrene og tillate en lengre overgangstid.

Folkehelseinstituttet påpekte videre:

For å gi de registrerte lett tilgang til egne helseopplysninger i sentrale helseregistre, bør det legges til rette for flere selvbetjenings/publikumstjenester som «Mine vaksiner». For å sikre fortgang i dette arbeidet bør dette fremmes som et satsningsområde og gjerne med lovbestemt rett for befolkningen til elektronisk lesetilgang til egne helseopplysninger i både sentrale helseregistre, medisinske kvalitetsregistre og behandlingsrettede helseregistre (pasientjournaler) innen en bestemt frist.

22.4 Departementets vurderinger

22.4.1 En forutsetning for selvbestemmelse

Rett til innsyn i egne helseopplysninger, og informasjon om hvem som har hatt tilgang til helseopplysninger om en selv, bidrar til å øke pasientens kontroll med opplysningene, og muligheten til å ivareta sine øvrige rettigheter til blant annet retting og sletting.

Dette er viktig for tillitsforholdet mellom pasient og helsepersonell. Det er også viktig for pasientmedvirkning og et sentralt element i personvernet.

Innsynsretten skal blant annet:

• sikre at pasienten er informert om egen helsetilstand og bedre kan ta informerte avgjørelser,

• sikre at opplysningene i registeret til en hver tid er korrekte og oppdaterte, og på den måten forhindre feilbehandling, og

• tilrettlegge for kommunikasjon mellom pasienten og helsepersonellet.

Retten til innsyn i egen journal har sitt utspring i Høyesteretts dom fra 25. oktober 1977 (RT-1977-1035). Dette ble senere inntatt i legeloven og nå i pasient- og brukerrettighetsloven.

Både samhandlingsreformen og helhetlig pasientforløp forutsetter at pasienter og brukere involveres i større grad enn tidligere. I Meld. St. 10 (2012−2013) God kvalitet – trygge tjenester var et av hovedmålene at helse- og omsorgstjenesten skulle sette pasienter og brukernes behov og ønsker i sentrum. I sin behandling av Innst. 250 S (2012−2013), sluttet Stortinget seg til dette.

At pasientene har kunnskap om, og innflytelse over, egne journalopplysninger er viktige forutsetninger for å kunne oppnå disse målene. Kunnskap om hva som står i journalen, mulighet til å få rettet feilaktige eller mangelfulle opplysninger, og mulighet til innflytelse over hvordan journalopplysninger tilgjengeliggjøres for helsepersonell i behandlingssituasjoner er sentrale stikkord i en slik sammenheng.

Det er den databehandlingsansvarlige som skal ivareta innsynsretten. Det skal klart fremkomme hvor pasienten eller andre kan be om innsyn dersom dette ansvaret er delt mellom flere (delt databehandlingsansvar), se punkt 12.1.4 om ansvaret ved samarbeid. Den databehandlingsansvarlige må sørge for å etablere enkle muligheter for at den enkelte kan få adgang til egne opplysninger. Det må legges til rette for at slikt innsyn også kan utføres ved bruk av elektroniske hjelpemidler. For at innsynsretten skal ivaretas fullt ut må det også være mulig å få utlevert de aktuelle opplysninger på papirutskrifter. Den databehandlingsansvarlig må derfor ha rutiner for håndtering av slike henvendelser.

22.4.2 Gjennomføring av innsynsretten

Det er ingen krav i loven til hvordan innsynsretten teknisk skal gjennomføres.

Per i dag kan det være vanskelig for virksomheten å gi de registrerte det innsynet de har krav på. Eksempelvis kan journalopplysninger være lagret i flere ulike journalsystemer i virksomheten.

For den registrerte kan det også være vanskelig å få en samlet oversikt fordi opplysninger kan være lagret i ulike virksomheter og i ulike helseregistre, med ulike databehandlingsansvarlige. Dersom den registrerte skal ha oversikt må vedkommende henvende seg til, og få utlevert informasjon fra, flere virksomheter.

Retten til innsyn forutsetter at opplysningene er tilgjengelige for den registrerte. Det innebærer at det skal både være enkelt å få tak i informasjonen, og at informasjonen er forståelig. I Meld. St. 9 (2012−2013) Én innbygger – én journal er digitale selvbetjeningsløsninger trukket fram som et virkemiddel for å gjøre kontakten med helse- og omsorgstjenesten lettere og gi grunnlag for mer delaktighet. Et konkret virkemiddel som er nevnt er at pasienter og brukere vil kunne få elektronisk innsyn i egne journalopplysninger. Stortinget sluttet seg til dette i sin behandling av Innst. 224 S (2012−2013). Se spesielt punkt 2.4 i innstillingen.

Innsyn gjennom nettløsninger og selvbetjeningsløsninger skal være universelt utformet, jf. diskriminerings- og tilgjengelighetsloven §§ 11 og 16 og forskrift om universell utforming av informasjons- og kommunikasjonsteknologiløsninger fra 2013. Disse reglene krever at IKT-løsningen som tilbys skal være tilgjengelig og kunne benyttes av flest mulig. Dette får betydning særlig for blinde og svaksynte, og stiller blant annet krav til nettløsning, brukergrensesnitt og utseende eller utforming av tekst.

22.4.3 Videreføring av gjeldende regler om informasjon og innsyn

Departementet foreslår at den alminnelige retten til informasjon og innsyn videreføres i begge lovene.

Datatilsynet mente at pasientjournalloven bør ha en bestemmelse som pålegger virksomheten en generell plikt til å sørge for at pasienter og brukere er tilstrekkelig informert om hvordan taushetsbelagte opplysninger behandles og i hvilke tilfeller de kan utleveres. Det bør også ifølge tilsynet fremgå av loven at det er plikt til å informere dersom pasientopplysninger spres til andre.

Departementet foreslår at det i pasientjournalloven og helseregisterloven vises til informasjonsplikten og innsynsretten i personopplysningsloven. Disse reglene omfatter også en rett til informasjon dersom opplysninger gis videre. I samsvar med lovens systematikk for øvrig gjengis i minst mulig grad bestemmelser i de nye lovene som tilsvarer bestemmelser i personopplysningsloven.

Departementet foreslår at pasientjournalloven skal vise til personopplysningsloven §§ 18 flg., pasient- og brukerrettighetsloven § 5-1 og helsepersonelloven § 41. Se forslaget til pasientjournallov § 18. Informasjon og innsyn når det gjelder andre helseregistre skal også følge bestemmelsene i personopplysningsloven, jf. forslaget til ny helseregisterlov § 24. Dette er en videreføring av gjeldende rett.

Departementet foreslår videre at pasientens rett til å kreve innsyn i opplysninger i logg presiseres i pasientjournalloven § 18, og at departementet skal kunne gi nærmere bestemmelser om innsyn i logg. Dette er også en videreføring av gjeldende rett.

Kravene til nettverksbasert logging følger av forslag til ny helseregisterlov § 21 om sikring av konfidensialitet, integritet og tilgjengelighet.

22.4.4 Innsyn i logg i helseregistre

Departementet foreslår at det lovfestes en rett til innsyn i logg, også i helseregistre som ikke er behandlingsrettede. Den registrerte gis rett til å kreve innsyn i hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til den registrertes navn eller fødselsnummer, jf. forslaget til ny helseregisterlov § 24 andre ledd. Departementet skal i forskrift kunne gi nærmere bestemmelser om innsyn i slike opplysninger. Denne innsynsretten skal gjelde registre som er etablert med hjemmel i forskrift etter den nye helseregisterloven §§ 8 til 11.

Den databehandlingsansvarlige skal sørge for at det føres oversikt over autorisert og uautorisert tilgang til helseopplysninger i journalen og andre helseregistre. Registrering av informasjon om hvem som har hatt tilgang til helseopplysninger, er et viktig element for å sikre den enkeltes personvern.

Innsyn i loggopplysninger øker kontrollen med egne helseopplysninger. Det vil blant annet kunne bidra til å avdekke om uvedkommende har hatt tilgang til helseopplysninger i journalen eller helseregistre. Den registrerte er derfor i gjeldende helseregisterlov § 13 sjette ledd gitt rett til «innsyn i logg fra behandlingsrettet helseregister om hvem som har hatt tilgang til helseopplysninger om ham eller henne».

Departementet mener at de samme hensyn gjør seg gjeldende for innsyn om hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til den registrertes navn eller fødselsnummer fra andre typer helseregistre. Dette gjelder særlig for helseregistre som inneholder helseopplysninger om store deler av befolkningen og som ikke bygger på samtykke.

Folkehelseinstituttet og Helse Bergen HF har i høringen påpekt at per i dag har ikke alle registre teknisk funksjonalitet for innsyn.

Uttrykket logg brukes om flere ulike former for registrering. Den vanlige språklige forståelsen innebærer en form for elektronisk registrering. Det sentrale med forslaget er imidlertid at det eksisterer en oversikt over hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til den registrertes navn eller fødselsnummer i helseregistre – og at den registrerte kan få denne oversikten.

Departementet er kjent med at enkelte registre av eldre dato ikke har teknisk funksjonalitet som gjør elektronisk innsynslogging mulig. Inntil slike løsninger foreligger vil manuell registrering være en forutsetning slik at den registrerte likevel kan få innsyn i hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til den registrertes navn eller fødselsnummer.

Departementet foreslår også at det også inntas en dispensasjonshjemmel i helseregisterloven § 24. Adgangen til å dispensere foreslås begrenset til særlige tilfeller og til å være tidsbegrenset.

Departementet vil bemerke at målet er at alle helseregistre skal ha gode elektroniske loggløsninger som er tilrettelagt for innsyn.

22.4.5 Opplysninger fra folkeregisteret – foreldres innsyn i sine barns opplysninger

Innsynsbestemmelsene i forslaget er teknologinøytrale. Departementet ønsker imidlertid at det legges til rette for elektroniske innsynsløsninger ved bruk av www.helsenorge.no. I den forbindelse reiser det seg enkelte utfordringer knyttet til autentisering og fullmakter hos blant annet foreldre som skal ha innsyn i opplysninger om sine mindreårige barn.

Departementet foreslår at det inntas en bestemmelse i pasientjournalloven § 18 andre ledd og i ny helseregisterlov § 24 tredje ledd om at den databehandlingsansvarlige, uten hinder av taushetsplikt, har rett til å innhente de opplysninger fra Det sentrale folkeregisteret som er nødvendige for å vurdere retten til innsyn.

Foreldre har, med noen unntak, rett til innsyn i sine barns opplysninger. Innsyn betinger at relasjonen mellom foreldre og barn kan dokumenteres. For å administrere en god elektronisk innsynsløsning som «Mine resepter», «Mine vaksiner» og «Min kjernejournal», er det behov for oppdatert informasjon om foreldreansvar fra en autoritativ kilde. Det samme gjelder for dokumentasjon av vergemål etter ny vergemålslov kapittel 4. Opplysninger om foreldreansvar og vergemål er taushetsbelagte folkeregisteropplysninger.

Departementet mener at det bør synliggjøres i helseregisterloven og pasientjournalloven, at det ikke er noe til hinder for at denne type opplysninger fra Det sentrale folkeregisteret kan behandles når det er nødvendig for å administrere innsynsløsninger.

23 Administrative og økonomiske konsekvenser

Lovforslagene innebærer ikke nye krav som gir administrative eller økonomiske konsekvenser, men åpner for større fleksibilitet i informasjonsbehandlingen og vil på sikt kunne gi effektiviseringsmuligheter.

23.1 Informasjonsdeling og samarbeid om behandlingsrettede helseregistre

Virksomheter som ønsker å ta i bruk de mulighetene loven åpner for, vil måtte påregne kostnader til tilpasning av de tekniske systemene og eventuelle organisatoriske endringer, se departementets forslag om informasjonsdeling og samarbeid i kapittel 11 og 12.

Lovforslagene følger opp Meld. St. 9 (2012–2013) Én innbygger – én journal, Meld. St. 10 (2012–2013) God kvalitet – trygge tjenester og Meld. St. 11 (2012–2013) Personvern – utsikter og utfordringar.

I de siste årene er det gjennomført flere endringer i regelverket om behandlingsrettede helseregistre. Det er i disse lovproposisjonene redegjort for økonomiske og administrative konsekvenser av endringer i journalsystemene. Nødvendige endringer i journalsystemene for å oppfylle krav i lovverket, vil skje som et ledd i det løpende arbeidet som pågår med å oppgradere eller skifte ut eksisterende elektroniske pasientjournalsystemer.

For å utnytte mulighetene som de nye lovforslagene åpner opp for, vil den enkelte virksomhet måtte foreta endringer i rutiner ved samarbeid med andre virksomheter. Etter forslaget vil det imidlertid være opp til den enkelte virksomhet å samarbeide med andre virksomheter om behandlingsrettede helseregistre. Lovendringene pålegger ikke virksomhetene økte kostnader eller endret drift av virksomhetene. I spesialisthelsetjenesten har det eksempelvis over tid pågått et langsiktig og omfattende arbeid med å skifte ut eksisterende elektroniske pasientjournalsystemer med nye systemer som har forbedret funksjonalitet og mulighet for tilpasning til det samarbeid lovendringen legger opp til. Dette arbeidet er planlagt og budsjettert uavhengig av foreliggende lovforslag.

Løsninger for enhetlige behandlingsrettede helseregistre kan bidra til lavere kostnader for den enkelte virksomhet ved at det kan etableres ett journalsystem med felles drift for alle deltagerne istedenfor ett journalsystem per virksomhet. I tillegg kan det ligge kostnadsbesparelser ved at kommunikasjon mellom helsepersonellet blir mer effektiv, for eksempel ved at behovet for papirutskrifter av journalopplysninger og bruk av papirbaserte meldeskjemaer reduseres.

Det er i Meld. St. 9 (2012 -2013) Én innbygger – én journal beskrevet behov for større grad av felles løsninger. Det er igangsatt et arbeid for å utrede alternative løsninger. Denne utredningen vil også vurdere økonomiske, administrative og organisatoriske konsekvenser av alternativene. Eventuelle økonomiske konsekvenser vil bli vurdert i forbindelse med de årlige budsjettforslagene

23.2 System for bivirkningsrapportering

Når det gjelder system for bivirkningsrapportering foreslås endring av hjemmelsgrunnlaget slik at det ikke lenger følger krav om samtykke, se kapittel 20. Dette innebærer ingen administrative eller økonomiske konsekvenser. Forskrift med endringer i system for bivirkningsrapportering, må utredes ytterligere. Forslag til forskrift vil bli sendt på høring på alminnelig måte.

24 Merknader til de enkelte bestemmelsene

24.1 Merknader til bestemmelsene i pasientjournalloven

Kapittel 1. Generelle bestemmelser

Til § 1 Formål

Bestemmelsen erstatter gjeldende helseregisterlov § 1. Bestemmelsen er mer spisset mot behandlingsrettede helseregistre enn gjeldende formålsbestemmelse.

Det overordnede målet med pasientjournalloven er at behandling av helseopplysninger skal skje på en måte som gir pasienter og brukere helsehjelp av god kvalitet. Det er derfor behov for at opplysningene er tilgjengelige for helsepersonell når de yter helsehjelp, jf. bokstav a. Behandlingen av helseopplysninger skal skje på en måte som gjør at relevante og nødvendige opplysninger på en rask og effektiv måte blir tilgjengelige for helsepersonell for å kunne gi helsehjelp, samtidig som vernet mot at opplysninger gis til uvedkommende ivaretas.

Behandlingen av helseopplysninger skal skje på en måte som sikrer pasienters og brukeres personvern og pasientsikkerhet, jf. bokstav b. Det er et avgjørende prinsipp i loven at tilgjengeligheten kun gjelder de opplysningene som er relevante og nødvendige for helsepersonell når de yter helsehjelp. Opplysningene skal ikke gis til andre. Dette presiseres i bestemmelsen. Vernet mot at opplysningene gis til uvedkommende, følger av reglene om taushetsplikt, forbud mot snoking, krav om tilgangskontroll og så videre.

At nødvendige og relevante helseopplysninger er tilgjengelige vil fremme pasientsikkerheten og helsehjelp av god kvalitet.

En stor del av pasientjournallovens bestemmelser skal sikre at personvernet samtidig ivaretas. Dette gjelder ikke bare krav til sikring av konfidensialitet, integritet og tilgjengelighet og krav om internkontroll, men også for eksempel retten til innsyn og retten til å motsette seg utlevering av helseopplysninger.

Behandling av helseopplysninger skal også skje på en måte som fremmer pasienter og brukeres rett til informasjon og medvirkning, jf. bokstav b. Loven skal derfor legge til rette for at innbyggerne får tilgang til egne helseopplysninger og øke mulighetene for aktiv deltakelse. Pasient- og brukerrettigheter er først og fremst regulert i pasient- og brukerrettighetsloven (rett til innsyn, rett til å motsette seg utlevering av helseopplysninger, osv.). Retten til medvirkning følger av pasient- og brukerrettighetsloven § 3-1. Pasientjournalloven § 18 slår fast retten til informasjon og innsyn. Det følger av pasientjournalloven § 7 at behandlingsrettede helseregistre skal være utformet og organisert slik at krav fastsatt i eller i medhold av lov kan oppfylles.

Se nærmere om formålet i punkt 9.3.

Til § 2 Definisjoner

Med helseopplysninger menes taushetsbelagte opplysninger etter helsepersonelloven § 21, og andre opplysninger og vurderinger om eller av betydning for helseforhold og som kan knyttes til en enkeltperson. Dette er en videreføring av definisjonen i gjeldende helseregisterlov § 2 nr. 1. For nærmere omtale, se Ot.prp. nr. 5 (1999–2000), kapittel 15.

Med behandling av helseopplysninger menes enhver bruk av helseopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter. Denne definisjonen er en videreføring av gjeldende helseregisterlov § 2 nr. 5. Teksten i bestemmelsen er justert i samsvar med definisjonen av behandling av personopplysninger i personopplysningsloven § 2 nr. 2.

Definisjonen av helsehjelp er i samsvar med helsepersonelloven § 3 tredje ledd. Med helsehjelp menes handlinger som har forebyggende, diagnostisk, behandlende, helsebevarende, rehabiliterende eller pleie- og omsorgsformål som utføres av helsepersonell. Hvem som er helsepersonell følger av helsepersonelloven § 3 første ledd.

Med behandlingsrettet helseregister menes pasientjournal- og informasjonssystem eller annet register, fortegnelser eller lignende, der helseopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen og som skal gi grunnlag for helsehjelp eller administrasjon av helsehjelp til enkeltpersoner. Dette omfatter også kvalitetssikring av helsehjelp til enkeltpersoner. Definisjonen tilsvarer gjeldende helseregisterlov § 2 nr. 7 når den leses i sammenheng med definisjonen av helsehjelp. Dette omfatter ifølge ordlyden også pleie- og omsorgsformål. Dette er ikke presisert i gjeldende helseregisterlov, men må innfortolkes ut fra sammenhengen med helsepersonelloven §§ 39 og 40, jf. § 3 tredje ledd.

Loven er teknologinøytral. Det er derfor tale om et behandlingsrettet helseregister uavhengig av om registeret føres elektronisk eller manuelt, og hvilke tekniske hjelpemidler som benyttes.

Behandlingsrettet helseregister er et vidt begrep og omfatter hovedjournal, kjernejournal, pasientkort, individuell plan, ulike fagsystemer, pasientadministrative systemer mv. Helseopplysninger kan være registrert i alle disse systemene. Opplysningene i et behandlingsrettet helseregister kan således være nedtegnet og lagret adskilt i ett eller flere systemer. Det enkelte system kan være virksomhetsinternt eller det kan være systemer som to eller flere virksomheter samarbeider om (virksomhetsovergripende systemer). Se punkt 10.1.4 og 10.3.1 om begrepet behandlingsrettet helseregister.

Begrepet behandlingsrettet helseregister må avgrenses mot helseregistre som reguleres av helseregisterloven, se merknadene til § 3.

Med databehandlingsansvarlig menes den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes, og den som i eller i medhold av lov er pålagt et databehandlingsansvar. Uttrykket «den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes» tilsvarer personopplysningsloven § 2 nr. 4 om behandlingsansvarlig og skal forstås på samme måte. Se punkt 12.1.2 om databehandlingsansvaret. Pasientjournalloven bruker uttrykket databehandlingsansvarlig for å unngå forveksling med behandling i forståelsen helsehjelp.

Bestemmelsen er justert i forhold til gjeldende helseregisterlov § 2 nr. 8. Vanligvis er det den databehandlingsansvarlige som selv bestemmer om en behandling skal foretas, formålet med behandlingen osv. For enkelte registre vil imidlertid Stortinget eller regjeringen bestemme i lov eller forskrift at et register skal etableres og fastsette hvem som skal være databehandlingsansvarlig.

Til § 3 Saklig virkeområde

Første ledd

Bestemmelsen erstatter helseregisterloven § 3, men er begrenset til behandlingsrettede helseregistre.

Loven gjelder all behandling av helseopplysninger som er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til enkeltpersoner. Se definisjonen av helsehjelp i § 2. Det gjelder uavhengig av i hvilke systemer helseopplysningene om den enkelte er registrert. Alle opplysninger som registreres etter helsepersonelloven § 39 jf. § 40, omfattes av pasientjournalloven.

Loven omfatter med dette behandlingsrettede helseregistre, se definisjonen i § 2 og merknadene til denne. Dette innebærer at alle helseopplysninger som helsepersonell og annet personell dokumenterer eller registrerer i tilknytning til ytelse, administrasjon og kvalitetssikring av helsehjelp til enkeltpersoner skal omfattes av loven. Det gjelder uavhengig av i hvilket system opplysningene registreres. Det gjelder uavhengig av om opplysningene registreres i en hovedjournal eller særskilte fagsystemer, som røntgensystemer, laboratoriesystemer, anestesijournal, medikasjons- og kurvesystemer, pleieplaner etc. Videre gjelder det uavhengig av om helsepersonell selv registrerer opplysningene eller om de tilkobler pasienten medisinsk teknisk utstyr, og opplysningene registreres fortløpende ved bruk av det tekniske utstyret. Loven gjelder også behandling av helseopplysninger i individuell plan, se merknadene til § 6.

Loven gjelder både elektronisk og manuell behandling av helseopplysninger. Videre gjelder loven både offentlig og privat virksomhet. Dette er presisert i gjeldende helseregisterlov. Dette følger imidlertid uansett av en alminnelig fortolkning av ordlyden og er derfor tatt ut av loven.

Loven gjelder ikke for behandling av helseopplysninger som reguleres av helseregisterloven, jf. helseregisterloven § 3 andre ledd. Det er formålet med behandlingen av opplysningene som bestemmer hvilken lov som gjelder i den enkelte sak. Pasientjournalloven gjelder bruk av helseopplysninger i behandlingsrettede helseregistre i forbindelse med helsehjelp (primærbruk), mens helseregisterloven gjelder bruk til forskning, statistikk osv. (sekundærbruk).

Loven gjelder også virksomhetenes kvalitetssikring av helsehjelp etter helsepersonelloven § 26. Kvalitetssikring av helsehjelp til den enkelte pasient omfattes av pasientjournalloven. Medisinske kvalitetsregistre som brukes til kvalitetsforbedring av helsetjenester som sådan, skal derimot omfattes av den nye helseregisterloven.

Loven gjelder i tillegg Nasjonal kjernejournal, Reseptformidleren, systemer for saksbehandling, administrasjon m.v. av helsehjelp og eventuelle nasjonale behandlingsrettede helseregistre, se pasientjournalloven §§ 10 til 13.

Andre ledd

Etter denne bestemmelsen kan Kongen i statsråd i forskrift eller enkeltvedtak bestemme at loven helt eller delvis skal gjelde for behandling av helseopplysninger til andre formål enn helsehjelp. Bestemmelsen er en videreføring av gjeldende helseregisterlov § 3 tredje ledd, men myndigheten til Kongen i statsråd er utvidet til også å omfatte enkeltvedtak. Departementet vurderer hvorvidt dokumentasjonsplikten også skal gjelde for personell som yter tjenester som omfattes av helse- og omsorgstjenesteloven, men som ikke er helsehjelp. Det vil da kunne bli behov for å vedta en forskrift om at disse opplysningene skal behandles etter pasientjournallovens regler.

Til § 4 Geografisk virkeområde

Bestemmelsen viderefører gjeldende helseregisterlov § 4. Loven har samme geografiske virkeområde som personopplysningsloven, jf. § 4. Eventuelle forskrifter må være innenfor lovens virkeområde i § 3.

Til § 5 Forholdet til personopplysningsloven

Hovedloven for behandling av personopplysninger er personopplysningsloven. Pasientjournalloven regulerer enkelte forhold som er spesielle for behandling av helseopplysninger i behandlingsrettede helseregistre. Denne bestemmelsen fastslår at personopplysningsloven gjelder så langt ikke annet følger av pasientjournalloven. Bestemmelsen speiler personopplysningsloven § 5 som sier at regler om behandling av personopplysninger i særlover skal gå foran personopplysningsloven. Bestemmelsen er en videreføring av gjeldende rett.

Dette betyr at personopplysningslovens generelle regler om behandling av personopplysninger, fremdeles skal gjelde som en bakgrunnsrett for behandlingsrettede helseregistre. Følgende bestemmelser i personopplysningsloven vil også gjelde ved behandling av helseopplysninger i behandlingsrettede helseregistre og vil således utfylle reglene i pasientjournalloven:

• § 9 (vilkår for behandling av personopplysninger, se merknader til § 6)

• § 11 (grunnkrav til behandling av personopplysninger)

• § 15 (databehandlers rådighet)

• § 16 (frist til å svare på henvendelser om informasjon mv.)

• § 18 (rett til innsyn i hva slags behandling av helseopplysningene som foretas)

• §§ 19 til 24 (den databehandlingsansvarliges plikt til å gi informasjon)

• § 27 (retting av mangelfulle opplysninger; opplysninger som ikke omfattes av bestemmelsene om retting og sletting av helseopplysninger etter helsepersonelloven §§ 42 til 44)

• § 28 (forbud mot å lagre unødvendige opplysninger)

• §§ 29 og 30 (overføring av opplysninger til utlandet)

• §§ 31 og 32 (meldeplikt til Datatilsynet, se kommentar nedenfor)

• §§ 42 flg. (Datatilsynet og Personvernnemnda har myndighet til å håndheve personopplysningslovens regler så langt de gjelder)

• § 48 første ledd bokstav a (straff for å unnlate å sende melding til Datatilsynet)

Det kan ikke utelukkes at også andre bestemmelser kan være relevante.

Reglene om tilsyn og sanksjoner er de samme. Det er tatt inn bestemmelser om dette i pasientjournalloven §§ 23 til 26. Disse er i samsvar med reglene i personopplysningsloven kapittel VIII om tilsyn og sanksjoner.

Særregler i pasientjournalloven om spørsmål som også reguleres i personopplysningsloven og som gjelder i stedet, er blant annet

• § 2 (egen definisjon av databehandlingsansvarlig, se merknadene til § 2)

• § 21 (pasientens rett til innsyn, viser til pasient- og brukerrettighetsloven § 5-1 og helsepersonelloven § 41 som inkluderer innsyn i journalen og rett til å få forklart faguttrykk. Dette omfattes ikke av innsynsretten etter personopplysningsloven § 18. Bestemmelsen har ikke fristregler slik som personopplysningsloven § 16)

• §§ 22 og 23 (informasjonssikkerhet og internkontroll; reglene er langt på vei de samme som personopplysningsloven, men det er tatt inn egne forskriftshjemler)

• Bestemmelsen gjelder bare forholdet til personopplysningsloven. Pasientjournalloven må imidlertid også leses i sammenheng med andre lover som har betydning for pasientjournaler og andre behandlingsrettede helseregistre, se punkt 1.1.1.

Kapittel 2. Pasientjournaler og andre behandlingsrettede helseregistre

§ 6 Rett til å behandle helseopplysninger

Første ledd

Bestemmelsen presiserer at det bare kan etableres behandlingsrettede helseregistre som følger av denne loven eller av andre lover. Dette er en tydeliggjøring og videreføring av gjeldende rett om krav til rettsgrunnlag (behandlingsgrunnlag) ved behandling av helseopplysninger.

Behandlingsgrunnlag for pasientjournaler følger av dokumentasjonsplikten etter helsepersonellovens §§ 39 og 40. Loven gir også hjemmel for å ha systemer som er nødvendige for å oppfylle lovfestede plikter i tilknytning til journalene. Dette gjelder for eksempel logg som er nødvendig for å kunne gi pasienter innsyn etter § 18 i hvem som har hatt tilgang til eller fått utlevert opplysninger fra journalen.

Paragraf 8 pålegger virksomheten å sørge for behandlingsrettede helseregistre (journal mv.) for gjennomføring av helsepersonells dokumentasjonsplikt, § 9 åpner for samarbeid om behandlingsrettede registre og § 10 gir forskriftshjemmel for etablering av nasjonale behandlingsrettede helseregistre. Disse registrene har sammenheng med dokumentasjonsplikten i helsepersonelloven § 39. Andre behandlingsgrunnlag i pasientjournalloven er § 11 om systemer for saksbehandling, administrasjon mv. av helsehjelp, § 12 om Reseptformidleren og § 13 om nasjonal kjernejournal. Disse registrene kommer i tillegg til registre etter §§ 8, 9 eller 10.

Behandlingsgrunnlagene i pasientjournalloven åpner for både elektronisk og manuell behandling av helseopplysninger.

Behandling av helseopplysninger kan også være hjemlet i andre lover, for eksempel helseregisterloven eller helseforskningsloven. Plikten til å utarbeide individuell plan etter helse- og omsorgstjenesteloven § 7-1 gir hjemmel for å behandle helseopplysninger både manuelt og elektronisk. I pasientjournalloven er det lagt til rette for at virksomheter kan samarbeide om individuelle planer og at det kan gis tilgang til planene også for ansatte i andre virksomheter, jf. pasientjournalloven § 9 og § 19.

Helseopplysninger kan registreres og behandles på andre måter i behandlingsrettede helseregistre uten hensyn til samtykke fra pasienten. Med dette siktes det til at helseregisterlovens samtykkekrav ikke gjelder. Pasientenes selvbestemmelsesrett er ivaretatt gjennom pasient- og brukerrettighetslovens og helsepersonellovens samtykkeregler og pasientens rett til å motsette seg behandling av helseopplysninger, se § 17.

Samtykke kan etter helsepersonelloven være uttrykkelig, basert på konkludent adferd, presumert, eller være indirekte eller underforstått, jf. merknadene til § 22 i Ot.prp. nr. 13 (1998–99). Se også punkt 11.1.

Adgangen til å behandle helseopplysningene innebærer at opplysningene kan gjøres tilgjengelige for annet helsepersonell hvis vilkårene i pasientjournalloven § 19 er oppfylt. Pasientens selvbestemmelse er ivaretatt ved at pasienten, som i dag, kan motsette seg at opplysninger gjøres tilgjengelige (se pasientjournalloven § 17).

Etablering av behandlingsrettede helseregistre skal meldes til Datatilsynet, jf. personopplysningsloven § 31.

Det følger av andre punktum at det ikke er konsesjonsplikt for behandlingsrettede helseregistre. Bestemmelsen slår fast at konsesjonsplikt etter personopplysningsloven § 33 ikke gjelder for behandling av helseopplysninger som skjer med hjemmel i pasientjournalloven. Dette er en videreføring av gjeldende rett. I gjeldende helseregisterlov § 5 andre ledd er dette presisert når det gjelder forskrifter om elektronisk behandling av opplysninger i behandlingsrettede helseregistre etter §§ 6 til 6 d. Behandlingsrettede helseregistre er også unntatt fra konsesjonsplikten etter personopplysningsloven § 33, jf. personopplysningsforskriften § 7-25 og § 7-26.

Andre ledd

Bestemmelsen presiserer at helseopplysninger i registre etter pasientjournalloven bare kan behandles når det er nødvendig for å kunne gi helsehjelp, for administrasjon av helsehjelp, eller for internkontroll og kvalitetssikring av helsehjelpen.

Tredje ledd

Ved behandling av helseopplysninger til internkontroll eller kvalitetssikring skal opplysningene så langt som mulig behandles uten at den registrertes navn og fødselsnummer fremgår. Dette er en presisering av prinsippet om at graden av personidentifikasjon ved behandling av helseopplysninger ikke skal være større enn nødvendig. Internkontroll og kvalitetssikring kan ofte gjennomføres uten personidentifikasjon og dette er også slik det som hovedregel gjøres i praksis dag.

§ 7 Krav til behandlingsrettede helseregistre

Bestemmelsen angir krav til behandlingsrettede helseregistre, slik at helsepersonell skal kunne føre journal i samsvar med krav fastsatt i lov og forskrift. Det er virksomhetens ansvar at registrene som brukes tilfredsstiller disse kravene.

Første ledd

Et behandlingsrettet helseregister skal være lett for helsepersonell å bruke og å finne frem i.

Det ideelle hadde vært at pasientene også kan forstå journalen når de ber om innsyn. Det er imidlertid pasientsikkerheten og journalen som verktøy for helsepersonell som må være avgjørende. Større bruker- og leservennlighet for helsepersonell vil i praksis også ofte kunne gjøre journalen mer forståelig for pasientene. Pasienten har også rett til å få en forklaring av vanskelige faguttrykk osv. hvis han eller hun ber om det, jf. pasient- og brukerrettighetsloven § 5-1.

Et behandlingsrettet helseregister skal understøtte pasientforløp i klinisk praksis. Dette kan for eksempel ivaretas gjennom innebygde maler for tentativ rekkefølge av prosedyrer, prosesstøtte eller lignende. Pasientopplysninger i et behandlingsrettet register bør kunne knyttes til aktuelle pasientforløp og slik fremstille helhetlig et pasientforløp.

Andre ledd

Både tekniske og organisatoriske løsninger skal være egnet til å etterleve krav fastsatt i eller i medhold av lov. Disse kravene er en videreføring av det som i dag følger av helsepersonelloven og pasientjournalforskriften. Bestemmelsen angir konkrete funksjonskrav til behandlingsrettede helseregistre ved å henvise til bestemte plikter og rettigheter som følger av pasientjournalloven og andre lover:

Bokstav a og b: Systemet skal være innrettet slik at pasientens rett til konfidensialitet ivaretas. Løsningene skal derfor være egnet til å ivareta reglene i pasientjournalloven §§ 15 og 16 om taushetsplikt og forbud mot uberettiget tilegnelse av helseopplysninger. Det følger av bestemmelsen at systemet skal sikre mot urettmessig tilegnelse av helseopplysninger. Det må lages gode systemer for tilgangsstyring. Kravet innebærer blant annet at den databehandlingsansvarlige til enhver tid må ha oversikt over hvem som har mulighet til å få tilgang til helseopplysninger, og kontrollere hvem som faktisk har tilegnet seg helseopplysninger. Med tilgang menes at autorisert helsepersonell gis adgang til selv å søke etter relevant informasjon om konkrete pasienter i virksomhetens journalsystem. Dette følger også av bokstav g om tilgangsstyring og andre krav til informasjonssikkerhet. Se også merknadene til bokstav e. Disse punktene er tatt inn i loven for å tydeliggjøre at virksomheten har et ansvar for å ivareta konfidensialiteten.

Bokstav c: Pasienten har etter § 17 rett til å motsette seg at helseopplysninger i et behandlingsrettet helseregister gjøres tilgjengelige for helsepersonell, jf. pasient- og brukerrettighetsloven § 5-3 og helsepersonelloven §§ 25 og 45. Pasientens rett til å motsette seg at helseopplysninger gjøres tilgjengelig for andre gjelder både konkrete personer og grupper. Pasienten kan også velge å sperre enkeltopplysninger eller hele journalen. Det skal fremgå av journalen om den inneholder opplysninger som er sperret.

Dersom den registrerte har motsatt seg utlevering av journal eller opplysninger i journal, kan opplysningene bare gjøres tilgjengelig dersom tungtveiende grunner taler for det, jf. pasient- og brukerrettighetsloven § 5-3.

Bokstav d: Systemet skal gjøre det praktisk mulig for virksomheten å behandle pasienters krav om innsyn etter § 18.

Bokstav e: Systemet skal være innrettet slik at helsepersonell kan ivareta dokumentasjonsplikten som følger av helsepersonelloven § 39, jf. § 40. Sett i sammenheng med kravet til brukervennlighet innebærer dette at det må være enkelt for helsepersonell å registrere opplysningen på riktig måte. Dette gjelder både opplysninger som er relevante og nødvendige for helsehjelp til pasienten, og opplysninger som er meldepliktige.

Bokstav f: Det følger av bestemmelsen at systemet skal sikre tilgjengeliggjøring av helseopplysninger i samsvar med §§ 19 og 20. Dette stiller krav til journalens struktur og oppbygging. Bestemmelsen innebærer videre at systemet må innrettes slik at de registrertes vern mot spredning av helseopplysninger ivaretas. Kravet til systemet gjelder systemkrav i vid forstand, og omfatter både tekniske og organisatoriske elementer i systemet.

Bokstav g: Bestemmelsen fastslår at systemet skal sikre tilfredsstillende informasjonssikkerhet og internkontroll, jf. lovforslaget §§ 22 og 23. Dette omfatter blant annet systemer for tilgangsstyring. Styring av helsepersonells mulighet til selv å søke opp relevante helseopplysninger, ved at de gis tilgang til systemet, er en del av dette. Tilfredsstillende informasjonssikkerhet omfatter også elementer som systemets oppetid, motstandsdyktighet mot hacking og datasnoking internt fra så vel som utenifra, osv. Se nærmere om tilgangsstyring i merknadene til bokstav a og b.

Listen i andre ledd er ikke uttømmende. Andre bestemmelser er for eksempel meldeplikter etter pasientjournalloven § 14 eller helsepersonelloven §§ 42 til 44. Et annet eksempel er kravene til forsvarlige journal- og informasjonssystemer i spesialisthelsetjenesteloven § 3-2 og helse- og omsorgstjenesteloven § 5-10, hvor ansvaret forankres i institusjonene og virksomhetene.

Tredje ledd

Departementet kan i forskrift gi nærmere bestemmelser om plikt til å ha elektroniske systemer, om godkjenning av programvare og sertifisering og om bruk av standarder, standardsystemer, kodeverk og klassifikasjonssystemer. Dette er en videreføring av forskriftshjemmelen for Kongen i gjeldende helseregisterlov § 6 tredje ledd og § 16 femte ledd.

Nærmere krav til løsningene, innholdet og hvordan journalen skal føres, er regulert i pasientjournalforskriften.

Til § 8 Virksomheters plikt til å sørge for behandlingsrettede helseregistre

Bestemmelsen fastslår at virksomheter som yter helsehjelp skal sørge for å ha behandlingsrettede helseregistre for gjennomføring av helsepersonells dokumentasjonsplikt. Behandlingsrettet helseregister er definert i § 2 bokstav d. Registrene som brukes skal tilfredsstille kravene i § 7. Det er virksomhetens ansvar at registrene som brukes tilfredsstiller disse kravene.

Dokumentasjonsplikten i helsepersonelloven § 39 er et behandlingsgrunnlag. Den som yter helsehjelp skal etter helsepersonelloven § 39 jf. § 40 nedtegne eller registrere relevante og nødvendige opplyninger om pasienten og helsehjelpen i en journal for den enkelte pasient.

Virksomheten kan opprette ett eller flere slike registre. Dette kan være en anestesijournal, en journal med svar på blodprøver og andre undersøkelser, en røntgenjournal, en pleieplan, andre fagsystemer, eller en journal hvor alle disse opplysningene foreligger samlet. Disse er alle behandlingsrettede helseregistre i pasientjournallovens forstand. Loven setter ikke krav til hvordan de ulike systemene skal bygges opp, så lenge systemet som helhet sikrer at oppdaterte og korrekte opplysninger er tilgjengelige for helsepersonellet. Dobbeltregistreringer bør imidlertid unngås. Pasientopplysningene i de ulike typer journaler vil samlet utgjøre pasientens journal (behandlingsrettet helseregister).

Bestemmelsen skal ikke forstås slik at hver virksomhet i helse- og omsorgstjenesten må opprette hvert sitt journal- og informasjonssystem. Den enkelte virksomhet må selv vurdere om det er mest formålstjenlig og sikkert å etablere et journalsystem, som bare omfatter egen virksomhet, eller om en bør søke å inngå samarbeid med en eller eventuelt flere virksomheter. Det vises til § 9 nedenfor om samarbeid mellom virksomheter om behandlingsrettede helseregistre.

Til § 9 Samarbeid mellom virksomheter om behandlingsrettede helseregistre

Første ledd

Bestemmelsen fastslår at to eller flere virksomheter kan samarbeide om behandlingsrettede helseregistre. Bestemmelsen gjelder fagsystemer og andre journaler hvor helsepersonell som yter helsehjelp nedtegner eller registrerer opplysninger om pasientene i samsvar med dokumentasjonsplikten.

Bestemmelsen er ny, men er i innhold en videreføring og utvidelse av gjeldende helseregisterlov § 6 b om formalisert arbeidsfelleskap. Denne sikter til samarbeid mellom to eller flere virksomheter som tydelig fremstår som en enhet. Den nye bestemmelsen åpner for samarbeid også mellom virksomheter som ikke fremstår som en enhet. Virksomheter som i dag har inngått avtale om å samarbeide om virksomhetsovergripende pasientjournal etter forskrift 9. november 2012 nr. 1045 kan forsette dette samarbeidet etter den nye lovbestemmelsen.

Aktørene i samarbeidet etter § 9 kan være privateide virksomheter, så vel som offentlige virksomheter, fastleger og avtalespesialister.

Bestemmelsen omfatter alle typer behandlingsrettede helseregistre; ulike fagsystemer, kurveløsninger, pasientjournaler, osv. Det kan være to eller flere virksomheter, for eksempel alle helseforetakene innen en helseregion, som ønsker å samarbeide om et regionalt laboratoriesystem eller radiologisk informasjonssystem og billedarkiv. Det kan være samarbeid mellom et helseforetak og kommunene i helseforetakets nedslagsfelt om elektronisk pasientjournal. Det kan samarbeides om helhetlige systemer som utgjør hele pasientjournalen i virksomheten. Det kan også samarbeides om registre på bestemte områder, for eksempel samarbeide om sårjournaler eller bilderegistre. Dette er kun eksempler, og angir ikke uttømmende hva slags former for samarbeid bestemmelsen åpner for.

Det er heller ikke satt noen grense for hvor omfattende samarbeidet kan være. Bestemmelsen åpner for omfattende samarbeid med et stort antall virksomheter og pasienter. Bestemmelsen åpner for eksempel for at et helseforetak og en eller flere kommuner samarbeider om journalsystemer. For en virksomhet, for eksempel et helseforetak, som inngår mange samarbeidsavtaler, kan det være hensiktsmessig å utarbeide standardavtaler for samarbeidet. Et annet eksempel er at flere helseforetak samarbeider om ulike PACS- og RIS-systemer.

Registrering av opplysninger i helseregistre som virksomheter samarbeider om etter denne bestemmelsen, er ikke betinget av at pasienten samtykker uttrykkelig. Se merknadene til § 6. Opplysninger kan i utgangspunktet gjøres tilgjengelige etter § 19. Pasienten har imidlertid rett til å motsette seg at opplysningene utleveres eller gjøres tilgjengelige på andre måter, jf. § 17.

Bestemmelsen krever at det skal inngås skriftlig avtale om samarbeid om behandlingsrettede helseregistre, og den setter krav til innholdet i avtalen. Avtalen skal sikre klare ansvarsforhold. Det skal blant annet fremgå av avtalen hvem som er databehandlingsansvarlig, hvordan virksomhetene skal håndtere sikkerheten med tilgangsstyring mv. og hvordan pasientens rettigheter skal ivaretas, for eksempel med rutiner for hvordan henvendelser fra den registrerte skal håndteres. Det kan avtales delt behandlingsansvar, se punkt 12.1.2 og 12.3.4. Avtalen skal også regulere hva som skal skje med registeret og hvordan opplysningene i registeret skal behandles, ved endringer i eller ved opphør av samarbeidet. Dette skal også inkludere oppbevaring av arkiver som er skapt av virksomhetene gjennom samarbeidet.

En helseinstitusjon, for eksempel en kommune, vil anses som databehandlingsansvarlig alene dersom kommunen kjøper tjenester av private aktører for å fylle sine lovpålagte tjenester, og samtidig stiller kommunens fagsystemer til rådighet for private aktører. Mange kommuner setter ut helse- og omsorgstjenester, for eksempel til private virksomheter, og krever at virksomhet som utfører slike tjenester på kommunens vegne skal benytte kommunens fagsystem som sitt behandlingsrettede helseregister. Dette gjøres gjerne for å sikre samhandling mellom ulike tjenester i kommunen eller for å sikre sikkerhetsnivået. I slike tilfeller vil kommunen bli databehandlingsansvarlig, fordi det er kommunen som bestemmer formålet og bruken av opplysningene i systemet. Databehandlingsansvaret vil ikke være delt.

Registre som inngår i samarbeidet skal komme i stedet for de registrene som virksomhetene bruker internt i virksomheten. Slike felles registre skal erstatte den virksomhetsinterne journalen. Samme opplysninger skal ikke registreres i begge systemer. Virksomhetene kan likevel ha interne faglige systemer som ligger under eller leverer til journalen. Dette kan være for eksempel røntgensystemer, anestesijournaler eller laboratoriesystemer. Fellesløsninger kan ikke komme i tillegg til virksomhetens interne journal.

Se punkt 12.3 om samarbeid mellom virksomheter om behandlingsrettede helseregistre.

Andre ledd

Departementet kan i forskrift eller enkeltvedtak gi nærmere vilkår for samarbeid om behandlingsrettede helseregistre etter første ledd. Forskrifter kan gis for å utfylle eller konkretisere punktene i første ledd. Eksempler på dette kan være plassering av databehandlingsansvaret eller krav om hvordan helseopplysningene skal behandles.

Det er ikke noe vilkår for samarbeidet at det er vedtatt forskrifter; ulike løsninger kan tas i bruk uten forskriftsregulering.

Til § 10 Etablering av nasjonale behandlingsrettede helseregistre

Det følger av denne bestemmelsen at Kongen i statsråd kan gi forskrift om nasjonale behandlingsrettede helseregistre.

Første ledd

Bestemmelsen vil gi hjemmel til, i forskrift, å etablere nasjonale løsninger som pålegges alle virksomheter, til forskjell fra frivillige samarbeidsløsninger som er basert på avtale mellom virksomheter i sektoren etter § 9.

Bestemmelsen hjemler nasjonale registre. Med nasjonale menes at eventuelle registre skal gjelde pasienter og brukere fra hele landet, og ikke begrenses til for eksempel bestemte regionale helseforetak.

Etablering av nasjonale registre med hjemmel i denne bestemmelsen skal brukes i uviklingen av sentraliserte løsninger hvor opplysningene følger pasienten. Bestemmelsen skal gi rettsgrunnlag for å følge opp forslaget i Meld. St. 9 (2012–2013) Én innbygger – én journal og Innst. 224 S (2012–2013). Nasjonale løsninger kan innføres trinnvis.

Bestemmelsen gir hjemmel til journalløsninger «på bestemte områder». Dette sikter til løsninger på begrensede områder, som for eksempel legemiddelregister, bilderegister eller epikriseregister. Det innebærer at pasientens opplysninger i dette nasjonale registeret bare vil være er en del av en pasients journal.

Dette betyr at en eventuell samlet journalløsning der alle, eller mange, opplysninger om alle pasienter samles i samme register, ikke kan hjemles i denne bestemmelsen. Etablering av omfattende helhetlige nasjonale journalløsninger krever dermed lovvedtak.

Registre vedtatt med hjemmel i denne bestemmelsen skal komme i stedet for virksomhetsinterne journaler eller felles journaler basert på samarbeid mellom virksomheter som hjemles i denne loven §§ 8 og 9. Samme opplysninger skal ikke registreres i begge systemer.

Registrering av opplysninger i nasjonale behandlingsrettede helseregistre etter denne bestemmelsen er ikke betinget av at pasienten samtykker uttrykkelig, fordi registreringen skjer ved at helsepersonell gjennomfører sin dokumentasjonsplikt. Se om samtykke i merknadene til § 6. Opplysninger kan gjøres tilgjengelige for helsepersonell etter § 19. Pasienten har rett til å motsette seg at opplysningene gjøres tilgjengelige, jf. § 17 første ledd bokstav a. Dersom opplysningene skal brukes til andre formål enn helsehjelp, kreves samtykke fra den registrerte eller hjemmel i lov, jf. § 20.

Se nærmere i punkt 13.3 om regulering av nasjonale behandlingsrettede helseregistre.

Andre ledd

Forskriften skal gi nærmere bestemmelser om drift, behandling og sikring av helseopplysningene, om databehandlingsansvar, om tilgangskontroll og om hvordan rettighetene til pasienten eller brukeren skal ivaretas.

Til § 11 Systemer for saksbehandling og administrasjon

Første ledd

Bestemmelsen er en forskriftshjemmel for Kongen i statsråd til å fastsette forskrift om behandling av helseopplysninger for saksbehandling, administrasjon, oppgjør og gjennomføring av helsehjelp til enkeltpersoner. De aktuelle tjenestene må fremgå av forskriften. Det kan utarbeides en eller flere forskrifter. Bestemmelsen erstatter gjeldende helseregisterlov § 6 c. Hjemmelen er i hovedsak en videreføring av gjeldende rett. Forskriftshjemmelen gjøres generell, for å kunne hjemle systemer for saksbehandling og administrasjon av andre tjenester som er nødvendige for å administrere helsehjelpen. Se punkt 14.3.

Andre ledd

Opplysningene kan behandles uten pasientens samtykke, selv om de er taushetsbelagte. Pasientens rett til å motsette seg at opplysninger etter § 17 første ledd bokstav a gjøres tilgjengelige, gjelder i utgangspunktet ikke disse registrene. Pasienten kan imidlertid motsette seg at opplysninger om betalte egenandeler i tilknytning til vedtak om frikort og refusjon registreres automatisk, se § 17 bokstav c. Det kan også fastsettes i forskrift etter tredje ledd at den registrerte også kan motsette seg andre former for behandling av opplysningene.

Graden av personidentifikasjon skal ikke være større enn nødvendig for det aktuelle formålet. Opplysninger om diagnose eller sykdom kan bare behandles der det er nødvendig for formålet med behandlingen av opplysningene. Et eksempel hvor det kan være nødvendig med opplysninger om diagnose eller sykdom, er ved administrasjon av helseforetaksfinansierte legemidler utenfor sykehus.

Tredje ledd

Forskriften skal gi nærmere bestemmelser om behandlingen av opplysningene, om hvilke opplysninger som kan behandles og om databehandlingsansvar. Det kan også gis bestemmelser om den enkeltes rett til å motsette seg behandling av opplysningene.

En eventuell oppgjørsordning for h-resept, vil kunne hjemles i denne bestemmelsen, se punkt 14.3.2 og merknadene til § 12.

Syketransportregisterforskriften og egenandelsregisterforskriften er vedtatt med hjemmel i gjeldende helseregisterlov § 6 c. Disse kan videreføres med hjemmel i den nye bestemmelsen.

Til § 12 Reseptformidleren

Bestemmelsen gir hjemmel for Kongen i statsråd til å gi forskrift med nærmere bestemmelser om behandling av helseopplysninger i nasjonal database for resepter. Bestemmelsen viderefører gjeldende helseregisterlov § 8 tredje ledd nr. 9 fjerde og femte ledd, og § 16 andre ledd andre punktum.

Bestemmelsen vil hjemle forskrifter om e-reseptordningen (Reseptformidleren). Forskrift 21. desember 2007 nr. 1610 om behandling av helseopplysninger i nasjonal database for elektroniske resepter (reseptformidlerforskriften) videreføres med hjemmel i denne bestemmelsen.

Bestemmelsen vil også kunne hjemle behandling av h-resepter, dersom disse integreres i Reseptformidleren. H-resepter gjelder legemidler som skrives ut i sykehus. Legemidlene forskrives på resept til den enkelte pasient, pasienten henter legemiddelet på valgfritt apotek, og apoteket sender regning for legemidlet til aktuelt helseforetak. Se punkt 14.3.2.

Registrering av opplysninger i helseregistre etter denne bestemmelsen er ikke betinget av at pasienten samtykker.

Forskriften skal gi nærmere bestemmelser om formålet med behandlingen av opplysningene, hvilke opplysninger som skal behandles og hvem som er databehandlingsansvarlig for opplysningene.

Til § 13 Nasjonal kjernejournal

Bestemmelsen viderefører gjeldende helseregisterlov § 6 d. Bestemmelsen innebærer ingen endringer i gjeldende rett. Det er imidlertid gjort enkelte lovtekniske endringer.

Opplysninger kan registreres i kjernejournalen uten pasientens samtykke. Dette presiseres i tredje ledd.

Hvis det skal gis tilgang til kjernejournalen, krever derimot dette pasientens samtykke. Det følger av fjerde ledd at det kreves pasientens samtykke dersom helsepersonell skal få tilgang til kjernejournalen. Fjerde ledd er dermed et unntak fra tredje ledd om at det ikke er krav om samtykke. Med samtykke menes her en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar at det gis tilgang. Denne definisjonen er av informasjonshensyn tatt inn i lovteksten. Kravet til samtykke skal forstås på samme måte som helseregisterloven § 2 og personopplysningsloven § 2 nr. 7. Disse reglene om tilgang betyr at adgangen til å gi tilgang for helsepersonell er snevrere enn det som følger av den generelle regelen i § 19.

Det er gjort unntak fra samtykkekravet i forskrift om nasjonal kjernejournal, for de tilfeller der det er nødvendig for å yte forsvarlig helsehjelp.

Pasienten har rett til å motsette seg registrering, lagring og annen behandling av helseopplysninger i nasjonal kjernejournal, se § 17 bokstav c. Det følger også av fjerde ledd fjerde punktum som viser til helsepersonelloven § 45 første ledd første punktum, at pasienten har rett til å motsette seg at opplysninger gjøres tilgjengelige dersom opplysninger registreres uten pasientens samtykke. Retten til å motsette seg behandling er av informasjonshensyn tatt inn i pasientjournalloven både i § 13 og i § 17. I gjeldende helseregisterlov er dette formulert som en rett til å reservere seg. Endringen i ordlyd innebærer ingen endring i gjeldende rett. Fordi pasienten har en rett til å motsette seg registrering av helseopplysninger i registeret, er reservasjonsretten videre for nasjonal kjernejournal enn for andre behandlingsrettede helseregistre.

Til § 14 Registrering og melding av helseopplysninger

Bestemmelsen lovfester en plikt til å registrere og melde helseopplysninger til behandlingsrettede registre hjemlet i § 11 (systemer for saksbehandling og administrasjon), § 12 (Reseptformidleren) eller § 13 (nasjonal kjernejournal). Opplysninger kan meldes uten hinder av taushetsplikt.

Pasienten skal informeres om at opplysninger i journalen kan bli eller er utlevert, jf. pasientjournalloven § 18 som henviser til blant annet personopplysningsloven §§ 19 og 20. Det følger av pasient- og brukerrettighetsloven § 3-6 tredje ledd at dersom helsepersonell utleverer opplysninger som er underlagt lovbestemt taushetsplikt, skal den opplysningene gjelder så langt som mulig informeres om at opplysningene er gitt og hvilke opplysninger det dreier seg om.

Kapittel 3. Taushetsplikt, innsynsrett og rett til å motsette seg behandling av opplysninger

Til § 15 Taushetsplikt

Det følger av bestemmelsen at enhver som behandler helseopplysninger etter pasientjournalloven har taushetsplikt etter helsepersonelloven §§ 21 flg.

Bestemmelsen erstatter gjeldende helseregisterlov § 15 som viser til både helsepersonellovens og forvaltningslovens regler om taushetsplikt. Henvisningen til forvaltningsloven er tatt ut i den nye bestemmelsen. Dette innebærer ingen praktisk endring i taushetsplikten for de som behandler helseopplysninger, se punkt 11.1.2 om utlevering og unntak fra taushetsplikten etter gjeldende helseregisterlov.

Det følger av § 15 andre punktum at også andre som får adgang eller kjennskap til helseopplysninger fra et behandlingsrettet helseregister har samme taushetsplikt. Dette kan være andre enn helsepersonell, for eksempel administrativt personell, som behandler helseopplysningene. Bestemmelsen vil omfatte Arkivverket og andre offentlige depotinstitusjoner som mottar helseopplysninger for arkivering.

Til § 16 Forbud mot urettmessig tilegnelse av helseopplysninger

Bestemmelsen viderefører gjeldende helseregisterlov § 13 a. Bestemmelsen innebærer ingen endringer i gjeldende rett. I bestemmelsen er uttrykket «etter denne loven» erstattet med uttrykket «behandlingsrettet helseregister».

Til § 17 Rett til å motsette seg behandling av helseopplysninger

Bestemmelsen regulerer pasienter og brukeres rett til å motsette seg behandling av helseopplysninger i behandlingsrettede helseregistre. Dette er begrunnet i at pasienten skal kunne kontrollere informasjonsflyten så langt det er mulig.

Pasienten kan motsette seg at opplysninger i et behandlingsrettet helseregister gjøres tilgjengelige for helsepersonell, jf. bestemmelsens første ledd bokstav a. Denne retten gjelder utlevering og tilgang til opplysninger etter pasientjournalloven § 19. Retten gjelder for opplysninger fra behandlingsrettede helseregistre etter §§ 8 til 10. Samme regel følger i dag av pasient- og brukerrettighetsloven § 5-3 og helsepersonelloven §§ 25 og 45. Bestemmelsen i pasientjournalloven henviser til disse.

Det følger av forarbeidene til helsepersonelloven at pasienten så langt råd er skal gjøres kjent med at det utleveres opplysninger i samarbeidsøyemed, og kan motsette seg dette. I særlige tilfeller vil det kunne tenkes at pasienten ikke kan motsette seg tilgang eller utlevering, for eksempel i forbindelse med tvangsinnleggelser av psykiatriske pasienter. Se nærmere i merknadene til §§ 25 og 45 i Ot.prp. nr. 13 (1998–99) og punkt 11.1.2 om helsepersonellovens samtykkekrav og retten til å motsette seg informasjonsdeling.

Pasienten kan ikke motsette seg at det opprettes journal med tilhørende journalopplysninger. Det er kun når det gjelder nasjonal kjernejournal at pasienten har en slik reservasjonsrett, se pasientjournalloven § 13.

Når det gjelder nasjonal kjernejournal etablert med hjemmel i § 13, kan pasienten eller brukeren motsette seg at helseopplysninger registreres eller behandles på andre måter. Dette er en videreføring av reservasjonsretten etter gjeldende helseregisterlov § 6 d femte ledd andre punktum. Retten til å motsette seg behandling er av informasjonshensyn tatt inn i helseregisterloven både i § 13 og i § 17

Videre kan pasienten eller brukeren motsette seg at opplysninger om betalte egenandeler i tilknytning til vedtak om frikort og refusjon, registreres automatisk i system etablert med hjemmel i § 11. Dette er en videreføring av gjeldende helseregisterlov § 6 bokstav c tredje ledd andre punktum.

Det presiseres i andre ledd at reglene om samtykkekompetanse i pasient- og brukerrettighetsloven § 4-3 til § 4-7 gjelder tilsvarende for retten til å motsette seg behandling av opplysningene.

Til § 18 Informasjon og innsyn

Bestemmelsen gir den registrerte rett til informasjon og innsyn i konkrete opplysninger og behandlinger av opplysninger om seg selv i behandlingsrettede helseregistre. Bestemmelsen innebærer ingen endringer i gjeldende rett.

Første ledd

Første punktum slår fast at pasienten eller brukeren har rett til informasjon og innsyn i behandlingsrettede helseregistre. Bestemmelsen henviser til personopplysningsloven §§ 18 flg., pasient- og brukerrettighetsloven § 5-1 og helsepersonelloven § 41. Bestemmelsen omfatter alle opplysninger som registreres og behandles i behandlingsrettede helseregistre, det vil si opplysninger som er registrert etter helsepersonelloven § 39 og opplysninger som er registrert med hjemmel i annet rettsgrunnlag, for eksempel pasientjournalloven §§ 10 til 12.

Det følger av forarbeidene til helsepersonelloven at pasienten så langt råd er skal gjøres kjent med at det utleveres opplysninger i samarbeidsøyemed. Se nærmere i merknadene til §§ 25 og 45 i Ot.prp. nr. 13 (1998–99).

Gjeldende helseregisterlov §§ 23 og 24 om rett til informasjon erstattes av henvisningen til personopplysningsloven §§ 18 flg. Henvisningen har kun informasjonsverdi, da personopplysningslovens regler om dette uansett vil gjelde, jf. merknadene til § 5.

Det er den databehandlingsansvarlige som skal ivareta innsynsretten, og det skal klart fremkomme hvor pasienten eller andre kan be om innsyn dersom dette ansvaret er delt mellom flere virksomheter som samarbeider om et behandlingsrettet helseregister (delt databehandlingsansvar). Den databehandlingsansvarlige må sørge for å etablere enkle rutiner for å gi den enkelte adgang til opplysninger om seg selv. Det bør legges til rette for at slikt innsyn også kan utføres ved bruk av elektroniske hjelpemidler. For at innsynsretten skal ivaretas fullt ut må det også være mulig å få utlevert de aktuelle opplysninger på papirutskrifter. Den databehandlingsansvarlige må derfor ha rutiner for håndtering av slike henvendelser.

Andre punktum slår fast at retten til informasjon og innsyn også omfatter innsyn i hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til pasientens eller brukerens navn eller fødselsnummer (logg). Presiseringen om at opplysningene må være knyttet til navn eller fødselsnummer innebærer ingen endring i gjeldende rett ettersom det må forutsettes at behandlingsrettede helseregistre er knyttet direkte til pasientens eller brukerens identitet.

Innsynsretten gjelder alle tilfeller der noen har lest, søkt eller på annen måte tilegnet seg, brukt eller besittet helseopplysninger fra behandlingsrettede helseregistre, enten dette er rettmessig eller ikke. Det følger av denne bestemmelsen og av § 6 om rett til å behandle helseopplysninger, at den databehandlingsansvarlige har både rett og plikt til å registrere hvem som har hatt tilgang til eller fått utlevert opplysninger.

Andre ledd

Bestemmelsen slår fast at databehandlingsansvarlige, for å vurdere innsyn, kan innhente personopplysninger fra Det sentrale folkeregisteret. Dette gjelder uten hensyn til om opplysningene er underlagt taushetsplikt etter folkeregisterloven. Foreldre har, med noen unntak, rett til innsyn i sine barns opplysninger. Innsyn betinger at relasjonen mellom foreldre og barn kan dokumenteres. For å administrere elektroniske innsynsløsninger som «Mine resepter», «Mine vaksiner», «Min kjernejournal» osv., er det behov for oppdatert og offisiell informasjon. Det samme gjelder for dokumentasjon av vergemål etter ny vergemålslov kapittel 4. Dette er ellers taushetsbelagte folkeregisteropplysninger.

Kapittel 4. Virksomhetens plikter ved behandling av helseopplysninger

Til § 19 Helseopplysninger ved helsehjelp

Bestemmelsen regulerer informasjonsdeling mellom helsepersonell når de yter helsehjelp. Bestemmelsen gjelder alle behandlingsrettede helseregistre. Det gjelder imidlertid noen særregler for nasjonal kjernejournal, se merknadene til § 13.

Bestemmelsen erstatter gjeldende helseregisterlov § 13. Skillet mellom tilgang til interne behandlingsrettede helseregistre og tilgang for helsepersonell i andre virksomheter, oppheves. Videre oppheves kravet om at en forespørsel om tilgang til helseopplysninger i annen virksomhet bare kan omfatte én pasient om gangen.

Første ledd

Bestemmelsen slår fast at den databehandlingsansvarlige skal sørge for at relevante og nødvendige helseopplysninger er tilgjengelige for helsepersonell og annet samarbeidende personell når dette er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til pasienten eller brukeren. Dette er i samsvar med helsepersonelloven § 45 om helsepersonells plikt til å gi nødvendige og relevante helseopplysninger.

Det følger av denne bestemmelsen, sammen med helsepersonellovens regler om taushetsplikt, at opplysningene bare kan gjøres tilgjengelige når de er relevante og nødvendige for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt. Det er kun de som har et tjenstlig behov som skal få opplysningene, og de skal ikke få flere opplysninger enn det som er relevant og nødvendig for å yte helsehjelpen.

Uttrykket «relevante og nødvendige» skal forstås på samme måte som det tilsvarende begrepet i helsepersonelloven § 40.

Uttrykket «tilgjengelige» i bestemmelsen omfatter både tilgang til helseopplysninger, ved at personell gis adgang til å søke opp de aktuelle helseopplysningene i systemet, og at opplysningene gjøres tilgjengelige ved at de utleveres.

Andre ledd

Den databehandlingsansvarlig bestemmer på hvilken måte opplysningene skal gjøres tilgjengelige. Dette gjelder både tilgjengeliggjøring av helseopplysninger internt i egen virksomhet og tilgjengeliggjøring av opplysningene for personell fra andre virksomheter. Relevante og nødvendige helseopplysninger skal være tilgjengelige for helsepersonell som yter helsehjelp, uavhengig av hvor pasienten har fått behandling tidligere.

En måte å gjøre opplysningene tilgjengelige på er at vedkommende gis autorisasjon til selv å søke etter relevante opplysninger (tilgang). En annen måte er at vedkommende får opplysningene utlevert, enten ved utskrift på papir eller ved elektronisk oversendelse.

Opplysningene skal gjøres tilgjengelige på en måte som ivaretar informasjonssikkerheten og pasientens vern mot at opplysninger gis til uvedkommende. Det betyr at pasientenes rett til konfidensialitet må ivaretas.

En virksomhet som vil dele opplysninger med andre virksomheter må ha vurdert risikoen for at opplysninger kan komme på avveie, gå tapt osv, og ha iverksatt nødvendige risikobegrensende tiltak. Virksomheten må både vurdere om opplysningenes konfidensialitet ivaretas og om opplysningene kan gjøres tilgjengelige for helsepersonell når det er nødvendig for å yte helsehjelp. Virksomheten må, som i dag, sikre at det bare er helseopplysninger som er nødvendig for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt, som kan gjøres tilgjengelige.

En virksomhet som lar personell i andre virksomheter få tilgang til helseopplysninger skal påse at disse oppfyller kravene til informasjonssikkerhet, jf. § 22 tredje ledd.

Måten databehandlingsansvarlige gir helsepersonell opplysninger på kan derfor være forskjellig for personell ansatt i egen virksomhet eller personell som er under instruksjon av den databehandlingsansvarlige, og personell som kommer utenifra. Personell som meget sjelden har behov for innsyn i opplysninger om en pasient kan kanskje enklest få opplysningene utlevert, mens personell som til daglig har behov for opplysninger kan gis tillatelse til benytte virksomhetens journalsystem.

Det er den databehandlingsansvarlige (virksomheten) som i første hånd har ansvaret for å vurdere og ta stilling til hva som er et akseptabelt risikonivå når det gjelder tilgjengelighet og konfidensialitet. Vurderingen vil likevel kunne overprøves av Datatilsynet som eventuelt kan gi pålegg om endring av praksis mv., jf. pasientjournalloven §§ 26 og 27.

Den databehandlingsansvarlige kan velge å gi andre virksomheter tilgang. Det er den databehandlingsansvarlige som må vurdere om det i virksomheten som får tilgang, finnes systemer som i tilstrekkelig grad ivaretar taushetsplikten og lovens øvrige krav. Virksomheten som får tilgang må ha tilstrekkelig tilgangskontroll og andre sikkerhetstiltak slik at den totale sikkerheten ikke blir dårligere. Dette må vurderes på et virksomhets- og systemnivå, med utgangspunkt i virksomhetens organisering og arbeidsdeling.

I praksis vil ekstern tilgang kunne skje ved at de involverte virksomhetene avtaler og organiserer dette seg imellom. Dette inkluderer en ansvarsdeling mellom virksomhetene, med tydelige roller og ansvar for å sørge for tilfredsstillende sikkerhet og ivaretakelse av pasientens rettigheter. Departementet skal gi forskrift om krav til de ansvarlige for virksomheten og til risikovurderingen ved ekstern tilgang, se merknadene til tredje ledd.

En databehandlingsansvarlig kan bare gi tilgang til virksomheter som har etablert tilfredsstillende system for tilgangsstyring og -kontroll. Hvis sikkerheten ikke er god nok, må helseopplysningene i stedet gjøres tilgjengelige ved at opplysningene utleveres, elektronisk eller ved utskrift på papir.

Reglene betyr blant annet at loven ikke er til hinder for at helsepersonell kan samarbeide om elektronisk individuell plan mellom virksomheter og mellom ulike yrkesgrupper.

Det kreves ikke uttrykkelig samtykke fra pasienten dersom det skal gis tilgang til databehandlingssystemet. Dette er en endring fra gjeldende helseregisterlov § 13 som krevet pasientens frivillige, uttrykkelige og informerte samtykke dersom noen ansatt utenfor virksomheten skulle gis tilgang. Når det gjelder nasjonal kjernejournal er det imidlertid fremdeles et krav om pasientens samtykke dersom opplysninger skal innhentes fra nasjonal kjernejournal, se § 13.

Helseopplysninger kan bare gjøres tilgjengelige om dette er i samsvar med gjeldende bestemmelser om taushetsplikt. Relevante bestemmelser som åpner for at opplysninger kan gjøres tilgjengelige uten hensyn til taushetsplikt er helsepersonelloven §§ 25, 45 og 29 c. Se også forslaget til endringer i helsepersonelloven § 29 b. Helsepersonelloven § 25 andre ledd om at taushetsplikten ikke er til hinder for at personell som gir teknisk bistand får tilgang til opplysningene, gjelder tilsvarende. Se nærmere om taushetspliktreglene i punkt 11.1.2.

Helseopplysninger i journalen kan ikke gjøres tilgjengelige for annet helsepersonell dersom pasienten motsetter seg det, jf. § 17 bokstav a.

Pasienten skal informeres om at opplysninger kan bli eller er utlevert til annet helsepersonell, jf. § 18 som viser til personopplysningsloven §§ 18 flg. Det følger også av pasient- og brukerrettighetsloven § 3-6 tredje ledd at dersom helsepersonell utleverer opplysninger som er underlagt lovbestemt taushetsplikt, skal den opplysningene gjelder så langt som mulig informeres om at opplysningene er gitt og hvilke opplysninger det dreier seg om.

Se nærmere i punkt 11.3 om informasjonsdeling.

Tredje ledd

Bestemmelsen gir departementet hjemmel til å gi forskrift med nærmere regler om hvordan helseopplysninger i behandlingsrettede helseregistre skal gjøres tilgjengelige.

Departementet skal gi forskrifter om hvordan informasjon kan gjøres tilgjengelig og deles på en måte som sikrer personvernet og begrenser tilgjengeligheten til det som er nødvendig. Departementet skal i forskriften sette krav til de ansvarlige for virksomheten og til risikovurderingen når det gis tilgang til behandlingsrettede helseregistre for helsepersonell i andre virksomheter.

Til § 20 Helseopplysninger til andre formål enn helsehjelp

Første punktum i bestemmelsen slår fast at opplysninger kan gjøres tilgjengelige for andre formål enn helsehjelp når pasienten samtykker eller det er fastsatt i lov eller i medhold av lov. En slik hjemmel er for eksempel helsepersonelloven § 29 om utlevering av opplysninger til forskning mv.

Bestemmelsen innebærer ingen endringer i gjeldende rett. Det følger av de alminnelige reglene i personopplysningsloven at behandling av opplysninger til andre formål enn de er innsamlet for, krever særskilt lovhjemmel. I tillegg til samtykke fra pasienten eller dispensasjon fra taushetsplikt, må mottaker av opplysningene ha behandlingsgrunnlag etter lov. Aktuelle behandlingsgrunnlag finnes blant annet i helseregisterloven, helseforskningsloven og personopplysningsloven.

Pasienten skal informeres om at opplysninger i journalen kan bli eller er utlevert, jf. pasientjournalloven § 18 som viser til personopplysningsloven §§ 18 flg. Det følger av pasient- og brukerrettighetsloven § 3-6 tredje ledd at dersom helsepersonell utleverer opplysninger som er underlagt lovbestemt taushetsplikt, skal den opplysningene gjelder så langt som mulig informeres om at opplysningene er gitt og hvilke opplysninger det dreier seg om.

Til § 21 Personopplysninger fra Det sentrale folkeregister

Den databehandlingsansvarlige kan innhente personopplysninger fra Det sentrale folkeregisteret når dette er nødvendig for å oppfylle den databehandlingsansvarliges plikter etter loven, for eksempel for refusjon av betalte egenandeler (registre hjemlet i § 11). Bestemmelsen gir rett til å innhente identitetsopplysninger (navn, adresse, fødselsnummer eller annen opplysning om identitet). Dette er personopplysninger som ellers er taushetsbelagte, men som med hjemmel i denne bestemmelsen kan gis uten hensyn til taushetsplikten.

Bestemmelsen erstatter gjeldende helseregisterlov §§ 12 fjerde ledd og 14 første ledd første punktum.

Til § 22 Sikring av konfidensialitet, integritet og tilgjengelighet

Bestemmelsen er en videreføring av gjeldende helseregisterlov § 16 for så vidt gjelder behandlingsrettede helseregistre.

Med databehandler menes den som behandler helseopplysninger på vegne av den databehandlingsansvarlige. Dette er i samsvar med definisjonen i personopplysningsloven § 2 nr.5.

Første ledd

Første ledd første setning slår fast at databehandlingsansvarlige og databehandlere gjennom planlagte og systematiske tiltak skal sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av helseopplysninger. Bestemmelsen har samme innhold som personopplysningsloven § 13 første ledd.

Krav om konfidensialitet innbærer at helseopplysninger må være sikret mot at uvedkommende får kjennskap til opplysningene. Den databehandlingsansvarlige skal sørge for at kravene til taushetsplikt overholdes ved behandling av helseopplysninger.

Krav til integritet betyr at helseopplysninger skal være sikret mot uautorisert endring eller sletting under transport eller lagring.

Samtidig som databehandlingsansvarlig skal ivareta kravene til taushetsplikt, skal opplysningene være tilgjengelige når det er et legitimt behov for opplysningene.

I gjeldende helseregisterlov § 16 står det uttrykkelig at bestemmelsen også omfatter opplysningenes kvalitet, dvs. at det faktisk er riktig det som nedskrives. Uttrykket «kvalitet» er tatt ut av lovteksten for å få samsvar med personopplysningsloven. Dette innebærer imidlertid ingen endring i gjeldende rett. Krav til kvalitet følger også av kravet om opplysningenes integritet.

I første ledd andre punktum er det presisert at kravet til informasjonssikkerhet også omfatter tilgangsstyring, logging og etterfølgende kontroll. Dette for å sikre at helseopplysningene i systemene til enhver tid er oppdaterte, korrekte og bare tilgjengelige for dem som har behov for opplysningene. Bestemmelsen er en presisering av krav som må sikres for å gjennomføre tilfredsstillende informasjonssikkerhet.

Krav om tilgangsstyring, logging og etterfølgende kontroll fremgår ikke av ordlyden i gjeldende helseregisterlov, men må innfortolkes og er dermed en videreføring av dagens krav til informasjonssikkerhet. Bestemmelsen innebærer ikke materielle endringer i uttrykket «tilfredsstillende informasjonssikkerhet».

Andre ledd

Andre ledd slår fast krav til dokumentasjon av informasjonssystemet og sikkerhetstiltakene. Bestemmelsen tilsvarer personopplysningsloven § 13 andre ledd, bortsett fra at det i denne loven står tilsynsmyndighetene og ikke Datatilsynet og Personvernnemnda som i personopplysningsloven. Det er fordi Statens helsetilsyn er tilsynsmyndighet etter loven her, i tillegg til Datatilsynet.

Tredje ledd

Tredje ledd slår fast at en virksomhet som lar andre få tilgang til helseopplysninger skal påse at disse oppfyller kravene til informasjonssikkerhet. Bestemmelsen tilsvarer personopplysningsloven § 13 tredje ledd.

Det stilles i loven ikke særlige krav til konkrete sikkerhetstiltak for å kunne gi helsepersonell tilgang til journalsystemer i andre virksomheter. Men virksomheter som åpner for at det kan gis tilgang til helseopplysninger fra personell i andre virksomheter må sørge for at systemene for tilgangsstyring, logging og kontroll er tilpasset dette. En forutsetning for deling av pasientinformasjon mellom virksomheter og tilgang til hverandres systemer er at informasjonssikkerheten ikke svekkes i noen av virksomhetene. Se for øvrig merknadene til § 19.

Fjerde ledd

Det følger av bestemmelsen at departementet kan gi forskrift om nærmere krav til informasjonssikkerhet ved behandling av helseopplysninger etter loven. Dette innebærer bestemmelser blant annet om

• tilgangsstyring og tilgangskontroll

• system for administrasjon av autorisasjoner for tilgang til helseopplysninger

• register og kontroll av autorisasjon

• opplæring av ansatte

• krav til kommunikasjonen

• autentiseringsløsning

• elektronisk signatur

• funksjon for at pasienten kan motsette seg utlevering eller tilgang til helseopplysninger

• sporbarhet

• langtidslagring

• nærmere krav til dokumentasjon av tilgang til, og utlevering av, helseopplysninger (logg)

• innhold og lagringstid for logg

Til § 23 Internkontroll

Første og andre ledd erstatter gjeldende helseregisterlov § 17 første og andre ledd for så vidt gjelder behandlingsrettede helseregistre. Bestemmelsen tilsvarer forslaget til ny helseregisterlov § 23.

Presiseringen av at internkontrollen også omfatter opplysningenes kvalitet er tatt ut. Dette innebærer ingen endringer i gjeldende rett, se merknadene til § 22. Tredje ledd fastslår at departementet i forskrift kan gi nærmere regler om internkontroll. Dette betyr at forskriftsmyndigheten endres fra Kongen til departementet.

Med databehandler menes den som behandler helseopplysninger på vegne av den databehandlingsansvarlige. Dette er i samsvar med definisjonen i personopplysningsloven § 2 nr. 5.

Til § 24 Overdragelse eller opphør av virksomhet

Bestemmelsen regulerer overføring av behandlingsrettede helseregistre ved overdragelse eller opphør av virksomheten.

Første ledd lovfester de bestemmelser som i dag følger av pasientjournalforskriften § 15 tredje ledd.

Andre ledd er en forskrifthjemmel som gir departementet myndighet til å fastsette nærmere regler om overføring av helseopplysninger ved opphør eller overdragelse av virksomhet.

Til § 25 Plikt til bevaring eller sletting

Bestemmelsen fastsetter virksomhetens plikt til å oppbevare helseopplysninger så lenge det er behov for dem, og å slette opplysningene når det ikke lenger er behov for dem. Disse reglene følger i dag av pasientjournalforskriften § 14. Bestemmelsen omfatter helseopplysninger i alle behandlingsrettede helseregistre etter loven.

Helsepersonelloven §§ 42 til 44 har også regler om retting og sletting.

Første ledd

Helseopplysninger skal oppbevares til det av hensyn til helsehjelpens karakter ikke lenger antas å bli bruk for dem. Det samme gjelder opplysninger om hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til pasientens eller brukerens navn eller fødselsnummer (logg).

Andre ledd

Hvis ikke helseopplysningene deretter skal bevares etter arkivloven eller annen lovgivning, skal de slettes. Dette tilsvarer personopplysningsloven § 28. Arkivlovens kassasjonsforbud setter en ytre grense for når helseopplysningene kan slettes. Arkivloven § 9 første ledd bokstav c fastsetter at arkivmateriale ikke kan kasseres uten at det skjer i samsvar med forskrift etter arkivloven § 12 eller etter særskilt samtykke fra Riksarkivaren, og at kassasjonsforbudet går foran bestemmelser om kassasjon i medhold av andre lover.

Tredje ledd

Kongen kan i forskrift gi nærmere bestemmelser om bevaring eller sletting av opplysninger i behandlingsrettede helseregistrene.

Kapittel 5. Tilsyn og sanksjoner

Til § 26 Tilsynsmyndighetene

Bestemmelsen innebærer ingen endringer i gjeldende rett og erstatter gjeldende helseregisterlov § 31. Datatilsynets og Personvernnemnda vil i tillegg ha myndighet til å håndheve personopplysningslovens regler i samsvar med personopplysningsloven.

Bestemmelsen om adgangen til å påklage Datatilsynets vedtak til Personvernnemnda, jf. gjeldende helseregisterlov § 32 tredje ledd er inntatt i sjette ledd.

Til § 27 Adgang til å gi pålegg

Bestemmelsen innebærer ingen endringer i gjeldende rett og erstatter gjeldende helseregisterlov § 32.

Til § 28 Tvangsmulkt

Bestemmelsen innebærer ingen endringer i gjeldende rett og erstatter gjeldende helseregisterlov § 33.

Til § 29 Overtredelsesgebyr

Bestemmelsen er ny i pasientjournalloven. Den tilsvarer personopplysningsloven § 46 første, andre og tredje ledd. Overtredelsesgebyr ble tatt inn i personopplysningsloven i 2009 uten at det ble gjort tilsvarende i helseregisterloven. Det er imidlertid lagt til grunn at Datatilsynet har kompetanse til å ilegge overtredelsesgebyr også etter helseregisterloven, med direkte hjemmel i personopplysningsloven. Bestemmelsen innebærer dermed ingen endring i gjeldende rett.

Til § 30 Straff

Bestemmelsen viderefører gjeldende rett og erstatter gjeldende helseregisterlov § 34.

Den som overtrer § 15 om taushetsplikt eller § 16 om forbud mot urettmessig tilegnelse av helseopplysninger kan straffes etter denne bestemmelsens første ledd. Straff for brudd på taushetsplikten er ikke tatt inn i helseregisterloven § 34 i dag. Enhver som behandler helseopplysninger etter gjeldende helseregisterlov, har imidlertid taushetsplikt etter helsepersonelloven, jf. § 15. Brudd på denne taushetsplikten er straffbart etter helsepersonelloven § 67. Det samme straffebudet er nå tatt inn i pasientjournalloven på samme måte som forbudet mot urettmessig tilegnelse av helseopplysninger.

Brudd på reglene om databehandlers rådighet over opplysningene (§ 18 i gjeldende helseregisterlov) er tatt ut av straffebestemmelsen fordi dette nå utelukkende skal reguleres i personopplysningsloven. Tilsvarende regel står imidlertid i personopplysningsloven § 15, som er straffesanksjonert etter § 48.

Straff for brudd på meldeplikt til Datatilsynet og opplysningsplikt overfor den registrerte etter gjeldende helseregisterlov § 34 andre ledd nr. 2 og 3, er av samme grunn tatt ut av straffebestemmelsen.

Det samme gjelder behandling av helseopplysninger uten nødvendig konsesjon eller i strid med vilkår i konsesjon.

Til § 31 Erstatning

Bestemmelsen innebærer ingen endringer i gjeldende rett og erstatter gjeldende helseregisterlov § 35.

Kapittel 6. Ikraftsetting m.v.

Til § 32 Ikraftsetting

Loven trer i kraft fra den tid Kongen bestemmer. Fra samme tid oppheves gjeldende helseregisterlov. Kongen kan bestemme at de enkelte bestemmelsene i loven skal tre i kraft til ulik tid.

Til § 33 Videreføring av forskrifter

Forskrifter vedtatt med hjemmel i gjeldende helseregisterlov vil bli videreført når ny pasientjournallov trer i kraft. Dette gjelder ikke enkelte forskrifter dersom det besluttes at disse skal oppheves eller endres. Bestemmelser i forskrifter som setter snevrere rammer for informasjonsdeling eller samarbeid enn det pasientjournalloven gjør, vil ikke bli videreført. Se punktene 11.3.6 og 12.1.2.

24.2 Merknader til bestemmelsene i helseregisterloven

Kapittel 1. Generelle bestemmelser

Til § 1 Lovens formål

Formålet med loven er å legge til rette for innsamling og annen behandling av helseopplysninger for å fremme helse, forebygge sykdom og skade og gi bedre helse- og omsorgstjenester. Samtidig skal loven sikre at behandlingen foretas på en etisk forsvarlig måte, ivaretar den enkeltes personvern og brukes til individets og samfunnets beste.

Det er gjort språklige og lovtekniske forenklinger i ordlyden i forhold til gjeldende helseregisterlov § 1.

Ved all behandling av helseopplysninger er det pasientenes beste som skal være det avgjørende.

Henvisningen til at behandlingen av helseopplysningene skal være etisk forsvarlig er ny. Etisk forsvarlighet skal være et overordnet krav til all behandling av helseopplysninger. Dette betyr at menneskeverd og menneskerettigheter skal respekteres. Tilsvarende krav er tatt inn i formålsbestemmelsen i helseforskningsloven. Forarbeidene til helseforskningsloven vil ha relevans (Ot.prp. nr. 74 (2006–2007) punkt 9.2.3).

Formålsbestemmelsen må leses i lys av avgrensningen av lovens saklige virkeområde i § 3, som sier hva slags bruk av helseopplysninger som loven gjelder.

Se nærmere om formålet i punkt 16.3.

Til § 2 Definisjoner

Bestemmelsen erstatter gjeldende helseregisterlov § 2.

Noen av definisjonene i gjeldende helseregisterlov § 2 er tatt ut fordi de også er definert i andre lover. Det er derfor i utgangspunktet ikke nødvendig å gjenta disse i denne loven. Enkelte definisjoner er imidlertid av en slik karakter at de likevel er funnet nødvendig også å innta her. Begrepene avidentifiserte og pseudonyme helseopplysninger er tatt ut av loven, fordi loven ikke lenger bruker disse begrepene. Se nærmere i punkt 21.3.1. Nytt i denne loven er begrepet indirekte identifiserbare helseopplysninger. Begrepet er derfor definert.

Med helseopplysninger (bokstav a) menes taushetsbelagte opplysninger etter helsepersonelloven § 21, og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson. Dette tilsvarer definisjonen i forslaget til pasientjournallov § 2 bokstav a og er en videreføring av definisjonen i gjeldende helseregisterlov § 2 nr. 1.

Med indirekte identifiserbare opplysninger (bokstav b) menes helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, men hvor opplysningene likevel kan knyttes til en enkeltperson. Begrepet er nytt med loven. Opplysninger som er pseudonyme etter gjeldende helseregisterlov § 2, kan være indirekte identifiserbare. Opplysninger som i gjeldende helseregisterlov er definert som avidentifiserte, fremstår derimot som anonyme for mottaker og er derfor ikke identifiserbare hos mottaker. Se nærmere om begrepet indirekte identifiserbare opplysninger i punkt 21.3.1.

Indirekte identifiserbare helseopplysninger kan utleveres uten hensyn til taushetsplikt etter nærmere vilkår i § 20. Plikt til å innrapportere indirekte identifiserbare opplysninger til statistikk følger av § 16.

Med behandling av helseopplysninger (bokstav c) menes enhver bruk av helseopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter. Denne definisjonen er en videreføring av gjeldende helseregisterlov § 2 nr. 5. Teksten i bestemmelsen er justert i samsvar med definisjonen av behandling av personopplysninger i personopplysningsloven § 2 nr. 2. Definisjonen er den samme som i forslaget til pasientjournallov § 2.

Helseregister (bokstav d) er definert som register, fortegnelser m.v. der helseopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen. Dette er en videreføring av definisjonen i gjeldende helseregisterlov § 2.

Med databehandlingsansvarlig (bokstav e) menes den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes, og den som i eller i medhold av lov er pålagt et databehandlingsansvar. Uttrykket «den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes» tilsvarer personopplysningsloven § 2 nr. 4 om behandlingsansvarlig og skal forstås på samme måte. Helseregisterloven bruker uttrykket databehandlingsansvarlig for å unngå forveksling med behandling i forståelsen helsehjelp.

Bestemmelsen er justert i forhold til gjeldende helseregisterlov § 2 nr. 8. Vanligvis er det den databehandlingsansvarlige som selv bestemmer om en behandling skal foretas, formålet med behandlingen osv. For enkelte registre vil imidlertid Stortinget eller regjeringen bestemme i lov eller forskrift at et register skal etableres og fastsette hvem som skal være databehandlingsansvarlig.

Samtykke (bokstav f) defineres som en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av helseopplysninger om seg selv. Dette er en videreføring av definisjonen i gjeldende helseregisterlov § 2 som tilsvarer definisjonen i personopplysningsloven § 2.

Til § 3 Saklig virkeområde

Bestemmelsen angir helseregisterlovens saklige virkeområde. Bestemmelsen erstatter gjeldende helseregisterlov § 3.

Loven gjelder både elektronisk og manuell behandling av helseopplysninger. Videre gjelder loven både offentlig og privat virksomhet. Dette er presisert i gjeldende helseregisterlov. Dette følger imidlertid uansett av en alminnelig fortolkning av ordlyden og er derfor tatt ut av loven.

Se punkt 17.3 om lovens saklige virkeområde.

Første ledd

Lovens virkeområde er begrenset til behandling av helseopplysninger til statistikk, helseanalyser, forskning, kvalitetsforbedring, planlegging, styring og beredskap i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten.

Begrepet helseanalyser er nytt med loven. Helseanalyser omfatter å beskrive og analysere risikofaktorer og utbredelsen av sykdom og skader i befolkningen og fordelingen av risikofaktorer for sykdom, skade og død i ulike befolkningsgrupper. Helseanalyser innebærer å bearbeide data og fortolke dem. Kunnskapen fra helseanalyser brukes blant annet i folkehelsearbeidet, som grunnlag for prioriteringer og til planlegging og styring lokalt, regionalt og nasjonalt. Helseanalyser omfatter også helseovervåking, kunnskapsoppsummeringer og metoder som aldersstandardisering, sykdomsbyrdeanalyser, tiltaksforskning og prognoser. Helseanalyser grenser opp mot, og overlapper delvis med, epidemiologisk forskning, helsetjenesteforskning, behandlingsforskning og studier av kvalitet i helsetjenestene. At begrepet er innarbeidet i bestemmelsen er en presisering og innebærer ingen endring i gjeldende rett.

Andre ledd

Det presiseres i loven at den også gjelder behandling av helseopplysninger i helsearkivregisteret i Norsk helsearkiv.

Tredje ledd

Loven gjelder ikke for behandling av helseopplysninger som reguleres av helseforskningsloven eller pasientjournalloven.

Behandling av helseopplysninger som omfattes av pasientjournalloven vil falle utenfor helseregisterloven. Det vil være formålet med behandlingen av opplysningene som bestemmer hvilken lov som skal anvendes i den enkelte sak. Pasientjournalloven gjelder bruk av helseopplysninger i behandlingsrettede helseregistre i forbindelse med helsehjelp (primærbruken), mens helseregisterloven gjelder bruk til forskning, statistikk osv. (sekundærbruken).

Kvalitetssikring av helsetjenester som sådan omfattes av loven her. Nasjonale kvalitetsregistre vil derfor fremdeles hjemles i helseregisterloven. Derimot vil behandling av helseopplysninger for kvalitetssikring av helsehjelp til en enkelt pasient og virksomhetens interne kvalitetssikring, omfattes av pasientjournalloven.

Avgrensningen mot helseforskningsloven er en videreføring av gjeldende rett. Forholdet til helseforskningsloven må ses i sammenheng med presiseringen i helseforskningsloven § 2 andre ledd. Av denne bestemmelsen følger at helseforskningsloven blant annet ikke gjelder for helseregistre som etableres uavhengig av konkrete medisinske og helsefaglige forskningsprosjekter. Det kan for eksempel være etablering av helseregistre med tanke på fremtidige prosjekter som på etableringstidspunktet ikke er tilstrekkelig konkretisert. Helseregisterloven vil da komme til anvendelse.

Også ved etablering av et helseregister for andre formål enn medisinsk og helsefaglig forskning vil helseregisterloven regulere behandlingen av opplysningene. Andre formål kan for eksempel være helsetjenesteforskning, kvalitetssikring av helsetjenesten, helseanalyser, administrasjon og styring.

Den nærmere grensedragningen av hvilke helseregistre som kan opprettes med hjemmel i helseregisterloven, og hvilke som kan hjemles i helseforskningsloven, vil avhenge av en konkret vurdering av registerets formål og karakter. Selv om et helseregister opprettes med hjemmel i helseregisterloven vil den konkrete bruken av innholdet i registrene kreve behandlingsgrunnlag i helseforskningsloven dersom det er tale om medisinsk og helsefaglig forskning etter helseforskningsloven. Se nærmere punkt 17.1.3 og 17.3.2 om avgrensningen mellom helseregisterloven og helseforskningsloven.

Når det gjelder behandling av genetiske opplysninger i helseregistre og forholdet til bioteknologiloven, videreføres gjeldende regler. Behandling av genetiske opplysninger i helseregistre reguleres av helseregisterloven. Bioteknologilovens krav til samtykke i § 5-8, gjelder først når opplysninger fra helseregistrene tas i bruk til forskningsformål som er omfattet av bioteknologiloven, jf. § 1-2 andre ledd. Se nærmere i punkt 4.11 om bioteknologiloven.

Fjerde ledd

Kongen i statsråd kan i forskrift bestemme at loven helt eller delvis skal gjelde for behandling av helseopplysninger utenfor helse- og omsorgsforvaltningen eller helse- og omsorgstjenesten. Bestemmelsen er en videreføring av gjeldende helseregisterlov § 3 tredje ledd, Forskrifter kan gis for å ivareta formål som beskrevet i lovens formålsbestemmelse § 1. Dette var tidligere presisert i hjemmelsbestemmelsen, men er nå tatt ut fordi det samme uansett følger av alminnelig lovtolkning.

Til § 4 Geografisk virkeområde

Bestemmelsen viderefører gjeldende helseregisterlov § 4. Loven har samme geografiske virkeområde som pasientjournalloven og personopplysningsloven, jf. § 4 i begge lover.

Til § 5 Forholdet til personopplysningsloven

Hovedloven for behandling av personopplysninger er personopplysningsloven. Helseregisterloven regulerer enkelte forhold som er spesielle for behandling av helseopplysninger i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten.

Denne bestemmelsen fastslår at personopplysningsloven gjelder så langt ikke annet følger av helseregisterloven. Bestemmelsen speiler personopplysningsloven § 5 som sier at regler om behandling av personopplysninger i særlover skal gå foran personopplysningsloven.

Flere bestemmelser som tidligere sto i helseregisterloven, er imidlertid tatt ut for å unngå unødige dobbeltreguleringer.

Dette betyr at personopplysningslovens generelle regler om behandling av personopplysninger fremdeles skal gjelde som bakgrunnsrett. Følgende bestemmelser i personopplysningsloven vil også gjelde og vil utfylle reglene i helseregisterloven:

• § 9 (vilkår for behandling av sensitive personopplysninger, se også ny helseregisterlov § 6)

• § 11 (grunnkrav til behandling av personopplysninger, se også ny helseregisterlov § 6)

• § 15 (databehandlers rådighet)

• § 16 (frist til å svare på henvendelser om informasjon m.v.)

• § 17 (det kan ikke kreves betaling for innsyn etter personopplysningsloven)

• § 18 (rett til innsyn i hva slags behandling av helseopplysningene som foretas, se henvisning i helseregisterloven § 24)

• §§ 19 til 24 (den databehandlingsansvarliges plikt til å gi informasjon, se henvisning i helseregisterloven § 24)

• § 27 (retting av mangelfulle opplysninger)

• § 28 (forbud mot å lagre unødvendige opplysninger)

• §§ 29 og 30 (overføring av opplysninger til utlandet)

• §§ 31, 32, 34 og 35 (meldeplikt til Datatilsynet og vilkår for konsesjon, se merknad til helseregisterloven § 7)

• §§ 42 flg. (Datatilsynet og Personvernnemnda har myndighet til å håndheve personopplysningslovens regler så langt de gjelder)

• § 48 første ledd bokstav a (straff for å unnlate å sende melding til Datatilsynet)

• § 48 første ledd bokstav b (straff for å behandle opplysninger uten nødvendig konsesjon)

Det kan ikke utelukkes at også andre bestemmelser kan være relevante. For eksempel kan det tenkes at personopplysningsloven § 25 om rett til manuell overprøving av automatiserte avgjørelser, kan bli aktuell å påberope seg når utviklingen av elektroniske løsninger for behandling av innsynsbegjæringer er kommet lengre.

Reglene om tilsyn og sanksjoner er de samme. Det er tatt inn bestemmelser om dette i helseregisterloven §§ 26 til 31, men disse er i samsvar med reglene i personopplysningsloven kapittel VIII om tilsyn og sanksjoner.

Helseregisterloven har særregler om spørsmål som også reguleres i personopplysningsloven og som skal gå foran. Slike regler er blant annet

• § 2 (definisjon av databehandlingsansvarlig, se merknadene til helseregisterloven § 2)

• §§ 7 til 13 (behandlingsgrunnlag i konsesjon eller forskrift)

• §§ 21 og 22 (informasjonssikkerhet og internkontroll; reglene er langt på vei de samme som personopplysningsloven, men det er tatt inn egne forskriftshjemler)

Kapittel 2. Tillatelse til å behandle helseopplysninger og etablering av helseregistre

Til § 6 Alminnelige vilkår for å behandle helseopplysninger

Bestemmelsen angir grunnvilkår for å behandle helseopplysninger og erstatter blant annet gjeldende helseregisterlov § 5 første og tredje ledd om behandling av helseopplysninger og § 11 om krav om formålsbestemthet, saklighet, relevans m.v. Det følger av bestemmelsen at den som har opplysningene må ha hjemmel for å levere dem ut og den som mottar opplysningene må ha et behandlingsgrunnlag.

Første ledd

Bestemmelsen sier at helseopplysninger bare kan behandles når det er tillatt etter helseregisterloven eller andre lover. Behandling kan være tillatt direkte i lov. Videre vil lovhjemlede forskrifter gi behandlingsgrunnlag, som for eksempel forskrifter etter helseregisterloven §§ 8 til 12. Konsesjon etter helseregisterloven § 7 eller personopplysningsloven § 33 vil også gi grunnlag.

Loven gir også hjemmel for å ha systemer som er nødvendige for å oppfylle lovfestede plikter i tilknytning til registrene. Dette gjelder for eksempel logg som er nødvendig for å kunne gi de registrerte innsyn etter § 24 i hvem som har hatt tilgang eller fått utlevert opplysninger.

Kravet om lovhjemmel betyr også at behandlingen ikke må være forbudt etter annen lovgivning. Opplysningene må være lovlig innhentet. Alle helseopplysninger er underlagt regler om taushetsplikt, jf. helseregisterloven § 17. Enhver som skal behandle helseopplysninger må derfor enten ha samtykke fra den registrerte, lov- eller forskriftshjemmel eller eventuelt dispensasjon fra taushetsplikten. Se punkt 21.1.5.

Andre ledd

Behandling av helseopplysninger krever som hovedregel samtykke fra den registrerte. Med samtykke menes en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av helseopplysninger om seg selv, se definisjonen i § 2.

Behandling av helseopplysninger forutsetter samtykke fra den registrerte dersom ikke annet er fastsatt i lov. Opplysninger i registre etablert for eksempel med hjemmel i forskrifter etter helseregisterloven §§ 9 bokstav b eller 10 vil dermed kunne behandles uten de registrertes samtykke.

Tredje ledd

Denne bestemmelsen stiller krav til behandlingen knyttet til formålet med behandlingen. Helseopplysningene som behandles kan bare nyttes til uttrykkelige angitte formål som er saklig begrunnet i virksomheten. Opplysningene skal være tilstrekkelige og relevante for formålet med behandlingen. Opplysningene skal ikke brukes senere uten den registrertes samtykke til formål som er uforenlige med det opprinnelige formålet med innsamlingen av opplysningene. Videre skal opplysningene være korrekte og oppdaterte, og ikke lagres lengre enn det som er nødvendig ut fra formålet med behandlingen. Det er den databehandlingsansvarlige som har ansvaret for at disse vilkårene er oppfylt. Disse kravene svarer til personopplysningsloven § 11 bokstavene b til e.

Fjerde ledd

Bestemmelsen fastslår at graden av personidentifikasjon ikke skal være større enn nødvendig ut fra formålet med behandlingen av opplysningene. Graden av personidentifikasjon skal begrunnes. Tilsvarende bestemmelse finnes i helseforskningsloven § 32 første ledd andre punktum og helsepersonelloven § 29 tredje punktum. Bestemmelsen følger også indirekte av gjeldende helseregisterlov § 11 andre ledd og innebærer ikke endringer i gjeldende rett.

Det følger av dette – og av det at loven bare gjelder opplysninger som kan knyttes til en enkeltperson – at opplysninger om en persons helse i utgangspunktet skal behandles anonymt. Der hvor det ut fra formålet likevel er nødvendig at opplysningene ikke er anonyme, kan personidentifiserende opplysninger behandles, men da bare etter lovens vilkår.

Femte ledd

Bestemmelsen gir hjemmel for departementet til å fastsette forskrifter om godkjenning av programvare, sertifisering og om bruk av standarder, klassifikasjonssystemer og kodeverk, samt hvilke nasjonale eller internasjonale standardsystemer som skal følges ved behandling av helseopplysninger etter denne loven. Dette er en videreføring av forskriftshjemler i gjeldende helseregisterlov § 16 om informasjonssikkerhet, men som i ny helseregisterlov passer bedre i § 6. Uttrykket autorisasjon som sto i parentes etter godkjenning, er tatt ut fordi det var overflødig og kunne være misvisende.

Til § 7 Konsesjon fra Datatilsynet

Første ledd

Datatilsynet kan gi konsesjon for etablering av helseregistre og annen behandling av helseopplysninger. Bestemmelsen knytter Datatilsynets konsesjonsmyndighet etter helseregisterloven til rammene i § 6 og personopplysningsloven. Bestemmelsen viderefører gjeldende regler om at all behandling av helseopplysninger, med mindre det følger av lov, i utgangspunktet skal ha konsesjon fra Datatilsynet.

Konsesjon skal kunne gis når lovens alminnelige vilkår for behandling av helseopplysninger er oppfylt, jf. ny helseregisterlov § 6, i tillegg til vilkårene i personopplysningsloven. Det første vilkåret i § 6 er at den registrerte har samtykket eller at behandlingen er tillatt i eller i medhold av lov. For det andre skal den databehandlingsansvarlige blant annet sørge for at opplysningene som behandles er tilstrekkelige og relevante for formålet. For det tredje skal graden av personidentifikasjon ikke være større enn nødvendig for formålet. Se nærmere om vilkårene i § 6.

Konsesjonen forutsetter at aktuelle opplysninger er tilgjengelige for den databehandlingsansvarlige etter reglene om taushetsplikt. Det er en forutsetning at opplysningene er lovlig innhentet, enten ved de registrertes samtykke, ved lovhjemmel eller ved dispensasjon fra taushetsplikten. At opplysningene er lovlig innhentet, gir ikke i seg selv behandlingsgrunnlag.

Videre er det et vilkår at formålet med behandlingen av opplysningene omfattes av et av de alternative kravene i personopplysningsloven § 9 bokstavene a til h. Bokstav a omfatter situasjonen der de registrerte samtykker til behandling av opplysningene. Når det gjelder helseregistre av et visst omfang er det imidlertid først og fremst alternativet i bokstav h som er aktuelt. Det vil si at behandlingen må være nødvendig for historiske, statistiske eller vitenskapelige formål. Alternativet i personopplysningsloven § 9 bokstav g kan også gi grunnlag for konsesjon. Bokstav g gjelder der «behandlingen er nødvendig for forebyggende sykdomsbehandling, medisinsk diagnose, sykepleie eller pasientbehandling eller for forvaltning av helsetjenester, og opplysningene behandles av helsepersonell med taushetsplikt». Kravet om nødvendighet innebærer at det skal stilles relativt strenge krav til vurderingen.

Bestemmelsene gjelder også om opplysningene behandles av forskere, administrativt ansatte eller andre som ikke er helsepersonell. Konsesjon kan dermed gis til behandling av helseopplysninger som har andre enn helsefaglige formål, jf. personopplysningsloven § 9 bokstav h.

I praksis vil dette bety at konsesjon kan gis dersom behandlingen av opplysningene er nødvendig for

• administrasjon, ledelse, planlegging og styring

• kvalitetssikring og kvalitetsforbedring

• helseanalyse og beredskap, eller

• statistikk og forskning.

Denne bestemmelsen innebærer at Datatilsynet i utgangspunktet kan gi konsesjon til alle typer helseregistre dersom vilkårene i helseregisterloven § 6 og personopplysningsloven § 9, er oppfylt.

Når vilkårene er oppfylt vil avgjørelsen om hva som kan etableres med hjemmel i konsesjon ellers måtte bero på en vurdering etter personopplysningsloven §§ 33 til 35. Dette er en personvernmessig vurdering.

I vurdering av konsesjonssøknader for behandling av helseopplysninger etter denne loven vil kriterier som registerets omfang (antallet personer og opplysninger), identitetsforvaltning (identifisering, autentisering og autorisasjon), varighet med mer, fremstå som viktige elementer i helhetsvurderingen. Samtykke er ett kriterium som vil kunne tilsi om et register kan etableres gjennom konsesjon. De enkelte kriteriene skal ikke tolkes som absolutte skranker for konsesjonskompetansen. Datatilsynet kan også gi konsesjon for behandling av helseopplysninger som ikke er basert på samtykke.

Det sentrale vil være i hvilken grad behandlingen av opplysningene samlet sett innebærer personvernmessige ulemper for den registrerte, og om disse eventuelt kan avhjelpes ved vilkår i konsesjon, jf. personopplysningsloven § 35. Dersom opplysningene skal kunne behandles uten samtykke, for eksempel etter dispensasjon fra taushetsplikt med hjemmel i lov, kan Datatilsynet bestemme at den enkelte skal ha rett til å motsette seg registrering eller annen behandling av opplysninger i registeret. Se kapittel 18 om reservasjonsrett. Datatilsynet bør derfor fortsatt som hovedregel, gi tidsbegrensede konsesjoner, med vilkår om at registeret skal vurderes innen en viss tid.

Enkelte helseregistre kan ha et så stort omfang og vil kunne medføre et så stort inngrep i personvernet, at de ikke bør hjemles i enkeltvedtak. I helt spesielle tilfeller kan dette også tenkes å omfatte store samtykkebaserte prosjekter.

Se for øvrig punkt 19.4.4 om Datatilsynets konsesjonsmyndighet.

Andre ledd

Konsesjonsplikt etter personopplysningsloven § 33 gjelder ikke for behandling av helseopplysninger som skjer med hjemmel i denne loven. Dette er en videreføring av gjeldende helseregisterlov § 5 andre ledd. Dette betyr at registre som har hjemmel i forskrift etter §§ 8 til 12 kan etableres uten Datatilsynets konsesjon.

Til § 8 Vilkår for etablering av helseregistre ved forskrift

Første ledd

Bestemmelsen gir – sammen med §§ 9 til 11 – Kongen i statsråd hjemmel til å vedta forskrifter om helseregistre. Disse bestemmelsene erstatter og viderefører forskriftshjemlene i gjeldende helseregisterlov §§ 7 og 8, og omfatter både lokale, regionale og sentrale helseregistre. Det er gjort språklige og lovtekniske endringer i bestemmelsene.

De registrene som er etablert etter gjeldende helseregisterlov videreføres med hjemmel i den nye loven. I tillegg utvides adgangen til å etablere nye helseregistre i forskrift, se merknadene til helseregisterloven § 9.

De ytre rammene for hva som kan fastsettes i forskrift følger av lovens formål i § 1 og lovens saklige virkeområde i § 3. Forskriftshjemlene er bygget opp slik at for det første må de alminnelige vilkårene i § 6 for å behandle helseopplysninger, være oppfylt. For det andre må vilkårene i § 8 være oppfylt, se merknadene til andre, tredje og fjerde ledd. For det tredje må vilkårene i enten §§ 9, 10 eller 11 være oppfylt.

Forskriftshjemlene er generelt utformet og ikke avgrenset til hvilken type helseregistre som kan etableres.

Se nærmere i punkt 19.4.2 og 19.4.3 om etablering av helseregistre ved forskrift.

Registre som har biobanker tilknyttet seg og som utleder helseopplysninger fra biologisk materiale, kan hjemles både i helseregisterloven og i helseforskningsloven, se punkt 17.3.2.

Andre ledd

Det er et vilkår for å etablere nye registre at den helsefaglige eller samfunnsmessige nytten av registeret klart overstiger personvernulempene. Nytte av registre er nærmere omtalt i punktene 6.6 og 6.7. Hvor inngripende opprettelsen av et register er, avhenger blant annet av den registrertes mulighet til å motsette seg behandling av opplysningene, hvilke opplysninger som skal behandles og graden av personidentifikasjon. En vurdering av om den helsefaglige eller samfunnsmessige nytten klart overstiger personvernulempene, må derfor foretas konkret for hvert enkelt register.

Tredje ledd

Registrene skal ivareta oppgaver etter apotekloven, folkehelseloven, helse- og omsorgstjenesteloven, legemiddelloven, smittevernloven, spesialisthelsetjenesteloven og tannhelsetjenesteloven. Dette er en videreføring av gjeldende helseregisterlov § 7 andre ledd første punktum og § 8 andre ledd første punktum. Henvisningen til legemiddelloven er ny.

Fjerde ledd

En forskrift om etablering av helseregistre skal angi formålet med behandlingen av helseopplysningene, hvilke typer opplysninger som kan behandles, krav til identitetsforvaltning, krav til sikring av opplysningene og hvem som er databehandlingsansvarlig.

Forskriften skal fastsette krav til identitetsforvaltning. Dette innebærer at det skal fastsettes krav til identifisering, autentisering og autorisering. Det vises til Meld. St. 11 (2012–2013) punkt 9.5. Begrepet identitetsforvaltning i denne bestemmelsen skal forstås på samme måte. Identitetsforvaltning vil si å administrere identiteter, og handler i vid forstand om å identifisere individ og kontrollere tilgangen til ressurser. Identifisering dreier seg om å skille personer fra hverandre. En person kan identifisere seg med navn og fødselsdato, eventuelt fødselsnummer, eller andre personentydige kjennetegn. Autentisering dreier seg om å slå fast at en person er den personen han eller hun gir seg ut for å være. I kombinasjon med ett eller flere passord, PIN-kode eller for eksempel et personlig smartkort, kan et fødselsnummer autentisere en person. En autorisering av en person regulerer hva en person kan gjøre etter at autentiseringen er gjennomført.

I tillegg til å identifisere, autentisere og autorisere personer som skal ha tilgang til opplysningene i registeret, er det viktig å sikre de registrertes konfidensialitet. Dette omfattes av bokstav d som setter krav til sikring av opplysningene.

Til § 9 Etablering av registre som er samtykkebaserte eller uten direkte personidentifiserende kjennetegn

Bestemmelsen erstatter forskriftshjemmelen i gjeldende helseregisterlov § 7 og § 8 andre ledd. Det er gjort språklige og lovtekniske endringer i forskriftshjemmelen.

For at det skal kunne vedtas forskrifter må vilkårene i ny helseregisterlov § 8 være oppfylt. Videre må enten den registrerte samtykke (bokstav a) eller så må opplysningene behandles uten at den databehandlingsansvarlige har tilgang til navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn (bokstav b).

Bokstav a Samtykke

Hvis vilkårene i § 8 er oppfylt kan Kongen i statsråd etablere nye registre som er basert på at den registrerte samtykker, jf. § 9 bokstav a. Kravet til samtykke er definert i § 2.

Bestemmelsen vil blant annet gi hjemmel til å forskriftsregulere store befolkningsbaserte helseundersøkelser. Det er etablert en rekke befolkningsbaserte helseundersøkelser i Norge. Eksempler på slike helseregistre er undersøkelser som Den norske mor og barn-undersøkelsen og helseundersøkelser tilknyttet CONOR-samarbeidet (Cohort of Norway), for eksempel Tromsø 4 og 5, HUNT (Nord-Trøndelag), HUSK (Hordaland), HUBRO og Innvandrer-HUBRO (Oslo).

Bokstav b Uten direkte personidentifiserende kjennetegn

Det kan også vedtas forskrifter om etablering av registre der opplysningene behandles uten at den databehandlingsansvarlige har tilgang til navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn, jf. bokstav b.

Avgjørende for registre etter bokstav b er at den databehandlingsansvarlige ikke skal behandle direkte personidentifiserende opplysninger. Denne type registre vil være mindre inngripende for den registrerte enn registre med direkte personidentifiserende opplysninger. Opplysningene kan være personentydige, slik at det er mulig å følge for eksempel et behandlingsforløp for hver pasient. Det vil da finnes en koblingsnøkkel, men denne skal ikke være tilgjengelig for den databehandlingsansvarlige. Dette gjelder derfor også ansatte og andre personer som den databehandlingsansvarlige har instruksjonsmyndighet over. Den databehandlingsansvarlige skal heller ikke ha instruksjonsmyndighet over bruk av koblingsnøkkelen.

Opplysningene kan behandles uten den registrertes samtykke. Hvis virksomheter og helsepersonell har plikt til å melde inn opplysninger etter § 13, kan dette skje uten den registrertes samtykke.

Prinsippet om at det minst personverninngripende tiltaket for å oppnå formålet skal velges, ligger fast. Dette innebærer blant annet at det, i likhet med etablering av andre helseregistre, alltid skal vurderes om den enkelte kan gis rett til å motsette seg å stå i registeret, se punkt 18.4.

Dette gjelder selv om opplysningene er indirekte identifiserbare og dermed i utgangspunktet er underlagt taushetsplikt, jf. § 17 om taushetsplikt og definisjonen av indirekte identifiserbare opplysninger i § 2 bokstav b.

Hjemmelen inkluderer det som i dag omtales som avidentifiserte registre og pseudonyme registre. Disse begrepene er imidlertid tatt ut av den nye loven, se punkt 21.3.1. Slike registre kan etter gjeldende helseregisterlov §§ 7 og 8 andre ledd etableres ved forskrift vedtatt av Kongen i statsråd. Eksisterende registre som er av denne typen kan videreføres med hjemmel i den nye bestemmelsen. Reseptregisteret er et slikt pseudonymt register som videreføres med hjemmel i denne bestemmelsen, jf. § 33. Nye pseudonyme eller avidentifiserte registre kan også etableres med hjemmel i § 9 bokstav b, dersom vilkårene er oppfylt.

Til § 10 Helseregistre der den registrerte har rett til å motsette seg behandling av helseopplysninger

Kongen i statsråd kan gi forskrift om helseregistre der navn, fødselsnummer og andre direkte personidentifiserende kjennetegn skal kunne behandles uten samtykke fra den registrerte.

Denne forskriftshjemmelen er ny. Den gir hjemmel til å etablere ikke samtykkebaserte helseregistre dersom den registrertes selvbestemmelse ivaretas gjennom en reservasjonsrett. Se nærmere i kapittel 18 om selvbestemmelse og reservasjonsrett.

For å vedta forskrifter etter denne bestemmelsen, må vilkårene i § 8 må være oppfylt.

Det er videre et vilkår for å kunne vedta slike forskrifter at det for å oppnå formålet med behandlingen av opplysningene og hensynet til registerets kvalitet ikke kan kreves at samtykke innhentes, jf. bokstav a. Spørsmålet er om det er nødvendig for å nå formålet med registeret at registeret ikke er basert på samtykke. Denne vurderingen må gjøres konkret for hvert register som etableres. Videre må det vurderes hvor stort frafall registeret kan tåle uten at resultatene mister statistisk relevans eller datakvaliteten blir for dårlig til å kunne brukes i samsvar med registerets formål. Betydningen av at registeret er komplett og betydningen av reservasjonsrett eller samtykkekrav for datakvalitet og registrenes formål, er drøftet i punkt 18.4.4. I denne sammenheng kan det også legges vekt på de praktiske mulighetene for å kunne innhente samtykke.

Hvis det er mulig å innhente samtykke og formålet med registeret kan nås selv om det må innhentes samtykke, kan det ikke etableres et register med hjemmel i denne bestemmelsen.

Den registrertes selvbestemmelse og integritet må ivaretas ved at den registrerte får rett til å motsette seg at helseopplysninger behandles i registeret. Den registrerte skal kunne motsette seg at opplysninger registreres, lagres eller behandles på andre måter. Den registrerte må når som helst kunne reservere seg slik at registrerte opplysninger slettes for videre bruk. Opplysninger som allerede er brukt i forskning, statistikk eller lignende må imidlertid kunne bli stående. Tilsvarende gjelder opplysninger som gjøres anonyme.

Reglene i § 15 om hvem som har samtykkekompetanse, vil gjelde tilsvarende ved utøvelse av reservasjonsretten.

Det må legges til rette for god informasjon om muligheten til å reservere seg og hva man kan reservere seg mot. Det må stilles strenge krav til at den enkelte skal bli informert om adgangen til å reservere seg. Som hovedregel bør det gis informasjon før eller i forbindelse med registreringen. Blant annet må det informeres om formålet med registeret, hvilke opplysninger som registreres, hvordan opplysningene kan brukes, og hvem de eventuelt kan bli utlevert til hvis vedkommende ikke reserverer seg. Informasjonen må formidles på en slik måte at den når alle registrerte. Videre må det etableres enkle og brukervennlige løsninger for reservasjon. Se nærmere punkt 18.1.2 om reell reservasjonsrett.

Det avgjørende momentet vil deretter være om personvernet og de registrertes selvbestemmelse vil bli tilstrekkelig sikret gjennom reservasjonsretten og kravene til informasjonssikkerhet og så videre i registeret, jf. § 8 andre ledd.

Bestemmelsen vil gi hjemmel til å etablere nasjonale registre i forskrift. Flere slike registre er i dag etablert med hjemmel i konsesjon fra Datatilsynet eller i forskrift etter gjeldende helseregisterlov § 8.

Nasjonale medisinske kvalitetsregistre som brukes til kvalitetssikring og -forbedring av bestemte typer behandling kan være aktuelt å regulere i forskrift etter denne bestemmelsen. Medisinske kvalitetsregistre er registre som løpende skal dokumentere resultater for en avgrenset pasientgruppe med utgangspunkt i individuelle behandlingsforløp. Hovedformålet til medisinske kvalitetsregistre er å dokumentere behandlingsprosesser og behandlingsresultater til bruk i kvalitetsforbedringsarbeid og som grunnlag for forskning, kvalitetssikring og forbedring av helsetjenestene til befolkningen. Med nasjonale registre menes her at registeret har fått status som nasjonalt register fra Helsedirektoratet, at registeret har hele landet som nedslagsfelt, og ikke bare dekker et begrenset geografisk område. Se nærmere om medisinske kvalitetsregistre i punkt 6.2.

Se nærmere om denne forskriftshjemmelen i punkt 19.4.2.

Til § 11 Lovbestemte helseregistre

Bestemmelsen viderefører hjemmelsgrunnlaget for de eksisterende ikke samtykkebaserte sentrale helseregistrene som i dag er hjemlet i gjeldende helseregisterlov § 8 tredje ledd. Eksempler på slike registre er Kreftregisteret og Medisinsk fødselsregister. Dette er registre som ivaretar viktige samfunnsmessige og helsefaglige nasjonale funksjoner. Registrene behandler helseopplysninger om mange personer og er landsdekkende. Formålet med slike registre forutsetter ofte at opplysningene skal lagres over lang tid.

Bokstav i om system for bivirkningsrapportering er ny i bestemmelsen. Denne bestemmelsen gir tydelig hjemmel for å lagre systematisk oversikt over data fra bivirkningsmeldinger. Se kapittel 20 om bivirkningsrapportering.

Hjemmelen for nasjonal database for elektroniske resepter i gjeldende helseregisterlov § 8 tredje ledd nr. 9 er flyttet til pasientjournalloven § 12 (Reseptformidleren).

Det sentrale tuberkuloseregisteret i gjeldende helseregisterlov § 8 tredje ledd nr. 5 er ikke videreført som eget register i denne bestemmelsen. Tuberkuloseregisteret er nå en fullstendig integrert del av MSIS- og Tuberkuloseregisteret, og inngår som en av A-sykdommene i forskriften. Tuberkuloseregisteret vil da være hjemlet i ny helseregisterlov § 11 bokstav d.

Kongen i statsråd skal gi forskrift før registre etter denne bestemmelsen kan etableres. Slike forskrifter må være i samsvar med vilkårene i § 8 og skal derfor blant annet angi hvilke opplysninger som skal kunne registreres i registeret.

Siste ledd viderefører gjeldende helseregisterlov § 8 sjuende ledd om lagring i Kreftregisteret av opplysninger fra screeningprogram. Kreftregisteret kan inneholde helseopplysninger om personer som har deltatt i undersøkelsesprogram for tidlig diagnose og kontroll for kreftsykdom. Ved negativt funn (normale funn) kan opplysninger om navn, fødselsnummer, adresse, bostedskommune og sivilstand registreres permanent, med mindre den registrerte motsetter seg det. Dersom den registrerte har motsatt seg permanent registrering, skal opplysningene slettes etter at de er kvalitetssikret og senest seks måneder etter innsamlingen. Siste ledd gjelder også funn som er innsamlet før 1. januar 2014. Denne bestemmelsen trådte i kraft 1. januar 2014, jf. lov 21. juni 2013 nr. 80 og Prop. 160 L (2012–2013). Formålet med lovendringen var å unngå at innsamlede data som er viktige for kreftomsorgen gikk tapt. Reglene om permanent lagring og reservasjonsrett for negative funn, ble derfor gitt tilbakevirkende kraft.

Til § 12 Helsearkivregisteret

Bestemmelsen innebærer ingen innholdsmessige endringer i gjeldende rett og erstatter gjeldende helseregisterlov § 8 a. Ordlyden i andre ledd er justert ved at det nå fremgår tydelig at Helsearkivregisteret behandler opplysninger om avdøde pasienter. Videre er henvisningen til spesialisthelsetjenesteloven § 3-2 a tatt bort.

Til § 13 Innmelding av helseopplysninger til helseregistre

Bestemmelsen regulerer meldeplikt for virksomheter og helsepersonell til registre etter §§ 8 til 12, det vil si alle registre som er etablert og regulert i forskrift etter helseregisterloven. Bestemmelsen viderefører gjeldende helseregisterlov § 9 første ledd for så vidt gjelder helseregistre som ikke er behandlingsrettede. Når det gjelder registre etter §§ 9 bokstav b, 10, 11 og 12, kan innmelding skje uten hinder av taushetsplikt. Innmelding til registre etter § 9 bokstav a vil være betinget av at den registrerte samtykker.

Til § 14 Opplysninger fra Det sentrale folkeregisteret

Den databehandlingsansvarlige kan etter denne bestemmelsen innhente personopplysninger de har tillatelse til å behandle etter §§ 8 til 12 fra Det sentrale folkeregisteret. Bestemmelsen erstatter, sammen med § 19 første ledd tredje punktum om sammenstilling, gjeldende helseregisterlov § 12 fjerde ledd og § 14. Innhentingen kan skje uten hinder av taushetsplikt.

Til § 15 Hvem som har samtykkekompetanse

Bestemmelsen regulerer hvem som har kompetanse til å samtykke til behandling av helseopplysninger. Bestemmelsen tilsvarer helseforskningsloven § 17 som regulerer samtykkekompetanse for å delta i medisinsk og helsefaglig forskning.

Reglene om samtykkekompetanse må leses i sammenheng med definisjonene av samtykke og behandling av helseopplysninger i helseregisterloven § 2.

Hvis foreldre eller andre har samtykket på vegne av barn under 16 år, vil samtykket fortsatt være gyldig når barnet fyller 16 år og får kompetanse til å samtykke på vegne av seg selv. Den som har fylt 16 år vil imidlertid ha rett til å trekke samtykket tilbake og sperre for videre bruk av opplysningene. Dette innebærer også en rett til å få slettet opplysningene.

Reglene om hvem som har samtykkekompetanse, vil gjelde tilsvarende ved utøvelse av reservasjonsrett.

Til § 16 Plikt til å innrapportere data til statistikk

Bestemmelsen er en videreføring av gjeldende helseregisterlov § 10 og gir hjemmel for at departementet i forskrift eller enkeltvedtak kan pålegge regionale helseforetak, helseforetak, fylkeskommuner og kommuner å rapportere inn anonyme og indirekte personidentifiserbare data til statistikk. Bestemmelsen omfatter indirekte personidentifiserbare helseopplysninger, i motsetning til gjeldende helseregisterlov § 10 som omfatter avidentifiserte data. Bestemmelsen fastslår at rapporteringsplikt kan pålegges uten hensyn til taushetsplikt. Indirekte personidentifiserbare helseopplysninger er definert i § 2 nr. 2. Hovedrapporteringen av informasjonsutvekslingen mellom kommune og stat skal skje i KOSTRA-sammenheng. Hjemmelen er imidlertid ikke begrenset til dette.

Kapittel 3. Alminnelige bestemmelser om behandling av helseopplysninger

Til § 17 Taushetsplikt

Enhver som behandler helseopplysninger etter helseregisterloven har taushetsplikt. I bestemmelsen vises det til helsepersonelloven § 21 flg. om taushetsplikt. Disse reglene gjelder tilsvarende for personer som behandler helseopplysninger selv om de ikke er helsepersonell, for eksempel forskere.

Bestemmelsen erstatter gjeldende helseregisterlov § 15 som viser til både helsepersonellovens og forvaltningslovens regler om taushetsplikt. Henvisningen til forvaltningsloven er tatt ut i den nye bestemmelsen. Dette innebærer ingen praktisk endring i taushetsplikten for de som behandler helseopplysninger. Det følger av forvaltningsloven § 13 f at dersom noen som utfører tjeneste eller arbeid for et forvaltningsorgan, er pålagt taushetsplikt ved bestemmelse i annen lov, forskrift eller instruks av hensyn til private interesser, gjelder §§ 13 til 13 e utfyllende når ikke annet er bestemt i lov eller i medhold av lov. Det er antatt at reglene om taushetsplikt etter forvaltningsloven er noe mindre strenge enn etter helsepersonelloven, se punkt 21.1.5 om taushetsplikten etter gjeldende helseregisterlov.

Denne loven § 20 gjør unntak fra taushetsplikten for indirekte identifiserbare helseopplysninger. Helsepersonelloven §§ 29 og 29 b gir hjemmel til å dispensere fra taushetsplikten. Et annet unntak fra taushetsplikten er for eksempel helseforskningsloven § 35 om innsamling av helseopplysninger fra helsepersonell til bruk i forskning.

Til § 18 Forbud mot urettmessig tilegnelse av taushetsbelagte helseopplysninger

Bestemmelsen viderefører gjeldende helseregisterlov § 13 a og innebærer ingen endringer i gjeldende rett.

Til § 19 Sammenstilling av helseopplysninger

Bestemmelsen erstatter gjeldende helseregisterlov § 12 tredje og fjerde ledd. Se punkt 21.3.4 om sammenstilling av helseopplysninger.

Første ledd

Kongen i statsråd kan gi forskrifter om sammenstilling av opplysninger i helseregistre og andre registre. Bestemmelsen erstatter gjeldende helseregisterlov § 12. Bestemmelsen gir også hjemmel for å kunne sammenstille helseregistre med andre registre.

Sammenstilling kan tillates for opplysninger i helseregistre etablert med hjemmel i §§ 8 til 12. Dette er opplysninger som er innsamlet etter § 13 og som helsepersonell har plikt til å utlevere. Forskriftshjemmelen omfatter dermed alle helseregistre hjemlet i forskrift etter helseregisterloven. Det kan også gis forskrifter om sammenstilling av opplysninger i helseregistre med opplysninger i andre registre. Norsk pasientregisterforskrift § 3-1 andre ledd er eksempel på en slik sammenstilling. Det følger av denne forskriften at opplysninger i Norsk pasientregister blant annet kan sammenstilles med sosioøkonomiske opplysninger i registre fra Statistisk sentralbyrå. Helseopplysningene kan også sammenstilles med folkeregistrerte opplysninger om den registrerte. Dette gjelder der opplysningene er innsamlet etter § 13 og behandlingen er hjemlet i §§ 8 til 12, det vil si opplysninger etter § 19 første ledd første og andre punktum.

Bestemmelsen viderefører gjeldende helseregisterlov § 12 fjerde ledd. Denne bestemmelsen hjemler retten til å sammenstille opplysninger. Det følger av § 14 at opplysningene kan innhentes fra Folkeregisteret.

Andre ledd

Den databehandlingsansvarlige kan utlevere helseopplysninger for sammenstillingen. Slik utlevering kan skje uten hensyn til taushetsplikt. Opplysningene vil være underlagt taushetsplikt hos mottaker.

Opplysningene kan sammenstilles med hverandre i samsvar med formålene til helseregistrene. Sammenstillinger kan skje gjennom behandling av registerdata for at registrene kan nå sine formål. Videre kan sammenstilling også skje som en måte å innhente data på, i de tilfellene der to registre kan inneholde den samme variabelen. Med mindre annet følger av lov eller i medhold av lov skal resultatet av sammenstillingen ikke inneholde navn, fødselsnummer eller andre direkte identifiserende kjennetegn.

Det presiseres i loven at sammenstillingen skal gjøres av den databehandlingsansvarlige for et av registrene eller en virksomhet som departementet bestemmer.

Tredje ledd

Ut over det som følger av forskrifter gitt etter denne bestemmelsen, kan helseopplysninger sammenstilles med andre opplysninger når dette er tillatt etter personopplysningsloven § 9, jf. §§ 33 til 35.

Til § 20 Unntak fra taushetsplikten for indirekte identifiserbare helseopplysninger

Bestemmelsen regulerer adgangen til å utlevere indirekte identifiserbare helseopplysninger fra helseregistre. Bestemmelsen er ny, se punkt 21.3.2.

Begrepet indirekte identifiserbare helseopplysninger er definert i § 2 bokstav b.

Indirekte identifiserbare helseopplysninger er taushetsbelagte etter forslaget til ny helseregisterlov § 17. Den nye bestemmelsen gjør unntak fra taushetsplikten ved utlevering, slik at det ikke er nødvendig å søke dispensasjon fra taushetsplikten.

Når det gjelder opplysninger som i gjeldende helseregisterlov er definert som avidentifiserte fremstår disse som anonyme for mottaker og er ikke underlagt taushetsplikt hos mottaker. Fordi opplysningene er anonyme for mottaker, kan databehandlingsansvarlig utlevere dem uten at det er nødvendig med unntak fra taushetsplikt, jf. helsepersonelloven § 23 første ledd nr. 3. Se nærmere i punkt 21.1 om avidentifiserte opplysninger, anonyme opplysninger og taushetsplikt.

Første ledd

Den databehandlingsansvarlige for sentrale helseregistre kan etter en konkret vurdering og uten hinder av taushetsplikt, utlevere indirekte identifiserbare opplysninger til formål som det aktuelle registeret er etablert for.

Adgangen til å utlevere indirekte identifiserbare helseopplysninger følger av loven. Bestemmelsen setter vilkår for adgangen til å utlevere opplysningene.

Bestemmelsen gjelder kun forskriftsregulerte registre etter den nye helseregisterloven § 11 (dvs. registre som i dag er hjemlet i helseregisterloven § 8 tredje ledd). Slike registre er for eksempel Norsk Pasientregister eller Kreftregisteret. Bestemmelsen gjelder ikke store samtykkebaserte registre eller befolkningsundersøkelser som for eksempel Den norske mor og barn-undersøkelsen (MoBa) der behandlingsgrunnlaget er konsesjon fra Datatilsynet. Bestemmelsen vil heller ikke gjelde opplysninger innsamlet til MoBa selv om denne i fremtiden eventuelt vil bli hjemlet i forskrift etter § 9.

Unntaket fra taushetsplikten gjelder bare dersom opplysningene skal brukes til forskning, helseanalyser, eller kvalitetssikring, administrasjon, planlegging eller styring av helse- og omsorgstjenesten.

Bestemmelsen har de samme formålsbegrensninger som dispensasjonshjemlene i helsepersonelloven §§ 29 og 29 b, bortsett fra at det presiseres i bestemmelsen at opplysningene kan utleveres til bruk for helseanalyser. Begrepet helseanalyser er nytt i loven. Helseanalyser omfatter å beskrive og analysere risikofaktorer og utbredelsen av sykdom og skader i befolkningen og fordelingen av risikofaktorer for sykdom, skade og død i ulike befolkningsgrupper. Dette innebærer ingen utvidelse av bestemmelsens virkeområde, se punkt 17.1.

Andre ledd

Helseopplysningene kan bare utleveres dersom

• behandlingen av dem er av vesentlig interesse for samfunnet,

• hensynet til pasientens integritet og konfidensialitet er ivaretatt, og

• behandlingen er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn.

Utleveringen skal baseres på en konkret vurdering. Den databehandlingsansvarlige må vurdere risikoen for identifisering og misbruk. I vurderingen må det også blant annet legges vekt på om antall personer som får innsyn i de utleverte opplysningene er begrenset.

Det vil være den som har ansvaret for registeret (databehandlingsansvarlig) som beslutter om opplysningene kan utleveres eller ikke. I praksis vil dette være for eksempel Folkehelseinstituttet eller Helsedirektoratet.

Unntaket gjelder kun taushetsplikten ved utleveringen. De alminnelige vilkårene for behandling av helseopplysninger gjelder dermed også ved utlevering av opplysninger, se ny helseregisterlov § 6. Dette betyr at den som mottar opplysningene fremdeles må ha hjemmel for å behandle dem. Adgangen til å behandle opplysningene vil følge det ordinære regelverket med behandlingsgrunnlag i forskrift, eventuell konsesjon fra Datatilsynet eller tillatelse fra REK.

Bestemmelsen gjelder også utlevering til forskning. REK skal da vurdere etiske, medisinske, helsefaglige, vitenskapelige og personvernmessige forhold ved forskningsprosjektet, inkludert behandlingen av helseopplysninger.

Videre følger det av de alminnelige vilkårene blant annet at det ikke skal behandles flere helseopplysninger enn det som er nødvendig ut fra formålet, og at graden av personidentifikasjon ikke skal være større en nødvendig for det aktuelle formålet. Den databehandlingsansvarlige må videre vurdere hvilke opplysninger som er nødvendige for å oppfylle formålet med søknaden, og at dette er et formål som ligger innenfor registerets eget formål. Den databehandlingsansvarlige kan stille de vilkårene for utleveringen som er nødvendige på bakgrunn av en konkret sikkerhetsvurdering. Datasettet skal alltid slettes når det ikke lenger er relevant eller nødvendig å oppbevare det lenger.

Den som mottar opplysningene vil ha taushetsplikt, jf. helseregisterloven § 17.

Til § 21 Sikring av konfidensialitet, integritet og tilgjengelighet

Bestemmelsen erstatter gjeldende helseregisterlov § 16 og er en videreføring av gjeldende rett. Bestemmelsen tilsvarer personopplysningsloven § 16 og forslaget til pasientjournallov § 22.

Bestemmelsen presiserer at den databehandlingsansvarlige skal sørge for tilfredsstillende tilgangsstyring, logging og etterfølgende kontroll. Dette for å sikre at helseopplysningene i systemene til enhver tid er oppdaterte, korrekte og bare tilgjengelige for dem som har behov for opplysningene. Bestemmelsen er en presisering av krav som må sikres for å gjennomføre tilfredsstillende informasjonssikkerhet.

Krav om tilgangsstyring, logging og etterfølgende kontroll fremgår ikke av ordlyden i gjeldende helseregisterlov, men må innfortolkes og er dermed en videreføring av dagens krav til informasjonssikkerhet. Bestemmelsen innebærer ikke materielle endringer i uttrykket «tilfredsstillende informasjonssikkerhet».

I gjeldende helseregisterlov § 16 står det uttrykkelig at dette også omfatter opplysningenes kvalitet, dvs. at det faktisk er riktig det som nedskrives. Uttrykket «kvalitet» er tatt ut av lovteksten for å få samsvar med personopplysningsloven. Dette innebærer imidlertid ingen endring i gjeldende rett. Kravet til opplysningenes kvalitet skal fremdeles innfortolkes. Krav til opplysningenes kvalitet følger av helseregisterloven § 6 tredje ledd bokstav d. Det samme følger også av kravet om opplysningenes integritet.

Kravet om kryptering for direkte personidentifiserende kjennetegn i registre etablert med hjemmel i §§ 10 eller 11 er en videreføring av gjeldende helseregisterlov § 16 andre ledd.

Med databehandler menes den som behandler helseopplysninger på vegne av den databehandlingsansvarlige. Dette er i samsvar med definisjonen i personopplysningsloven § 2 nr. 5.

Se for øvrig merknadene til pasientjournalloven § 22.

Til § 22 Internkontroll

Bestemmelsen erstatter gjeldende helseregisterlov § 17 og er en videreføring av gjeldende rett. Se også tilsvarende regler i pasientjournalloven § 23 og personopplysningsloven § 14.

Presiseringen av at internkontrollen også omfatter opplysningenes kvalitet er tatt ut. Dette innebærer ingen endringer i gjeldende rett. Krav til opplysningenes kvalitet følger av helseregisterloven § 6 tredje ledd bokstav d. Siden internkontrollen gjelder krav etter helseregisterloven, vil derfor opplysningenes kvalitet uansett omfattes av bestemmelsen. Se også merknadene til § 21.

Med databehandler menes den som behandler helseopplysninger på vegne av den databehandlingsansvarlige. Dette er i samsvar med definisjonen i personopplysningsloven § 2 nr. 5.

Tredje ledd fastslår at departementet i forskrift kan gi nærmere regler om internkontroll. Dette betyr at forskriftsmyndigheten endres fra Kongen til departementet.

Kapittel 4. Informasjon, innsyn, retting, sletting og sperring

Til § 23 Informasjon til allmennheten om behandling av helseopplysninger

Bestemmelsen fastslår at en databehandlingsansvarlig som behandler opplysninger etter forskrift i medhold av §§ 8 til 11 av eget tiltak skal informere allmennheten om hva slags behandling av helseopplysninger som foretas. Plikten til å informere allmennheten omfatter også innhenting av opplysninger etter denne loven § 13. Bestemmelsen viderefører gjeldende helseregisterlov § 20.

Bestemmelsen styrker allmennhetens rett til informasjon og kunnskap om forskriftsbaserte helseregistre og behandlingen av helseopplysningene i slike registre. Innholdet i informasjonsplikten etter § 23 er det samme som innholdet i informasjonsplikten etter personopplysningsloven § 18 første ledd. Men mens informasjonsplikten etter personopplysningsloven § 18 første ledd først oppstår når noen ber om det, skal informasjonen etter helseregisterloven § 23 gis av eget tiltak.

Formålet med bestemmelsen er todelt. For det første er det viktig at befolkningen får informasjon og kunnskap om nytten av helseregistre, og får forståelse av at det er nødvendig for helse- og omsorgsforvaltningen å behandle helseopplysninger for å bygge opp kunnskap. Økt kunnskap om behandling av helseopplysninger kan også bidra til å dempe unødig frykt i befolkningen. For det andre er informasjon og kunnskap om behandling av helseopplysninger en nødvendig forutsetning for å kunne be om innsyn i registrene.

Rent praktisk kan en gjennomføring av informasjonsplikten skje ved bruk av for eksempel sosiale medier eller hjemmesider. Informasjon kan også skje ved brosjyrer som distribueres til helseinstitusjoner, legekontorer, helsesentre osv. Videre kan informasjonen gis gjennom media, aviser, tv osv.

Til § 24 Rett til informasjon og innsyn

Første ledd

Bestemmelsen slår fast at den registrerte har rett til informasjon og innsyn etter personopplysningsloven §§ 18 flg. Bestemmelsen er tatt inn av informasjonshensyn og er en videreføring av gjeldende helseregisterlov § 22.

Andre ledd

Den registrerte har rett til innsyn i hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til den registrertes navn eller fødselsnummer fra helseregistre etter §§ 8 til 11 (logg). Denne bestemmelsen er ny, se punkt 22.4.4.

Den databehandlingsansvarlige skal sørge for at det føres oversikt over autorisert og uautorisert tilgang til helseopplysninger i journalen og andre helseregistre. Registrering av informasjon om hvem som har hatt tilgang til helseopplysninger, er et viktig element for å sikre den enkeltes personvern. Det følger av denne bestemmelsen og av § 6 om rett til å behandle helseopplysninger, at den databehandlingsansvarlige har både rett og plikt til å registrere hvem som har hatt tilgang eller fått utlevert opplysninger.

Uttrykket «logg» brukes om flere ulike former for registrering. Den vanlige språklige forståelsen vil nok innebære en form for elektronisk registrering. Det sentrale med bestemmelsen er imidlertid at det eksisterer en oversikt over hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til den registrertes navn eller fødselsnummer i helseregistre og at den registrerte kan få denne oversikten.

Enkelte registre av eldre dato har ikke teknisk funksjonalitet som gjør elektronisk innsynslogging mulig. Inntil slike løsninger foreligger vil manuell registrering være en forutsetning slik at den registrerte likevel kan få innsyn i hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til den registrertes navn eller fødselsnummer.

Departementet kan i forskrift gi nærmere bestemmelser om innsyn i slike opplysninger, jf. fjerde ledd. Departementet kan i særlige tilfeller gi den databehandlingsansvarlige en tidsbegrenset dispensasjon fra plikten til å gi innsyn. Dette vil for eksempel kunne gjelde der eldre registre ikke har teknisk funksjonalitet for å ivareta innsynsretten på en tilfredsstillende måte uten uforholdsmessig bruk av ressurser. Dispensasjonsadgangen skal kun være en snever unntaksmulighet.

Bestemmelsen gjelder helseregistre som er etablert med hjemmel i forskrift etter §§ 8 til 11.

Tredje ledd

For å vurdere om innsyn kan gis til for eksempel verger eller foreldre kan den databehandlingsansvarlige innhente personopplysninger fra Det sentrale folkeregisteret. Dette gjelder uten hensyn til taushetsplikt. Denne bestemmelsen er ny, se punkt 22.4.5 om foreldres innsyn i sine barns helseopplysninger.

Fjerde ledd

Kongen kan i forskrift gi nærmere bestemmelser om retten til innsyn i helseregistrene. Hjemmelen omfatter også bestemmelser om innsyn i hvem som har hatt tilgang til eller fått utlevert helseopplysninger etter første ledd.

Til § 25 Sletting eller sperring av helseopplysninger

Bestemmelsen innebærer ingen endringer i gjeldende rett og erstatter gjeldende helseregisterlov § 28 første og andre ledd.

Kapittel 5. Tilsyn og sanksjoner

Til § 26 Tilsynsmyndighetene

Bestemmelsen innebærer ingen endringer i gjeldende rett og erstatter gjeldende helseregisterlov § 31. Datatilsynet og Personvernnemnda vil i tillegg ha myndighet til å håndheve personopplysningslovens regler i samsvar med personopplysningsloven.

Bestemmelsen om adgangen til å påklage Datatilsynets vedtak til Personvernnemnda, er flyttet fra gjeldende helseregisterlov § 32 om Datatilsynets pålegg.

Til § 27 Adgang til å gi pålegg

Bestemmelsen innebærer ingen endringer i gjeldende rett og erstatter gjeldende helseregisterlov § 32.

Til § 28 Tvangsmulkt

Bestemmelsen innebærer ingen endringer i gjeldende rett og erstatter gjeldende helseregisterlov § 33.

Til § 29 Overtredelsesgebyr

Bestemmelsen er ny i helseregisterloven. Den tilsvarer personopplysningsloven § 46 første, andre og tredje ledd. Overtredelsesgebyr ble tatt inn i personopplysningsloven i 2009 uten at det ble gjort tilsvarende i helseregisterloven. Det er imidlertid lagt til grunn at Datatilsynet hadde kompetanse til å ilegge overtredelsesgebyr også etter helseregisterloven, med direkte hjemmel i personopplysningsloven. Bestemmelsen innebærer dermed ingen endring i gjeldende rett.

Til § 30 Straff

Bestemmelsen viderefører gjeldende rett og erstatter gjeldende helseregisterlov § 34.

Første ledd

Den som overtrer § 17 om taushetsplikt eller § 18 om forbud mot urettmessig tilegnelse av helseopplysninger kan straffes etter denne bestemmelsen. Straff for brudd på taushetsplikten er ikke tatt inn i gjeldende helseregisterlov § 34. Enhver som behandler helseopplysninger etter gjeldende helseregisterlov, har imidlertid taushetsplikt etter helsepersonelloven, jf. § 15. Brudd på denne taushetsplikten er straffbart etter helsepersonelloven § 67. Det samme straffebudet er nå tatt inn i helseregisterloven på samme måte som forbudet mot urettmessig tilegnelse av helseopplysninger.

Andre ledd

Brudd på reglene om databehandlers rådighet over opplysningene (§ 18 i gjeldende helseregisterlov) er tatt ut av straffebestemmelsen fordi dette nå utelukkende skal reguleres i personopplysningsloven. Tilsvarende regel står imidlertid i personopplysningsloven § 15, som fremdeles vil være straffesanksjonert etter personopplysningsloven § 48.

Straff for brudd på meldeplikt til Datatilsynet og opplysningsplikt overfor den registrerte etter gjeldende helseregisterlov § 34 andre ledd nr. 2 og 3, er av samme grunn tatt ut av straffebestemmelsen.

Det samme gjelder behandling av helseopplysninger uten nødvendig konsesjon eller i strid med vilkår i konsesjon.

Til § 31 Erstatning

Bestemmelsen innebærer ingen endringer i gjeldende rett og erstatter gjeldende helseregisterlov § 35.

Kapittel 6. Ikraftsetting m.m.

Til § 32 Ikraftsetting

Loven trer i kraft fra den tid Kongen bestemmer. Fra samme tid oppheves gjeldende helseregisterlov. Kongen kan bestemme at de enkelte bestemmelsene i loven skal tre i kraft til ulik tid.

Til § 33 Videreføring av forskrifter

Forskrifter vedtatt med hjemmel i gjeldende helseregisterlov vil bli videreført når ny helseregisterlov trer i kraft. Alle eksisterende registre ligger innenfor rammene av de nye forskriftshjemlene.

Dette gjelder også forskrifter vedtatt med hjemmel i § 7 eller § 8. Enkelte forskrifter har imidlertid ikke bestemmelser med konkrete krav til identitetsforvaltning, slik det forutsettes i ny helseregisterlov § 8 fjerde ledd bokstav c. Det er derfor presisert i § 33 at eksisterende registre kan videreføres, selv om forskriftene de er hjemlet i ikke har alle bestemmelser som kreves etter § 8 fjerde ledd. Departementet arbeider med å revidere forskrifter vedtatt med hjemmel i gjeldende § 8. Nye forskrifter vil da bli vedtatt med hjemmel i ny helseregisterlov § 8 jf. §§ 9 til 11.

24.3 Merknader til endringer i andre lover

Arkivloven

Til § 9 Kassasjon m.m.

Henvisningene i bokstav c til forskriftshjemlene i gammel helseregisterlov endres til forskriftshjemlene i ny helseregisterlov §§ 8 til 12.

Helseforskningsloven

Til § 25 Opprettelse av forskningsbiobanker

Henvisningene i siste ledd til forskriftshjemlene i gammel helseregisterlov endres til forskriftshjemlene i ny helseregisterlov §§ 8 til 11.

Til § 33 Krav til behandlingsgrunnlag og forhåndsgodkjenning

Henvisningene til forskriftshjemlene i gammel helseregisterlov endres til forskriftshjemlene i ny helseregisterlov §§ 8 til 11.

Smittevernloven

Til § 7-9 Nasjonalt folkehelseinstitutt

Nasjonalt folkehelseinstitutts oppgaver er lovregulert blant annet gjennom folkehelseloven § 25 og smittevernloven § 7-9. Som en følge av endringer i begrepsbruken i helseregisterloven, endres også disse bestemmelsene slik at det fremgår at helseanalyser er en del av de oppgavene som ligger til Folkehelseinstituttet. Lovendringene innebærer ikke en endring i oppgaver. Det vises til merknader til helseregisterloven §§ 3 og 20.

Folkehelseloven

Til § 25 Nasjonalt folkehelseinstitutts ansvar

Se merknad til smittevernloven § 7-9.

Helsepersonelloven

Til § 25 Opplysninger til samarbeidende personell

Gjeldende helseregisterlov § 25 første ledd andre punktum som henviser til gjeldende helseregisterlov § 13 og reglene om tilgang på tvers, oppheves.

Til § 26 Opplysninger til virksomhetens ledelse og til administrative organer

Det følger av andre ledd at der virksomheter samarbeider om behandlingsrettede helseregistre etter pasientjournalloven § 9, kan helsepersonell også gi opplysninger til ledelsen i samarbeidende virksomhet, på samme vilkår som etter første ledd.

Det betyr at formålet med å gi opplysningene til ledelsen må være nødvendig for å kunne gi helsehjelp, eller for internkontroll eller kvalitetssikring av tjenesten. Opplysningene skal så langt det er mulig, gis uten individualiserende kjennetegn. Dersom det er aktuelt å gi opplysninger om pasientens identitet, kan pasienten motsette seg utleveringen, jf. Ot.prp. nr. 13 (1998–99) merknadene til § 26 i kapittel 26.

Ledelsens behandling av opplysningene vil være omfattet av reglene i pasientjournalloven. Det innebærer blant annet at ledelsen vil ha samme taushetsplikt som helsepersonell som avgir opplysningene, og at pasientjournalloven §§ 22 og 23 om informasjonssikkerhet og internkontroll også gjelder for ledelsens behandling av opplysningene.

Til § 29 b Opplysninger til helseanalyse, kvalitetssikring, administrasjon mv.

Det fremgår nå av bestemmelsen at dispensasjonshjemmelen omfatter helseanalyser. Dette er en presisering av gjeldende rett. Helseanalyser omfatter å beskrive og analysere risikofaktorer og utbredelsen av sykdom og skader i befolkningen og fordelingen av risikofaktorer for sykdom, skade og død i ulike befolkningsgrupper. Kunnskapen fra helseanalyser brukes blant annet i folkehelsearbeidet, som grunnlag for prioriteringer og til planlegging og styring lokalt, regionalt og nasjonalt. Helseanalyser grenser opp mot og overlapper delvis med epidemiologisk forskning, helsetjenesteforskning, behandlingsforskning og studier av kvalitet i helsetjenestene. Se punkt 21.3.3.

Til § 29 c Opplysninger til bruk i læringsarbeid og kvalitetssikring

Bestemmelsen fastslår at med mindre pasienten motsetter seg det, kan taushetsbelagte opplysninger etter særskilt anmodning gis til annet helsepersonell som tidligere har ytt helsehjelp til pasienten i et konkret behandlingsforløp for kvalitetssikring av helsehjelpen eller egen læring. Behandlingen av anmodningen kan automatiseres. Helsepersonell kan bare gis de opplysninger som er nødvendige og relevante for formålet.

Endringen i bestemmelsen innebærer – i forhold til gjeldende bestemmelse – at det er den databehandlingsansvarlige som bestemmer på hvilke måter helsepersonell skal gis tilgang til opplysningene. Videre presiseres at helsepersonells anmodning om innsyn kan automatiseres.

Til § 45 Utlevering av og tilgang til journal og journalopplysninger

Gjeldende helseregisterlov § 45 første ledd andre punktum, som henviste til reglene i § 13 om tilgang på tvers av virksomheter, oppheves.