Del 3
Pasientjournalloven
9 Pasientjournallovens formål
Departementet foreslår en ny lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) som gir bestemmelser om behandling av helseopplysninger i pasientjournaler og andre behandlingsrettede helseregistre.
Departementet foreslår at formålet med loven skal være at behandlingen av helseopplysninger skal skje på en måte som
gir pasienter og brukere helsehjelp av god kvalitet ved at relevante og nødvendige opplysninger på en rask og effektiv måte blir tilgjengelige for helsepersonell, samtidig som vernet mot at opplysninger gis til uvedkommende ivaretas, og
sikrer pasienters og brukeres personvern, pasientsikkerhet og rett til informasjon og medvirkning.
Se forslaget til pasientjournallov § 1.
9.1 Gjeldende rett
Helseregisterlovens formål er ifølge § 1 å
bidra til å gi helse- og omsorgstjenesten og helse- og omsorgsforvaltningen informasjon og kunnskap uten å krenke personvernet, slik at tjenestene kan gis på forsvarlig og effektiv måte. Gjennom forskning og statistikk skal loven bidra til informasjon og kunnskap om befolkningens helseforhold, årsaker til nedsatt helse og utvikling av sykdom for administrasjon, kvalitetssikring, planlegging og styring. Loven skal sikre at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på helseopplysninger.
Loven skal gi det nødvendige verktøy for å kunne ta i bruk elektroniske pasientjournaler og elektronisk informasjonsutveksling i helsetjenesten (Ot.prp. nr. 5 (1999–2000) punkt 7.1.4).
9.2 Høring
9.2.1 Høringsforslag
I høringsnotatet ble det foreslått at pasientjournalloven skal ha som formål å
fremme kvalitet i helse- og omsorgstjenesten
legge til rette for at helsepersonell som yter helsehjelp kan gis tilgang til relevante og nødvendige helseopplysninger på en rask og effektiv måte, og
legge til rette for at behandling av helseopplysninger ivaretar den enkeltes personvern.
9.2.2 Høringsuttalelsene
Høringsinstansene var i hovedsak positive til bestemmelsen. Nasjonalt folkehelseinstitutt mente at «[f]ormålsparagrafen i utkastet til pasientjournalloven er klart og godt formulert». Sunnaas sykehus HF fremhevet at loven vil legge til rette for å oppnå samhandlingsreformens intensjoner og at lovverket er viktig for å gi økt kvalitet og bedret pasientsikkerhet.
Enkelte høringsinstanser, som Sykepleierforbundet, Norsk pasientforening, Universitetssykehuset Nord Norge HF og Nasjonalt senter for samhandling og telemedisin mente at styrking av pasient- og brukermedvirkning må tas med i formålsbestemmelsen.
Helsedirektoratet uttalte at
[g]od kvalitet i tjenesten forutsetter en involvert pasient. Vi legger til grunn at dette er en del av hovedformålet, pasientperspektivet bør imidlertid tydeliggjøres når formålet med loven omtales.
For å følge opp intensjonen om en mer reell brukermedvirkning foreslo Kreftforeningen en presisering av at loven skal legge til rette for at innbyggerne får tilgang til egne helseopplysninger og øke mulighetene for aktiv deltakelse fra brukerne.
Helse Sør-Øst RHF mente at pasientsikkerhet bør inn som et hovedformål med loven.
Mental Helse mente at uttrykket kvalitet på helseopplysninger ikke skal tas ut av lovteksten.
Datatilsynet var fornøyd med at klare forutsetninger om blant annet gode sikkerhetsløsninger, tilgangskontroll, loggføringskrav og innsynsrett, ligger til grunn for lovforslaget:
Datatilsynet mener at det i lovforslaget klart bør fremgå at lovens formål er å sikre personvernet, ivareta helsepersonellets taushetsplikt og pasientenes medbestemmelsesrett. Det kan med fordel fremgå at den foreslåtte loven ikke skal gi pasienter dårligere vern mot spredning av helseopplysninger enn det som følger av helsepersonellov og pasient- og brukerrettighetslov.
Vi foreslår derfor at formålsbestemmelsen rettes mer mot ytelsen av helsehjelp, noe vi mener er underkommunisert i forslaget. Videre mener vi at det bør inkluderes i bestemmelsen at loven skal bidra til å sikre helsepersonells taushetsplikt og klarere vise til at pasienter og brukere av tjenestene skal sikres et godt personvern.
KS mente at «formålet i loven også må være å legge til rette for at helsepersonell kan samhandle om og koordinere helsehjelp til den enkelte pasient».
Sykepleierforbundet bemerket at
det skal legges til rette for at helsepersonell kan gis tilgang til relevante og nødvendige helseopplysninger. Det å gi tilgang til er noe annet enn at opplysningene skal være tilgjengelige slik det står i merknadene til forskriften. En slik formulering kan gi føringer for at det skal gjøres oppslag i en annen virksomhets journalsystem, og vil følgelig da ikke være teknologinøytral. NSF mener at formuleringen i formålet bør endres til at relevante og nødvendige opplysninger skal være tilgjengelige på en rask og effektiv måte.
9.3 Departementets vurderinger
Departementet mener at loven bør ha et tydeligere pasient- og brukerperspektiv. Helsehjelp av god kvalitet forutsetter en involvert og trygg pasient. Flere av høringsinstansene har påpekt at dette ikke var tydelig nok i lovforslaget som var på høring.
Departementet foreslår at formålsbestemmelsen spisses mer mot behandlingsrettede helseregistre enn gjeldende formålsbestemmelse og forslaget i høringsnotatet. Departementet foreslår at bestemmelsen fremhever pasientsikkerhet og kvalitet på helsehjelp og synliggjør viktigheten av at relevante og nødvendige opplysninger er tilgjengelige for helsepersonell når de yter helsehjelp. Samtidig er det viktig å presisere at personvernet skal sikres.
De fleste pasientjournaler er i dag elektroniske. Departementet mener at det gir liten mening å videreføre skillet mellom elektronisk og manuell behandling av helseopplysninger. I forslaget til ny pasientjournallov, skilles det derfor ikke mellom elektronisk og manuell behandling av helseopplysninger. Departementet legger til grunn at loven skal være teknologinøytral.
Departementet mener videre at det ikke er behov for å presisere i lovteksten at loven gjelder både offentlige og private virksomheter. Det følger av alminnelig lovtolkning at loven vil gjelde både offentlige og private virksomheter og at reglene vil være de samme, på samme måte som i gjeldende helseregisterlov.
9.3.1 Helsehjelp av god kvalitet
Departementet foreslår at det presiseres i lovens formålsbestemmelse at behandling av helseopplysninger skal skje på en måte som «gir pasienter og brukere helsehjelp av god kvalitet».
Departementet viser til at formålet med pasientjournaler er å sikre kvalitet og kontinuitet i behandlingen, og mulighet for etterprøvbarhet av den helsehjelpen som er gitt (Ot.prp. nr. 13 (1998–99)).
Nasjonal strategi for kvalitetsforbedring i Sosial- og helsetjenesten «…og bedre skal det bli!» (2005–2015) legger til grunn at tjenester av god kvalitet
er virkningsfulle (fører til helsegevinst)
er trygge og sikre (pasientsikkerhet)
involverer brukerne og gir dem innflytelse
er samordnet og preget av kontinuitet
utnytter ressursene på en god måte
er tilgjengelig og rettferdig fordelt
Meld. St. 10 (2012–2013) God kvalitet – trygge tjenester legger disse kjennetegnene ved god kvalitet til grunn. Det var bred støtte i Stortinget for denne meldingen.
9.3.2 Tilgjengelige opplysninger
Departementet mener at et formål med loven bør være at relevante og nødvendige opplysninger blir tilgjengelige for helsepersonell når de yter helsehjelp. Departementet er også enig med Datatilsynet i at taushetsplikten bør løftes frem i formålsbestemmelsen. Det presiseres derfor i lovteksten at behandling av helseopplysninger skal skje på en måte som gjør at relevante og nødvendige opplysninger på en rask og effektiv måte blir tilgjengelige for helsepersonell for å kunne gi helsehjelp, samtidig som vernet mot at opplysninger gis til uvedkommende ivaretas.
Opplysningene bør være tilgjengelige uavhengig av i hvilket journal- og informasjonssystem eller i hvilken virksomhet opplysningene har blitt registrert.
Dette er også en målsetting i arbeidet med revidering av den svenske Patientdatalagen, hvor Socialdepartementet i problembeskrivelsen i Kommittédirektiv 2011:111 sier:
Den enskilde ska inte risikera att få mindre säkre insatser av lägre kvalitet innom hälso- og sjukvården och sosialtjänsen för att en eller flera personalkategorier som utför instatserna inte har åtkomst till rätt information vid rätt tillfälle. Rätt information i rätt tid för rätt användare är en nyckel till personalens möjligheter att göra ett bra arbete för den enskilde.
Pasientjournalloven vil gi nødvendig rettsgrunnlag for oppfølging av Meld. St. 9 (2012–2013) Én innbygger – én journal. Komiteen sier i Innst. 224 S (2012−2013) at
de mange og spredte pasientjournalsystemene må reduseres, og at pasient/brukeres helseopplysninger samordnes i et integrert og helhetlig journalsystem. Målet må være at helseopplysninger følger pasient/bruker overalt der behandling og annen helsehjelp skal ytes – uavhengig av hvor i systemet dette skal foregå.
Stortinget sluttet seg til dette 19. mars 2013.
Forslaget til pasientjournallov har flere bestemmelser som bidrar til å nå denne målsettingen. Eksempler på slike bestemmelser er virksomheters plikt til å sørge for å ha behandlingsrettede helseregistre og krav til registrenes form og innhold. Disse bestemmelsene viderefører gjeldende rett. Departementet foreslår også noen nye regler for å nå denne målsettingen. Se punkt 11.3 om informasjonsdeling mellom helsepersonell og punkt 12.3 om samarbeid om behandlingsrettede helseregistre.
Departementet er enig med KS i at et aspekt av målet om tilgjengelige helseopplysninger er at helsepersonell skal kunne samhandle om og koordinere helsehjelp til den enkelte pasient. Det fremgår av formålsbestemmelsen at helsehjelp av god kvalitet er et mål og at nødvendige opplysninger skal gjøres tilgjengelige for helsepersonell som skal gi helsehjelp. Dette innebærer også at helsehjelpen må være sammenhengende og koordinert. Departementet mener at det ikke er nødvendig å ta dette eksplisitt inn i formålsbestemmelsen.
9.3.3 Personvern og pasientsikkerhet
Departementet foreslår at det presiseres i lovteksten at behandling av helseopplysninger skal skje på en måte som sikrer pasienters og brukeres personvern og pasientsikkerhet.
Departementet støtter Datatilsynet i at et formål med loven bør være å sikre at behandling av helseopplysninger ivaretar den enkeltes personvern. Forslaget fremhever viktigheten av personvernet i større grad enn høringsnotatet.
Forslaget til ny pasientjournallov innebærer ingen endringer i pasientens rett til konfidensialitet og til at opplysninger ikke spres til uvedkommende. Departementet mener at reglene om taushetsplikt, sammen med kravene som stilles til informasjonssikkerhet, logging og tilgangsstyring gir gode rammer for at den enkeltes personvern kan ivaretas på en god måte. Dette forutsetter også at det i større grad legges til rette for tekniske løsninger som sikrer pasientens rett til å motsette seg at helseopplyninger kommuniseres til andre. Se nærmere om dette i punkt 7.2 om informasjonssikkerhet.
Mental Helse mente at kravet til kvalitet på helseopplysninger bør fremkomme av formålsbestemmelsen. De påpeker at kvalitet på helseopplysningene er viktig og at kvalitet som en del av lovens formål «vil være en god påminning til alle som dokumenterer i journalene om at helseopplysningene skal være relevante, nødvendige og riktige».
Departementet er enig i at kvalitet på helseopplysninger er et viktig mål, men mener at det ikke er nødvendig å presisere dette i formålsbestemmelsen. Med kvalitet menes her at opplysningene er relevante, korrekte og oppdaterte. Departementet viser til at kvalitet på helseopplysninger både er en del av målet om god kvalitet på helse- og omsorgstjenester og en del av personvernet. Krav om at opplysningene under gitte forutsetninger skal være tilgjengelige, er også et viktig personvernaspekt. Dette har fått større vekt i forslaget til ny pasientjournallov.
Helse Sør-Øst RHF mener at pasientsikkerhet må tas inn i formålsbestemmelsen. Departementet er enig i dette og foreslår at målet om bedre pasientsikkerhet reflekteres i lovens formålsbestemmelse. Pasientsikkerhet handler om vern mot unødig skade som følge av helsetjenestens ytelser eller mangel på ytelser.
9.3.4 Rett til informasjon og medvirkning
Flere høringsinstanser har ønsket at pasient- og brukermedvirkning skal komme tydeligere frem i formålsbestemmelsen. Det presiseres derfor i lovteksten at behandling av helseopplysninger skal skje på en måte som sikrer rett til informasjon og medvirkning.
Selvbestemmelse har blitt tillagt stadig sterkere vekt i forholdet mellom pasient og helsesektoren. Dette er nedfelt i pasient- og brukerrettighetsloven kapittel 3. Paragraf 3-1 fastslår at pasient og bruker har rett til å medvirke ved gjennomføring av helse- og omsorgstjenester.
Pasientene må sikres best mulig informasjon, slik at de settes i stand til å danne seg et reelt bilde av de tilbud som finnes og den behandling som blir gitt, samt konsekvenser, risiko for skader og bivirkninger og sannsynlighet for å bli bedre eller helt frisk, ved de ulike tilbud. Dette er en forutsetning for at pasienten skal kunne velge og medvirke til den behandling som blir gitt.
Forslaget til pasientjournallov har flere bestemmelser som bidrar til pasienter og brukeres informasjon og medvirkning. Dette gjelder særlig rett til informasjon og innsyn og rett til å motsette seg behandling av helseopplysninger.
10 Pasientjournallovens saklige virkeområde
Departementet foreslår at pasientjournalloven skal gjelde all behandling av helseopplysninger som er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til enkeltpersoner. Loven omfatter med dette alle behandlingsrettede helseregistre uavhengig av i hvilket system opplysningene registreres. Se lovforslaget § 3.
Forslaget omfatter all behandling av helseopplysninger som i dag faller inn under helseregisterloven §§ 6 til 6 d. Videre omfattes Reseptformidleren, som i dag har rettsgrunnlag i helseregisterloven § 8 nr. 9.
10.1 Gjeldende rett
10.1.1 Helseregisterlovens saklige virkeområde
Helseregisterlovens saklige virkeområde følger av § 3:
Loven gjelder for:
behandling av helseopplysninger i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten, som skjer helt eller delvis med elektroniske hjelpemidler for å fremme formål som beskrevet i § 1,
annen behandling av helseopplysninger i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten til slike formål, når helseopplysningene inngår eller skal inngå i et helseregister, og
Helsearkivregisteret i Norsk helsearkiv.
Loven gjelder både offentlig og privat virksomhet.
Kongen i Statsråd kan i forskrift bestemme at loven helt eller delvis skal gjelde for behandling av helseopplysninger utenfor helse- og omsorgsforvaltningen eller helse- og omsorgstjenesten for å ivareta formål som beskrevet i § 1.
Loven gjelder ikke for behandling av helseopplysninger som reguleres av helseforskningsloven.
Behandling av helseopplysninger i helse- og omsorgstjenesten har nær sammenheng med helsepersonells journalføringsplikt og utveksling av opplysninger i samarbeidsøyemed.
10.1.2 Helsepersonells dokumentasjonsplikt
Helsepersonell som yter helsehjelp har plikt til å føre en journal for den enkelte pasient, jf. helsepersonelloven § 39 første ledd første punktum. Pasientjournalen kan føres elektronisk, jf. helsepersonelloven § 46. I Ot.prp. nr. 5 (1999–2000) uttales om journalen:
Pasientjournalen er et arbeidsverktøy for helsepersonell i tilknytning til undersøkelse, utredning, diagnostisering, behandling, oppfølging, pleie og omsorg av pasienten. Begrepet elektronisk pasientjournal er ikke eksplisitt definert i loven. Innholdet i begrepet den elektroniske pasientjournalen må utledes av helsepersonellovens bestemmelser om plikt til å føre pasientjournal (helsepersonelloven § 39) og kravene til innhold i denne (helsepersonelloven § 40).
10.1.3 Helseregister
Begrepet helseregister defineres i helseregisterloven § 2 nr. 6 som «registre, fortegnelser, m.v. der helseopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen.» Dette inkluderer også behandlingsrettede helseregistre, se punkt 4.1.4 og 10.1.4.
Registerbegrepet i loven er et logisk begrep. Registerbegrepet er ikke en datateknisk definisjon. Et helseregister er en samling opplysninger som stadig er i endring, ved at opplysningene korrigeres, suppleres, bearbeides osv., og hvor man etter bearbeidelsesprosessen har fremskaffet noe mer enn hva summen av de enkelte opplysningene skulle tilsi.
Helseregistre beskrives i forarbeidene til helseregisterloven på følgende måte:
Et helseregister etter loven kan gjerne bestå av flere datafiler, og kan fysisk føres flere steder. På den annen side er det slik at en samling opplysninger som er lagret på en datafil, ikke nødvendigvis utgjør et helseregister. Avgjørende for om en samling opplysninger kan sies å være et helseregister, er om det er en logisk sammenheng mellom opplysningene, grunnlaget for å registrere opplysningene og formålet med behandlingen av dem. Et eksempel er den elektroniske pasientjournalen. Helseopplysninger i enkelte pasientadministrative systemer er pasientjournalopplysninger fordi opplysningene er nedtegnet (registrert) på basis av helsepersonells pasientkontakt. Formålet med registreringen av opplysningene er først og fremst å skaffe informasjon og kunnskap for å kunne tilby den enkelte pasient adekvat helsehjelp. Det kan være røntgenlegen som registrerer pasientopplysninger elektronisk på røntgenavdelingens informasjonssystem, og stråleterapipersonell eller laboratoriepersonell som nedtegner (registrerer) pasientopplysningene i disse avdelingers informasjonssystemer. (Ot.prp. nr. 5 (1999–2000) kapittel 15, merknadene til § 2)
10.1.4 Behandlingsrettet helseregister
Helseregisterloven §§ 6 til 6 d omfatter behandlingsrettede helseregistre. Behandlingsrettet helseregister er i helseregisterloven § 2 nr. 7 definert som
journal- og informasjonssystem eller annet helseregister som har til formål å gi grunnlag for handlinger som har forebyggende, diagnostisk, behandlende, helsebevarende eller rehabiliterende mål i forhold til den enkelte pasient og som utføres av helsepersonell, samt administrasjon av slike handlinger.
Behandlingsrettede helseregistre har sammenheng med dokumentasjonsplikten og omfatter all behandling av helseopplysninger som er nødvendig for at helsehjelp kan ytes.
Behandlingsrettede helseregistre beskrives i forarbeidene til helseregisterloven på følgende måte:
Opplysninger i ulike pasientadministrative systemer er ofte de samme som tradisjonelt ligger i en pasientjournal, som diagnose, henvisningsårsak etc. Disse systemer er først og fremst et arbeidsredskap til bruk for nødvendig administrasjon og planlegging for å kunne gi helsehjelpen. De pasientadministrative systemene kan inneholde like mange sensitive helseopplysninger som den elektroniske pasientjournal, men mens den elektroniske pasientjournalen inneholder mange sensitive opplysninger om en pasient, inneholder pasientadministrative systemer ofte få sensitive opplysninger om mange pasienter.
Både elektroniske pasientjournaler og ulike pasientadministrative systemer gir helsetjenesten informasjon og kunnskap som er avgjørende for en pasients tilbud om, eventuelt rett til, ytelser fra helsetjenesten. Reglene for pasientadministrative registre må derfor ses i sammenheng med de reglene som gjelder for den elektroniske pasientjournalen. Dette fremgår bl.a av Ot.prp. nr. 13 om lov om helsepersonell m.v. Departementet har på denne bakgrunn funnet det mest hensiktsmessig å definere begrepet «behandlingsrettet helseregister» i loven her. Departementet vil presisere at dette ikke innebærer noen endring i reglene om pasientjournalen. (Ot.prp. nr. 5 (1999–2000) i punkt 7.2.4.3)
Avgjørende for om et informasjonssystem kan kalles behandlingsrettet, er at hovedformålet med registrering av opplysningene i systemet er å kunne tilby og å yte helsehjelp til den enkelte pasient.
Kravet om systematisk lagring av helseopplysningene vil først og fremst ha betydning for helseopplysninger som bare behandles manuelt. Ved elektronisk behandling av helseopplysninger vil det avgjørende være om opplysningene kan finnes igjen, korrigeres, suppleres osv.
Forarbeidene gir eksempler på ulike informasjonssystemer/fagsystemer som omfattes av begrepet behandlingsrettet helseregister. Det gjelder medisinske servicesystemer/ informasjonssystemer som benyttes ved medisinske serviceavdelinger, og omfatter blant annet røntgeninformasjonssystemer (RIS), systemer for arkivering og kommunikasjon av røntgenbilder (PACS) og ulike laboratorieinformasjonssystemer. Videre omfatter det pasientadministrative systemer (PAS), elektroniske pasientjournaler i helsestasjons- og skolehelsetjenesten, elektroniske pasientjournaler i bedriftshelsetjenesten, informasjonssystemer for medisinsk-teknisk utstyr og elektroniske systemer innen pleie og omsorgstjenesten.
Helseregisterloven §§ 6 til 6 d regulerer ulike typer behandlingsrettede helseregistre. Paragraf 6 regulerer den enkelte virksomhets behandlingsrettede helseregistre. Det følger av pasientjournalforskriften at virksomhet hvor det ytes helsehjelp må opprette pasientjournalsystem. Paragrafene 6 a til 6 d gir hjemmelsgrunnlag for etablering av virksomhetsovergripende behandlingsrettede helseregistre ved forskrift. Se nærmere i punkt 12.1.1 om virksomhetsovergripende behandlingsrettede helseregistre.
10.1.5 Nasjonal database for elektroniske resepter
Nasjonal database for elektroniske resepter (Reseptformidleren) har i dag rettsgrunnlag i helseregisterloven § 8 tredje ledd nr. 9. Grunnen til at registeret i sin tid ble tatt inn i denne bestemmelsen er at registeret ble etablert som et sentralt helseregister og at databehandlingsansvaret ble lagt til Helsedirektoratet. Registeret er etablert for å sørge for sikker og effektiv elektronisk formidling av resepter og reseptopplysninger.
10.2 Høring
I høringsnotatet ble det foreslått at pasientjournalloven skal gjelde all behandling av helseopplysninger som er nødvendig for å yte, administrere og kvalitetssikre helsehjelp til enkeltpersoner.
Forslaget fikk støtte i høringen. Universitetssykehuset Nord-Norge HF mente at det er «en viktig opprydding og presisering at loven gjelder all behandling av helseopplysninger som er nødvendig for å yte, administrere og kvalitetssikre helsehjelp til enkeltpersoner».
Universitetssykehuset Nord-Norge HF uttalte videre at forslaget tydeliggjør at opplysninger lagret i spesifikke fagsystemer også er en del av pasientjournalen:
Selv om dette i hovedsak er en videreføring av tidligere regler, vil den eksplisitte formuleringen i bestemmelsen og merknadene til denne, bidra til at det ikke oppstår misforståelser om hvilke opplysninger om pasienten som omfattes av reglene om dokumentasjonsplikten i helsepersonelloven §§ 39 og 40. Dette har også praktisk betydning for krav til funksjonalitet i de IKT-systemene som benyttes.
Det var noen høringsinstanser som pekte på at avgrensningen av virkeområdet blant annet mot helseregisterloven var uklar. Forsvarsdepartementet, Helse Nord RHF og Helse Vest RHF mente at det var behov for å avklare hjemmelen for intern kvalitetssikring.
Helse Sør-Øst RHF mente at det var
noe uklart hvordan enkelte systemer skal klassifiseres, særlige system for melding av uønskede hendelser (forbedringssystem) og system for logging av aktivitet. Hensikten med rapportering av uønskede hendelser er i første rekke å lære av de uønskede hendelsene og et sentralt formål er å bedre pasientsikkerheten over tid. Formålet med system for logging av aktivitet er å avdekke konfidensialitetsbrudd og ikke i hovedsak pasientbehandling. Dette skulle tyde på at disse systemene ikke er å anse som en del av de behandlingsrettede helseregistrene.
10.3 Departementets vurderinger
Departementet foreslår at pasientjournalloven skal gjelde all behandling av helseopplysninger som er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til enkeltpersoner. Dette forslaget bygger på høringsforslaget i tillegg til at loven skal omfatte kvalitetssikring som skjer med hjemmel i helsepersonelloven § 26.
Departementet foreslår at behandlingsgrunnlaget for behandling av helseopplysninger i pasientjournaler og andre behandlingsrettede helseregistre, reguleres i pasientjournalloven § 6. Videre presiseres det i loven at det bare kan etableres behandlingsrettede helseregistre som følger av denne loven eller av andre lover. Krav til løsningene som brukes presiseres i § 7. Dette er en videreføring og tydeliggjøring av gjeldende rett.
10.3.1 Helsehjelp og dokumentasjonsplikten
Departementet mener at loven bør gjelde alle former for behandling av opplysninger som er knyttet til et individrettet tiltak eller handling rettet mot den registrerte i helsehjelpsøyemed eller i tilknytning til at det gis helsehjelp. Det omfatter faktaopplysninger og vurderinger knyttet til
ytelse av helsehjelp til enkeltpersoner
indirekte ytelse av helsehjelp til enkeltpersoner, som råd og veiledning til helsepersonell som skal yte helsehjelp til enkeltpersoner
saksbehandling og administrasjon av helsehjelp til enkeltpersoner, inkludert finansiering og oppgjør for helsehjelp til enkeltpersoner
kontroll og etterfølgende vurdering av helsehjelpen til den enkelte pasient
Helsehjelp er et vidt begrep og er definert i helsepersonelloven § 3 tredje ledd og pasient- og brukerrettighetsloven § 1-3 bokstav c. Helsehjelp er definert som enhver handling som har forebyggende, diagnostisk, behandlende, helsebevarende, rehabiliterende eller pleie- og omsorgsformål, og som utføres av helsepersonell. Observasjoner av pasienten og hvordan pasienten har respondert på helsehjelp er et viktig element i det å yte helsehjelp.
Forslaget til pasientjournallov innebærer at alle helseopplysninger som helsepersonell og annet personell registrerer i tilknytning til ytelse, administrasjon eller kvalitetssikring av helsehjelp til enkeltpersoner omfattes av loven. Dette betyr at alle opplysninger som registreres etter helsepersonelloven § 39 jf. § 40 omfattes av pasientjournalloven.
Helsedirektoratet mente i høringen at det bør avklares hvorvidt loven innebærer en regulering som får betydning for brukere og personell som ikke er helsepersonell, og ved ytelse av hjelp som ikke er helsehjelp. Departementet foreslår ingen endringer i gjeldende rett når det gjelder dette spørsmålet. Dette er imidlertid en relevant problemstilling etter vedtagelsen av helse- og omsorgstjenesteloven. Departementet vurderer hvorvidt dokumentasjonsplikten også skal gjelde for personell som yter tjenester som omfattes av helse- og omsorgstjenesteloven, men som ikke er helsehjelp, jf. forskriftshjemmel i pasientjournallovens § 3 andre ledd.
Loven vil gjelde ved deling av helseopplysninger (data) mellom helsepersonell, mellom fag-/informasjonssystemer (integrasjoner), og mellom helsepersonell og fag- og informasjonssystemer, når formålet med utvekslingen er å gi grunnlag for tiltak eller handlinger rettet mot enkeltpersoner. Se kapittel 11 om informasjonsdeling mellom helsepersonell.
Videre omfattes behandling av opplysninger etter andre bestemmelser i helselovgivningen når formålet er ytelse, administrasjon eller kvalitetssikring av helsehjelp til enkeltpersoner. Intern kvalitetssikring av helsehjelpen i samsvar med helsepersonelloven § 26 første ledd, omfattes også (se punkt 10.3.3 og 15.3.2). Videre omfattes opplysninger som behandles i pasientadministrative systemer, jf. helsepersonelloven § 26 andre ledd. Et annet eksempel er apotekenes behandling av reseptdokumentasjon av legemidler til personer, jf. apotekloven § 5-5 a.
Loven vil også omfatte individuell plan. Plikten til å utarbeide individuell plan etter helse- og omsorgstjenesteloven § 7-1 gir hjemmel for å behandle helseopplysninger både manuelt og elektronisk. I pasientjournalloven er det lagt til rette for at virksomheter kan samarbeide om individuelle planer og gis tilgang til planene også for ansatte i andre virksomheter, jf. pasientjournalloven §§ 9 og 19.
10.3.2 Pasientjournaler og andre behandlingsrettede helseregistre
Loven vil etter forslaget gjelde behandling av helseopplysninger i behandlingsrettede helseregistre. Se definisjonen i pasientjournalloven § 2. Dette er en videreføring av gjeldende helseregisterlov § 2.
Behandlingsrettet helseregister er et vidt begrep og omfatter hovedjournal, pasientkort, individuell plan, ulike fagsystemer, pasientadministrative systemer osv. Loven omfatter med dette alle behandlingsrettede helseregistre uavhengig av i hvilket system opplysningene registreres, det være seg hovedjournal eller spesifikke fagsystem som røntgensystem og laboratoriesystem.
Hovedjournal vil typisk føres av helsepersonell som yter helsehjelp i fysiske møter med pasienten. Med fagsystemer menes systemer som ivaretar særskilte funksjoner innen en eller flere spesialiteter, og som er spesialutviklet for registrering og behandling av data knyttet til spesialiteten.
Helseopplysninger kan være registrert i alle disse systemene. Opplysningene i et behandlingsrettet helseregister kan være nedtegnet og lagret adskilt i ett eller flere systemer. Det enkelte system kan være virksomhetsinternt eller det kan være systemer som to eller flere virksomheter samarbeider om (virksomhetsovergripende systemer).
Dette gjelder uavhengig av i hvilket system opplysningene registreres. Hvorvidt opplysningene registreres i hovedjournalen eller særskilte fagsystemer, som røntgensystemer, laboratoriesystemer, anestesijournal, medikasjons- og kurvesystemer, pleieplaner eller lignende har ikke betydning i denne sammenheng. Videre gjelder det uavhengig av om helsepersonell selv registrerer opplysningene eller om de kobler pasienten til medisinsk teknisk utstyr, og opplysningene registreres fortløpende ved bruk av det tekniske utstyret.
Pasientjournalloven skiller ikke mellom ulike typer behandlingsrettede helseregistre som pasientjournal, hovedjournal, medisinkurve og andre fagsystemer. Det er de samme krav som stilles til personvern og sikkerhet for pasientens opplysninger selv om loven ikke skiller mellom ulike typer informasjonssystemer, interne systemer eller systemer på tvers. Helseopplysningsvern og integritetsvern skal ivaretas, uavhengig av system, og vil utgjøre en viktig premiss ved anskaffelse og videreutvikling av systemene. Virksomhetene vil kunne samarbeide om systemene, se § 9 og punkt 12.3.
I mange tilfeller er det slik at samme opplysninger om samme pasient er registrert flere steder og i ulike fag- eller informasjonssystemer, og slik vil det være i lang tid fremover. For eksempel blir bestilling av og svar på blodprøver, vevsprøver, bildeundersøkelser og andre spesialundersøkelser, ofte registrert i særskilte fagsystemer. Opplysningene, eventuelt et utvalg av opplysningene, overføres til pasientens hovedjournal. Etter overføringene vil de samme opplysningene være registrert både i fagsystemet og i hovedjournalen. Pasientjournalloven vil gjelde for behandlingsrettede helseregister generelt og omfatter alle informasjonssystemer som benyttes ved ytelse av helsehjelp.
Pasientjournalloven vil også gi hjemmel for å ha systemer som er nødvendige for å oppfylle lovfestede plikter i tilknytning til journalene. Dette gjelder for eksempel registrering som er nødvendig for å kunne gi pasienter innsyn i hvem som har hatt tilgang til eller fått utlevert opplysninger fra journalen (logg). Dette innebærer også at internt system for melding om uønskede hendelser, omfattes av pasientjournalloven.
10.3.3 Kvalitetssikring av helsehjelp
Det fremgår ikke av definisjonen av helsehjelp om den omfatter kvalitetssikring av hjelpen som gis. Departementet legger til grunn at observasjoner av hvordan pasienten har respondert på helsehjelpen og vurderinger av om helsehjelpen hadde god kvalitet eller forventet effekt er et viktig element i det å yte helsehjelp.
Flere høringsinstanser har stilt spørsmål om hvor kvalitetssikring skal hjemles. Departementet foreslår at behandlingsgrunnlag for kvalitetssikring av en gitt behandling og annen helsehjelp til en enkelt pasient, skal omfattes av pasientjournalloven.
Videre foreslås at den virksomhetsinterne internkontroll og kvalitetssikring som følger av dagens helsepersonellov § 26 gis behandlingsgrunnlag i pasientjournalloven. Departementet foreslår endringer i helsepersonelloven § 26 for å legge til rette for at virksomheter som samarbeider om behandlingsrettede helseregistre etter pasientjournalloven § 9, skal kunne bruke opplysningene i registrene i kvalitetssikringsarbeid.
Medisinske kvalitetsregistre som brukes til kvalitetssikring av helsetjenester som sådan, vil omfattes av den nye helseregisterloven. Nasjonale kvalitetsregistre vil derfor fremdeles hjemles i helseregisterloven.
Se nærmere om kvalitetssikring i kapittel 15.
10.3.4 Annen behandling av helseopplysninger knyttet til helsehjelp
Ytelse av helsehjelp til pasienter inkluderer flere deltjenester, inkludert administrasjon og finansiering av tjenestene. Pasientjournalloven vil etter forslaget også omfatte behandling av helseopplysninger som er nødvendig for ytelse av disse deltjenestene.
Forskriftshjemmelen i gjeldende helseregisterlov § 6 c om saksbehandling og administrasjon av visse deltjenester, foreslås derfor videreført i pasientjournalloven § 11. Departementet foreslår at bestemmelsen utvides til også å omfatte blant annet system for rekvirering, utlevering og finansiering av helseforetaksfinansierte legemidler til bruk utenfor sykehus. Se kapittel 14.
Pasientjournalloven vil også omfatte ulike nasjonale systemer for behandling av helseopplysninger av betydning for ytelse av helsehjelp til enkeltindivider, se pasientjournalloven § 10 og kapittel 13.
Loven vil i tillegg omfatte nasjonal database for elektroniske resepter, som i dag er hjemlet i helseregisterloven § 8 tredje ledd. Se pasientjournalloven § 12 om Reseptformidleren.
10.3.5 Helseregistre som ikke omfattes av loven
Behandling av helseopplysninger, inkludert etablering av helseregistre, til andre formål enn helsehjelp til enkeltpersoner, vil falle utenfor pasientjournalloven og må ha eget hjemmelsgrunnlag i andre lover.
Pasientjournalloven skal ikke gjelde for behandling av helseopplysninger som reguleres av helseregisterloven, jf. forslaget til ny helseregisterlov § 3 andre ledd. Den nye helseregisterloven vil regulere helseregistre som ikke er behandlingsrettede. Det vil være formålet med behandlingen av opplysningene, som bestemmer hvilken lov som skal anvendes i den enkelte sak. Pasientjournalloven skal gjelde bruk av helseopplysninger i behandlingsrettede helseregistre forbindelse med helsehjelp (primærbruken), mens helseregisterloven skal gjelde bruk til forskning, statistikk osv. (sekundærbruken). Som nevnt i punkt 10.3.3 skal kvalitetssikring av helsehjelp som sådan, inkludert nasjonale kvalitetsregistre, hjemles i helseregisterloven.
Personopplysningsloven og helseforskningsloven vil også gi hjemmel til å behandle helseopplysninger.
11 Informasjonsdeling mellom helsepersonell
Departementet foreslår nye regler i pasientjournalloven som skal legge bedre til rette for informasjonsdeling mellom helsepersonell enn dagens helseregisterlov. Relevante og nødvendige opplysninger skal være tilgjengelige for helsepersonell når det er nødvendig for å gi pasienten best mulig helsehjelp. Opplysningene skal være tilgjengelige uavhengig av hvor pasienten tidligere har mottatt helsehjelp. Se forslaget til pasientjournallov § 19.
Den databehandlingsansvarlige skal bestemme på hvilken måte helseopplysningene kan gjøres tilgjengelige. Dette omfatter også om autorisert helsepersonell i andre virksomheter skal kunne gis adgang til selv å søke etter relevant informasjon om konkrete pasienter i virksomhetens journalsystem (tilgang). Opplysninger skal, som i dag, bare kunne gjøres tilgjengelige dersom de er relevante og nødvendige for å yte helsehjelp og det er sikkerhet for at opplysningene ikke kommer på avveie. Departementet foreslår å oppheve skillet i dagens helseregisterlov mellom tilgang til helseopplysninger internt i en virksomhet og tilgang til opplysninger i andre virksomheter. Tilgangsstyring er et viktig tiltak for å hindre at uvedkommende får tilgang til opplysninger om den enkelte pasient.
Informasjon kan også deles ved at virksomheter bruker samme behandlingsrettede helseregister. Forslaget om informasjonsdeling i dette kapitlet må derfor ses i sammenheng med forslaget i kapittel 12 om samarbeid om behandlingsrettede helseregistre.
11.1 Gjeldende rett
11.1.1 Taushetsplikt
Helsepersonell har taushetsplikt om pasientforhold, jf. helsepersonelloven § 21. I tillegg til å tie, innebærer taushetsplikten en aktiv plikt til å hindre at uvedkommende får tilgang til helseopplysninger.
Helsepersonelloven § 21 a forbyr å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte taushetsbelagte opplysninger uten at det er begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp eller har særskilt hjemmel i lov eller forskrift.
Formålet med disse reglene er å verne om pasientens integritet og hindre unødvendig spredning av opplysninger.
Den databehandlingsansvarlige skal sørge for forsvarlig lagring og behandling av pasientopplysninger, jf. helseregisterloven § 16 om informasjonssikkerhet samt spesialisthelsetjenesteloven § 3-2 og helse- og omsorgstjenesteloven § 5-10.
11.1.2 Når helseopplysninger kan gjøres tilgjengelige
Helsepersonelloven
Regler om taushetsplikt i helsepersonelloven regulerer når helseopplysninger kan gjøres tilgjengelige for andre. En forutsetning for å kommunisere taushetsbelagte opplysninger er at det finnes en klar lovhjemmel for det. De mest aktuelle bestemmelsene som gjør unntak fra taushetsplikt i pasientbehandlingen er helsepersonelloven §§ 25 og 45, samt § 29 c som gjelder kvalitetssikring.
Det vil ofte være nødvendig med opplysninger som er nedtegnet i forbindelse med at pasienten tidligere er gitt helsehjelp. Det er reglene om taushetsplikt som regulerer hvilke helseopplysninger som kan gjøres tilgjengelige og når opplysningene kan gjøres tilgjengelige.
Reglene om taushetsplikt sier ikke noe om på hvilken måte opplysninger kan gjøres tilgjengelige. De skiller ikke mellom ulike måter å utveksle informasjon på. Bestemmelsene åpner både for tilgang til helseopplysninger og for at den databehandlingsansvarlige utleverer opplysningene. Utlevering kan skje elektronisk eller manuelt ved papirutskrift. Taushetsplikt er ikke til hinder for at helsepersonell fra andre virksomheter gis tilgang til helseopplysninger i datasystemet, jf. helsepersonelloven §§ 25 og 45 som viser til helseregisterloven § 13 tredje og fjerde ledd.
Helsepersonells adgang til å gi helseopplysninger til personell de samarbeider med i forbindelse med helsehjelp, er regulert i helsepersonelloven § 25. Opplysningene kan gis til samarbeidende personell både innenfor og utenfor virksomheten. Opplysninger kan etter denne bestemmelsen bare gis til samarbeidende personell som trenger opplysningene for å yte helsehjelp til pasienten.
Helsepersonell som skal yte eller yter helsehjelp til en pasient skal gis relevante og nødvendige opplysninger i den grad dette er nødvendig for å kunne yte helsehjelp til pasienten på forsvarlig vis, jf. helsepersonelloven § 45. Det skal fremgå av journalen at annet helsepersonell har fått helseopplysningene. Opplysninger kan gis både av den databehandlingsansvarlige for opplysningene eller av det helsepersonellet som har dokumentert opplysningene.
Pasienten skal kunne kontrollere informasjonsflyten i den grad det er mulig. Helseopplysninger i journalen kan ikke gjøres tilgjengelige for annet helsepersonell dersom pasienten motsetter seg det, jf. helsepersonelloven §§ 25 og 45. Regler om dette følger også av pasient- og brukerrettighetsloven § 5-3.
Samtykke kan etter helsepersonelloven være uttrykkelig, basert på konkludent adferd, presumeres, eller være indirekte eller underforstått, jf. merknadene til § 22 i Ot.prp. nr. 13 (1998–99) kapittel 26. Det fremgår av forarbeidene til helsepersonelloven § 45 at
[u]tleveringen skal tjene den helsehjelp pasienten gis, og skal vurderes i lys av om pasienten er tjent med dette. Det må derfor i utgangspunktet legges til grunn et samtykke fra pasienten før utleveringen skjer. Med hensyn til samtykke fra pasienten, vil det i de alt overveiende antall tilfeller være riktig å legge avgjørende vekt på dette. I tilfeller hvor pasienten ikke er i stand til å gi noe bevisst samtykke, vil det ofte være grunnlag for å forutsette at pasienten ville gi slikt samtykke. Imidlertid kan det tenkes tilfeller hvor journalen bør utlånes eller overføres selv om pasienten motsetter seg dette. (merknadene til § 45 i Ot.prp. nr. 13 (1998–99) kapittel 26)
Kravet til samtykke etter helsepersonelloven er dermed ikke det samme som samtykkekravet etter helseregisterloven § 13 jf. § 2 nr. 11, se nedenfor.
Å motsette seg at opplysninger kan gis til annet helsepersonell forutsetter at pasienten gir beskjed. Kravet om aktivitet fra pasienten for å forhindre informasjonsdeling, er begrunnet i at pasienten må kunne legge til grunn at det utveksles relevant informasjon mellom helsepersonell om vedkommendes helsetilstand, og om hvilken helsehjelp som skal gis.
Retten til å motsette seg informasjonsdeling gjelder selv om opplysningene er nødvendige for å yte helsehjelp. Utlevering kan likevel skje dersom tungtveiende grunner taler for det, jf. pasient- og brukerrettighetsloven § 5-3 andre punktum. Det kan tenkes særlige tilfeller hvor journalen bør utlånes eller overføres selv om pasienten motsetter seg dette. Se merknadene til § 45 i Ot.prp. nr. 13 (1998–99) kapittel 26.
Helseregisterloven
Helseregisterloven § 13 regulerer måten opplysningene kan gjøres tilgjengelige på. Bestemmelsen setter de ytre rammene for hvem som kan gis tilgang. Med tilgang menes at autorisert helsepersonell gis adgang til selv å søke etter relevant informasjon om konkrete pasienter i virksomhetens journalsystem Begrensningene i helseregisterloven § 13 gjelder i tillegg til reglene om taushetsplikt i helsepersonelloven.
Etter gjeldende regler er det ikke adgang til å gi tilgang til pasientjournaler for helsepersonell i andre virksomheter. Tilgang kan bare gis i den grad dette er nødvendig for vedkommendes arbeid og er i samsvar med taushetsplikten. Tilgang er som hovedregel begrenset til den som arbeider under den databehandlingsansvarliges eller databehandlers instruksjonsmyndighet.
Det kan imidlertid gis forskrifter om tilgang til helseopplysninger i behandlingsrettet helseregister på tvers av virksomhetsgrenser. Tilgang i slike tilfeller kan bare gis etter uttrykkelig samtykke, hvis ikke det i forskriften er gjort unntak fra samtykkekravet. En forespørsel om tilgang til helseopplysninger i annen virksomhet kan bare omfatte én pasient om gangen.
Helseregisterloven åpner dermed for at helsepersonell gis mulighet til selv å søke etter helseopplysninger i et behandlingsrettet helseregister i annen virksomhet enn de selv er tilknyttet, dersom den registrerte samtykker. Samtykkekravet etter helseregisterloven tilsvarer personopplysningsloven og er ikke det samme som etter helsepersonelloven. Med samtykke menes i denne sammenheng «en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av helseopplysninger om seg selv», jf. helseregisterloven § 2 nr. 11. Alle tre vilkårene må være oppfylt for at det kan sies å foreligge et samtykke etter loven. Det stilles ikke noe formkrav til samtykket, som enten kan gis muntlig eller skriftlig. Det er imidlertid den databehandlingsansvarlige for opplysningene som må kunne sannsynliggjøre at det faktisk foreligger et samtykke. Dette kan lettest gjøres dersom det foreligger skriftlig.
Helseinformasjonssikkerhetsforskriften har regler om tilgang på tvers av virksomhetsgrenser, som gitt i medhold av helseregisterloven § 13. Denne forskriften er imidlertid ikke trådt i kraft.
Helseregisterloven § 14, jf. § 12, regulerer adgangen til å utlevere opplysninger. Det følger av bestemmelsene at utlevering av opplysningene kan skje i den grad det følger av helsepersonelloven §§ 25, 26 og 45.
Helseregisterlovens skille mellom tilgang og utlevering er begrunnet i at helsepersonell innenfor virksomheten selv skal kunne søke etter opplysninger fra journalen, mens helsepersonell utenfra først må henvende seg til noen innenfor for å få opplysninger fra journalen.
11.2 Høring
11.2.1 Høringsforslaget
I høringsnotatet ble det foreslått å oppheve skillet i helseregisterloven § 13 første ledd mellom tilgang til helseopplysninger internt i en virksomhet og tilgang til opplysninger i en annen virksomhet. Den databehandlingsansvarlige skulle etter forslaget kunne bestemme på hvilken måte pasientopplysninger gjøres tilgjengelige.
11.2.2 Høringsuttalelsene
Støtte til forslaget
Forslaget fikk støtte av flertallet av høringsinstansene, blant andre Datatilsynet, Folkehelseinstituttet, Helsedirektoratet, Helse Nord RHF, Helse Vest RHF, Helse Bergen HF, Helse Midt-Norge RHF, Helse Sør-Øst RHF, Sykehuset Østfold HF, Universitetssykehuset Nord-Norge HF, Oslo universitetssykehus HF (OUS), Akershus universitetssykehus HF (Ahus), Det nasjonale dekanmøtet, Legeforeningen, Difi, Trondheim kommune, Oslo kommune, Fylkesmannen i Buskerud, Arbeidsgiverforeningen Spekter, DIPS ASA, Nasjonal IKT og Norsk manuellterapeutforening. Også flere av pasient- og brukerorganisasjonene, som Landsforeningen for hjerte- og lungesyke (LHL), Rusmisbrukernes interesseorganisasjon (RIO) og Diabetesforbundet var positive til forslaget.
Flere høringsinstanser fremhevet at forslaget vil legge til rette for god samhandling og at det vil bidra til sømløse pasient- og behandlingsforløp.
Datatilsynet uttalte at et «statisk behandlingsløp er erstattet av et dynamisk, og det er viktig at nye og endrede pasientbehandlingskjeder understøttes av ny teknologi». Tilsynet var ikke uenig i at det skal åpnes for tilgang på tvers av virksomhetsgrenser, men mente at det må defineres vilkår for når slike tilganger skal gis. Tilsynet uttalte videre:
Konsekvensen av at helseregisterloven § 13 tredje ledd ikke videreføres vil etter vår oppfatning være små for pasientene så lenge taushetsplikten fortsatt er førende for hvilke opplysninger som kan gjøres tilgjengelige for hvem. Under en slik forutsetning er vi enig med departementet i at informasjonsdeling bør avhenge av hva som er teknisk gjennomførbart med tanke på metode, system og sikkerhet fremfor at det er virksomhetstilknytningen som skal sette grensen for hva som er tillatt.
Det er utvilsomt at denne utfordringen er stor. Det bør derfor stilles tydelige krav til systemene, for eksempel etter samme modell som i dagens helseinformasjonssikkerhetsforskrift.
Tilsynet mente videre at det bør fremgå klarere at pasienten har rett til å kontrollere informasjonsflyten i den grad det er mulig. I normale behandlingssituasjoner må det tas hensyn til pasientenes selvbestemmelsesrett. Et «implisitt» samtykke til helsehjelp kan ikke benyttes for enhver tilgang til helseopplysninger. Det må skilles mellom for eksempel akuttliknende behandling og planlagt behandling der effektivitetshensyn ikke bør veie tyngre enn pasientens selvbestemmelsesrett.
Folkehelseinstituttet mente at en ny pasientjournallov er en nødvendig forutsetning for bedre helseregistre. Dette fordi rask, sikker og personvernvennlig innmelding av kvalitetssikrede data forutsetter at de ulike pasientjournalsystemene kommuniserer godt både med hverandre og med meldingssystemer til helseregistrene. Folkehelseinstituttet var enig i at det er behov for mer fleksibel informasjonsdeling mellom helsepersonell:
Når formålet er å gi best mulig helsehjelp bør helsepersonell ved et sykehus eller et tjenestenivå kunne ha tilgang til relevante og nødvendige opplysninger om en pasient som har vært innlagt ved et annet sykehus eller annet nivå. Vi støtter derfor departementets forslag om mer fleksible løsninger for sikker informasjonsutveksling, slik at opplysningene blir gjort tilgjengelige for helsepersonell uavhengig av hvor pasienten tidligere har fått helsehjelp. Dette vil også bidra til sømløse pasient- og behandlingsforløp. Samtidig stiller dette store krav til de ulike virksomheters informasjonssikkerhet, og til samarbeid mellom virksomheter.
Legeforeningen mente at «det er viktig at lovgivningen er utformet slik at det legges til rette for at helsepersonell kan gis tilgang til relevante og nødvendige helseopplysninger om pasienten i behandlingssituasjonen». Legeforeningen uttalte videre:
Legeforeningen støtter at det åpnes for mer fleksible løsninger for sikker informasjonsutveksling tilpasset hvordan helse- og omsorgstjenesten faktisk er organisert. Det er hensiktsmessig at dagens skille mellom tilgang til pasientopplysninger internt i en virksomhet og tilgang til opplysninger i andre virksomheter oppheves. Vi slutter oss til at dette vil stille store krav til de elektroniske verktøyene. Det er dessuten viktig at pasientjournalene er strukturert på en slik måte at det er mulig for helsepersonell å søke frem de opplysningene som er relevante og nødvendige uten å få tilgang til andre opplysninger om pasienten. Helsepersonells tilgang til pasientjournaler i egen og evt. andre virksomheter må styres på en slik måte at myndighetskravene oppfylles. Praksis viser at dette ikke er tilfelle i flere virksomheter i dag. Eksempelvis har Datatilsynet ved en rekke tilsyn påvist mangler ved tilgangsstyring.
Etter forslaget overlates det i utgangspunktet til virksomhetene å finne forsvarlige løsninger. I bestemmelsen er det gitt hjemmel for å gi nærmere regler om hvordan helseopplysninger i behandlingsrettede helseregistre skal gjøres tilgjengelig. Legeforeningen mener at det bør gis regler om tilgang mellom virksomheter med hjemmel i bestemmelsen.
Helse Sør-Øst RHF mente at
[m]ulighet for utveksling av informasjon med landets helseforetak, primærhelsetjenesten, fastleger og kommunehelsetjenesten er vesentlig for å kunne heve pasientsikkerheten og kvaliteten i pasientbehandlingen. Det er Helse Sør-Øst RHF sitt ønske at denne informasjonsdelingen med landets sykehus, kommuner over hele landet og alle landets fastleger kan skje på den mest effektive og beste måten uten unødig hinder. Det er selvsagt en forutsetning at krav til sikkerhet og personintegritet er ivaretatt på en moderne og tilfredsstillende måte, men vårt anliggende er at dette ikke må komme til hinder for en effektiv informasjonsutveksling.
Helse Nord RHF påpekte at:
[t]ilgang på tvers av virksomheter er utvilsomt nødvendig for å kunne gi god helsehjelp. For pasienten er det vesentlige at helsehjelpen gis til riktig tid og basert på korrekt informasjon, ikke hvilken virksomhet som har den lagret. Samtidig vil slik tilgang i langt større grad stille krav til virksomhetenes tilgangsstyring for å hindre at den enkeltes rett til privatliv og tilliten til helsehjelpen ikke [sic] svekkes.
Oslo universitetssykehus HF (OUS) og Akershus universitetssykehus HF (Ahus) uttalte at mulighetene som ligger i utkastet til ny pasientjournallov for enklere å dele journalopplysninger i behandlingsøyemed, er ønsket.
Sykehuset Østfold HF viste til at det fra et pasientsikkerhetsperspektiv er vanskelig å forstå at pasientjournalen ved ett sykehus ikke skal være tilgjengelig for behandler ved et annet sykehus. Det ble som eksempel vist til der pasienten gjør bruk av retten til fritt sykehusvalg eller blir innlagt for øyeblikkelig hjelp. Tilsvarende er det vanskelig å forstå at en legespesialist i spesialisthelsetjenesten ikke skal ha tilgang til opplysninger som er journalført av henvisende lege på legevakten.
Arbeidsgiverforeningen Spekter mente at forslaget vil bidra til at behandlende helsepersonell kan bruke mer tid på pasientbehandling og mindre tid på administrasjon:
De som behandler må bruke mest mulig tid til pasientbehandling og minst mulig tid til administrasjon og søk etter pasientopplysninger. Vi forutsetter at det tas høyde for at det i dag finnes en rekke ulike journalsystemer, slik at det vil kunne være en del praktiske utfordringer før målet om enklere tilgang på opplysninger kan nås.
Opphevelse av skillet mellom tilgang til pasientopplysninger internt i en virksomhet, og tilgang til opplysninger i andre virksomheter, vil bidra til formålet.
Hareid kommune fremhevet balansegangen mellom behovet for konfidensialitet og behovet for tilgjengelighet:
Det er ein balansegang mellom personvern og teieplikt på den eine side, og det å sikre at helsepersonell har tilgang på naudsynt informasjon for å gi den rette behandlinga – på den andre sida. For dei langt fleste pasientar er ikkje behovet for hemmeleghald av kontakt med helsevesenet så stort. Forventningane er oftast større til at helsetenesta har tilgang til relevant informasjon også frå andre legekontor, sjukehus mm. Samtidig er det nokre som har eit stort behov for at informasjon om personlege og familiære forhold og/eller sjukdomsinformasjon vert handsama strengt fortruleg. Dersom tillita til legen si teieplikt blir borte; dersom ein veit at opplysingar i prinsippet kan ligge elektronisk tilgjengeleg for eit ukjent antal helsearbeidarar, vil det medføre alvorleg fare for lege-pasient forholdet. Alle påloggingssystem inneheld feilkjelder og muligheiter for misbruk. Dersom vanleg tilgangskontroll og autorisering skal vere fleksibel nok til å sikre nødvendig tilgang i akuttsituasjonar, så vil der vere feilkjelder som gjer det mogleg med uautorisert tilgang ved «snoking» og hacking også.
Det medisinske fakultet ved Norges naturvitenskapelige universitet (NTNU) viste til at informasjonsdeling er viktig blant annet fordi over 50 prosent av alle pasienter med akutt hjerteinfarkt behandles ved to sykehus, og at kreftpasienter er tilknyttet ulike deler av helsevesenet ved ulike stadier av sykdommen.
Tekniske og organisatoriske utfordringer
Flere høringsinstanser pekte på de tekniske utfordringene og at ikke alle i dag har systemer som gjør det teknisk mulig å nyttiggjøre seg de mulighetene for informasjonsdeling som lovforslaget åpner for. Helse Nord RHF mente at slik tilgang i langt større grad enn i dag vil stille krav til virksomhetenes tilgangsstyring for å hindre at den enkeltes rett til privatliv og tilliten til helsetjenesten svekkes.
Universitetssykehuset Nord-Norge HF fremhevet betydningen av felles løsninger:
For å oppnå lovens formål må det etableres felles løsninger for elektronisk pasientjournalsystemer. Det må utvikles elektroniske systemer som skal ivareta funksjonalitet og sikkerhet. Dette vil være tidkrevende, personellkrevende og det vil stilles store krav til infrastruktur, herunder felles nasjonale helhetsløsninger for autentisering.
For å utvikle slike gode løsninger for elektroniske pasientjournalsystemer på landsbasis, forutsetter UNN at det vil bli bevilget nødvendige ressurser.
Akershus universitetssykehus HF (Ahus) mente at det bør komme nasjonale standarder og rammer som sikrer kompatible løsninger «på tvers» og en nasjonal løsning for infrastruktur for autentisering mellom juridiske enheter på tilstrekkelig høyt nivå.
Behov for nærmere regulering
Noen høringsinstanser, som Datatilsynet, Helse Sør-Øst RHF og Akershus universitetssykehus HF (Ahus), etterlyste en mer detaljert regulering av sikkerhetskravene. Datatilsynet mener at det bør stilles tydelige krav til systemene, for eksempel etter samme modell som i dagens helseinformasjonssikkerhetsforskrift. Difi pekte på viktigheten av tilgangsstyring, oppfølging, kontroll og ansvarsfordeling – med tydelige roller lokalt og med sentral veiledning.
Helse Bergen HF ønsket at kravet til risikovurdering tas inn i loven for å gjøre virksomhetenes ansvar enda tydeligere.
Senter for klinisk dokumentasjon og evaluering (SKDE) mente at det bør fremgå klart at virksomhetene selv i første omgang har ansvaret for å fastslå akseptabelt nivå når det gjelder kravene for tilgjengelighet og konfidensialitet i helsetjenesten.
Helsetilsynet påpekte et økt behov for effektiv utveksling av opplysninger, men stilte samtidig spørsmål ved forslaget. Det synes som om tilsynet mente at det vil være en fare for informasjonssikkerheten hvis eksterne gis tilgang til systemet i den enkelte virksomheten uten nærmere regulering av tekniske, organisatoriske og sikkerhetsmessige løsninger.
Støttet ikke forslaget
Norsk Pasientforening,Funksjonshemmedes fellesorganisasjon (FFO) og Pro Sentret støttet ikke forslaget om å gi tilgang til pasientopplysninger på tvers av virksomhetsgrenser.
Norsk Pasientforening og FFO mener at behovet for tilgang til journalopplysninger ikke er så stort som departementet beskriver det. Disse mente at tilgang bør knyttes til kjernejournalopplysninger. Nasjonal kjernejournal inneholder få opplysninger med kritisk informasjon og fyller ifølge disse høringsinstansene behovet for rask tilgang til kritisk og helt sentral informasjon.
Norsk Pasientforening var kritisk til forslaget i lys av behovet for tillit og konfidensialitet:
[D]eler av forslagene om tilgang til journal for å kunne gi best mulig helsehjelp og omsorg slik de kommer frem i høringsnotatet er problematisk. Det er en avgjørende faktor for et velfungerende helsetjenestetilbud at pasienter har tillit til at informasjonen om dem blir håndtert på behørig vis. Dersom befolkningen kvier seg for å bruke helsetjenesten av frykt for at informasjon om dem skal komme på avveie, vil vi ha store utfordringer med å gi et godt helsetjenestetilbud.
[…]
Tilgang på tvers av helsetjenesten vil innebære en stor utfordring med å sikre konfidensialitet for den enkeltes helseopplysninger.
FFO mente at loven ikke bør utvides til å gi tilgang til journalopplysninger på tvers av virksomhetsgrenser, men at det må innhentes samtykke fra pasienten dersom helsepersonell skal kunne gjøre oppslag i journalopplysninger i andre virksomheter. FFO mente at de ikke kunne ta stilling til et lovforslag om å gi tilgang på tvers, før de har visshet om at nødvendige sikkerhetsløsninger er utviklet, tilgjengelige og kan iverksettes i praksis. Tilgang til helseopplysninger mellom virksomheter innebærer ifølge FFO en for omfattende risiko for personvernet:
Tilgang på tvers vil innebære en for stor utfordring med å sikre konfidensialitet for den enkeltes helseopplysninger. FFO er tvilende til om det overhodet er mulig å sikre den enkeltes konfidensialitet på en god og sikker måte når tilgangen til opplysningene blir gitt til et stort antall helse-, pleie- og omsorgspersonell.
Pro Sentret var bekymret for risikoen for at helsepersonell registrerer opplysninger som hverken er nødvendige eller relevante for helsehjelp til den enkelte:
Pro Sentret mener at det bør finnes særdeles gode begrunnelser for at vi skal dele pasientdata med eksterne aktører. Unntak er i tilfeller der slik deling er nødvendig for pasientbehandlingen og det er innhentet informert samtykke fra pasienten behandlingen gjelder.
11.3 Departementets vurderinger
Departementet foreslår regler som åpner for mer fleksibel informasjonsdeling og samarbeid mellom virksomheter – uavhengig av hvor pasienten har fått helsehjelp og sektorens organisering. Den databehandlingsansvarlige skal kunne bestemme på hvilken måte helseopplysninger kan gjøres tilgjengelige. Se forslaget til pasientjournallov § 19.
Forslaget er det samme som ble fremmet i høringsnotatet. På bakgrunn av høringen har imidlertid departementet kommet til at det er behov for å gi tydeligere føringer om hvordan informasjon kan gjøres tilgjengelig og deles på en måte som sikrer personvernet og begrenser tilgangen til det som er nødvendig. Departementet vil derfor gi forskrifter om dette.
11.3.1 Behov for mer fleksibel informasjonsdeling
Formålet med forslaget er å legge bedre til rette for sikker informasjonsdeling mellom virksomheter enn det som i dag er mulig innenfor rammene av helseregisterloven.
Departementet mener at det er behov for mer fleksibel informasjonsdeling mellom helsepersonell som yter helsehjelp til samme pasient. I høringen ble dette bekreftet av flertallet av høringsinstansene, inkludert helseforetak, Legeforeningen, Helsedirektoratet, Folkehelseinstituttet og Arbeidsgiverforeningen Spekter. Departementet er ikke enig med Norsk Pasientforening og Funksjonshemmedes fellesorganisasjon (FFO) som mener at behovet for tilgang til journalopplysninger ikke er så stort.
Økt spesialisering og samhandling i spesialist- og primærhelsetjenesten medfører at pasienter oftere enn tidligere behandles av helsepersonell ansatt i ulike virksomheter. Tidligere foregikk mesteparten av helsehjelpen til den enkelte pasienten i en og samme virksomhet, for eksempel ett sykehus. Da loven ble vedtatt var det derfor naturlig å ha et absolutt forbud mot tilgang til opplysninger mellom virksomheter.
Siden helseregisterloven ble vedtatt i 2001 har det skjedd store fremskritt i medisinsk kunnskap og omorganisering av helse- og omsorgstjenestene, som igjen har ført til endringer i pasientforløpene.
Utviklingen har vært tilsvarende i Sverige. I Kommittédirektiv Tillgänglig och säker information i hälso- och sjukvård och socialtjänst (Dir. 2013:125) er dette beskrevet slik:
Hälso- och sjukvården och socialtjänsten behöver tillgång till rätt information om patienten eller brukaren, för att kunna ge bästa möjliga omhändertagande och insatser. Historiskt sett har antalet vård- och omsorgsgivare i Sverige varit relativt litet såtillvida att landstingen och kommunerna i egen regi har utfört huvuddelen av den vård och omsorg som getts. Sett ur ett informationsperspektiv var situationen enklare tidigare då en enda vårdgivare hade hand om en patient under ett visst sjukdomsförlopp eller under större delen av dennes liv.
Endringene innebærer at flere virksomheter er løpende involvert i behandlingen av en og samme pasient. Det krever en større grad av dokumentasjon og informasjonsdeling mellom de involverte virksomhetene for å sikre forsvarlig helsehjelp.
Hvis relevant informasjon ikke er tilgjengelig kan det få alvorlige konsekvenser for pasientene. Pasientene har behov for at informasjonsflyten mellom helsepersonellet er god og at oppdatert informasjon er tilgjengelig når dette er nødvendig. Det vil i slike situasjoner fremstå som naturlig for pasienten at helsepersonell som yter helsehjelp, også har tilgang til relevante og nødvendige opplysninger for å kunne yte denne hjelpen. Hva som er relevant og nødvendig informasjon i den enkelte situasjon samsvarer ikke alltid med hva som er nedtegnet i den virksomhetsinterne pasientjournalen. Ofte er det slik at pasientene i stedet må gjenta opplysningene hver gang de oppsøker helse- og omsorgstjenesten.
Det er i dag strengere regler for informasjonsdeling mellom helsepersonell ansatt i ulike virksomheter enn mellom ansatte i samme virksomhet, se punkt 11.1.2 om gjeldende helseregisterlov § 13. Forskjellen var begrunnet i at sikkerheten ville være lettere å ivareta innenfor en virksomhet, og ikke i at helsepersonellet har ulikt informasjonsbehov ved pasientbehandling.
Dette betyr at helseopplysninger som er nødvendige for å yte helsehjelp, i stor utstrekning deles ved melding eller utleveres på andre måter. Utleveringer og meldinger betyr at utdrag av journalen overføres elektronisk eller på papir til annet helsepersonell. Det er da en fare for opplysninger helsepersonell får utlevert, ikke lenger er oppdaterte og dekkende. Det kan også skje at den institusjonen der pasienten tidligere i samme sykdomsforløp har fått behandling, må kontaktes per telefon for å få opplysninger fra pasientens journal. Legen må da lese høyt fra pasientens journal for å kunne gi nødvendig informasjon. Slik kommunikasjon kan også være tungvint og tidkrevende, og tar arbeidstid fra andre oppgaver for vakthavende lege.
11.3.2 Opplysningene bør følge pasienten
Det er et mål for departementet at helseopplysningene skal kunne følge pasienten. Relevante og nødvendige pasientopplysninger skal være tilgjengelige for helsepersonell som yter helsehjelp, uavhengig av hvor pasienten har fått helsehjelp og hvordan sektoren til enhver tid er organisert. For pasientene er det vesentlige at helsehjelpen gis til riktig tid og er basert på korrekt informasjon, ikke hvilken virksomhet som har lagret informasjonen.
Dagens helseregisterlov legger ikke i tilstrekkelig grad til rette for en informasjonsflyt som samsvarer med pasientens behandlingsforløp og helsepersonells behov for informasjon. Det er en forutsetning for godt personvern at regelverket tar utgangspunkt i den reelle situasjonen og behovene for informasjonsflyt, og ikke en konstruert modell som gjeldende bestemmelse er basert på.
Reglene om dokumentasjon og informasjonsdeling i sektoren må knyttes til målet om å yte helsehjelp av best mulig kvalitet. Samhandlingsreformen forutsetter samarbeid mellom ulike behandlingssteder. Tilgang til relevant informasjon er nødvendig for at helsepersonell raskt skal kunne danne seg et helhetlig bilde av pasienten, og ha godt grunnlag for å velge riktig utredning, behandling eller tjeneste. Dette bidrar også til at pasienter i større grad slipper å gjenta opplysningene hver gang de oppsøker helse- og omsorgstjenesten.
Konseptet «én innbygger – én journal» vil måtte utvikles over tid, og det er verken ønskelig eller mulig å regulere hvert trinn i denne utviklingen. Pasientjournalloven vil imidlertid sette rammene for utviklingen. Loven bør derfor ikke være til hinder for deling av informasjon som er nødvendig for å realisere konseptet én innbygger – én journal.
Nødvendig og oppdatert informasjon må raskt være tilgjengelig for helsepersonell ansatt i ulike virksomheter og på ulike nivåer som yter helsehjelp til samme pasient. Dette gjelder for eksempel når pasienter utskrives fra sykehus og overføres til den kommunale helse- og omsorgstjenesten for videre behandling. Det er da viktig at journalopplysninger kan følge pasienten og at helsepersonell som mottar pasienten gis relevant og oppdatert informasjon om pasienten. Det samme gjelder for helsepersonell som er ansatt i et helseforetak og som driver ambulant virksomhet ved for eksempel distriktspsykiatriske sentre i hele helseregionen.
I den svenske Utredningen om rätt information i vård och omsorg (Statens offentliga utredningar S 2011:13) fremheves nødvendigheten av tilgang:
Istället för att som tidigare, på ett mer tidskrävande och ibland osäkert sätt, begära att journalkopior lämnas ut från en vårdgivare till en annan, kan vårdgivarna hålla vårddokumentation ständigt åtkomlig för varandra så att den som är behörig och som behöver informationen i samband med vård kan ta del av den. Informationsutbytet görs genom så kallad direktåtkomst, där den som har behov av informationen själv kan ta del av den utan att först göra en formell begäran hos den som dokumenterat uppgifterna. Det kan exempelvis handla om att behörig personal på ett landstingsdrivet sjukhus själv kan ta del av patientuppgifter som dokumenterats på en privat driven vårdcentral, utan att först kontakta den vårdgivare som driver vårdcentralen och be att få journalkopior.
Samtidig som opplysningene gjøres tilgjengelige for helsepersonell, må den enkelte pasient og brukers personvern og rett til konfidensialitet ivaretas. Se om personvern, selvbestemmelse og informasjonssikkerhet i punkt 11.3.5 og 11.3.6.
11.3.3 Virksomhetene bestemmer hvordan opplysningene gjøres tilgjengelige
Departementet foreslår at den enkelte ansvarlige virksomhet skal kunne bestemme på hvilken måte pasientopplysninger skal gjøres tilgjengelige.
Opplysningene skal kunne gjøres tilgjengelige ved å gi tilgang til relevante journalopplysninger eller på andre måter, også for helsepersonell utenfor virksomheten. Forslaget innebærer at dagens helseregisterlov § 13, som skiller mellom tilgang til helseopplysninger internt i en virksomhet og tilgang til opplysninger i en annen virksomhet, oppheves. Ordet tilgjengelig i den nye bestemmelsen vil da dekke både tilgang til opplysninger hvor helsepersonell gis mulighet til å søke opp relevante opplysninger om konkrete pasienter, og der hvor personell i virksomheten utleverer opplysningene.
Dette er i all hovedsak en videreføring av gjeldende rett. Når det gjelder adgangen til å gi tilgang for helsepersonell i andre virksomheter, innebærer imidlertid forslaget en endring. Endringen handler om hvordan opplysninger skal kunne gjøres tilgjengelige, og ikke om hvem opplysningene skal gjøres tilgjengelige for. Reglene vil da være harmonisert med helsepersonellovens regler om taushetsplikt, som ikke regulerer måten opplysningene kan gjøres tilgjengelige på. Se nærmere i punkt 11.3.6.
11.3.4 Kun nødvendige og relevante opplysninger
Det er et grunnleggende premiss at tilgjengeligheten skal reguleres og at ikke alle skal ha tilgang til alt. Dette er formulert i helsepersonelloven og i forslaget til pasientjournallov som et krav om at det bare er opplysninger som er nødvendige og relevante for helsehjelpen som kan gjøres tilgjengelige for andre. Se forslaget til pasientjournallov § 19. Departementet foreslår også at det presiseres i pasientjournalloven at helseopplysninger i behandlingsrettede helseregistre bare skal kunne behandles når det er nødvendig for å kunne gi helsehjelp, for internkontroll eller for kvalitetssikring av helsehjelpen. Se forslaget til pasientjournallov § 6.
For at opplysninger skal kunne gjøres tilgjengelige, må helsepersonellet ha en aktuell pasientrelasjon med den som opplysningene gjelder. Opplysninger skal bare kunne gjøres tilgjengelige for helsepersonell som har et tjenstlig behov for opplysningene, dvs. at opplysningene må være relevante og nødvendige for å yte, administrere eller kvalitetssikre helsehjelp til pasienten.
Virksomheten må, som i dag, sikre at det bare er helsepersonell som har behov for opplysningene i helsehjelpsøyemed som opplysningene gjøres tilgjengelige for, og at dette er i samsvar med gjeldende bestemmelser om taushetsplikt. Dette innebærer strenge krav til blant annet tilgangs-styring. Dette kravet står i veien for at opplysningene gjøres tilgjengelige for uvedkommende. Det vil si at personer uten tjenstlig behov fremdeles ikke vil ha rett til å se opplysningene.
Pro Sentret mente at en for vid begrepsdefinisjon av hva som er relevante og nødvendige helseopplysninger er et problem ved høringsforslaget slik det foreligger. Departementet foreslår ingen endringer i hva som er nødvendige og relevante helseopplysninger. Dette følger i dag av helsepersonelloven § 40 og skal forstås på samme måte etter pasientjournalloven.
Helseopplysninger kan også gjøres tilgjengelige til andre formål enn helsehjelp. Den databehandlingsansvarlige kan gjøre helseopplysninger tilgjengelige for andre formål enn helsehjelp når den enkelte samtykker eller dette er fastsatt i lov eller i medhold av lov. Departementet foreslår at dette presiseres i en egen bestemmelse, se forslaget til pasientjournallov § 20. En lovhjemmel for utlevering er for eksempel helsepersonelloven § 29 om utlevering til forskning mv. Meldeplikt etter gjeldende helseregisterlov § 10 er også en slik hjemmel. Denne videreføres i ny helseregisterlov § 16.
11.3.5 Pasientens selvbestemmelse
Høringsinstanser som Datatilsynet og Funksjonshemmedes Fellesorganisasjon (FFO), mente at pasienten bør ha selvbestemmelsesrett over opplysningene.
Departementet er enig med disse høringsinstansene i at pasienten som i dag må kunne kontrollere informasjonsflyten i den grad det er mulig. Departementet mener at den databehandlingsansvarlige bare skal kunne gjøre opplysninger tilgjengelige så langt dette er i samsvar med reglene om taushetsplikt i helsepersonelloven. Det følger av helsepersonelloven §§ 25 og 45 at taushetsbelagte opplysninger kan kommuniseres når det er nødvendig for å gi forsvarlig helsehjelp. Videre følger at pasienten kan motsette seg til slik kommunikasjon. Det er fordi reglene om taushetsplikt også gjelder mellom helsepersonell.
I de fleste tilfeller vil pasienten være innlagt eller til stede og kan gi samtykke til oppslag i egen journal. Se nærmere om taushetsplikt og samtykke i punkt 11.1.1 og 11.1.2.
Departementet foreslår at det lovfestes at pasienten har rett til å motsette seg at helseopplysninger i journalen gjøres tilgjengelige for annet helsepersonell, se forslaget til pasientjournallov § 17 bokstav a der det henvises til helsepersonelloven §§ 22 og 45 og pasient- og brukerrettighetsloven § 5-3.
11.3.6 Ekstern tilgang til virksomhetens datasystemer
Virksomhetsgrenser bør ikke være et rettslig hinder
Departementet mener at helsepersonell bør kunne gis tilgang uavhengig av hvor pasienten tidligere har fått helsehjelp. Med tilgang menes at autorisert helsepersonell gis adgang til selv å søke etter relevant informasjon om konkrete pasienter i virksomhetens journalsystem.
Virksomhetsgrenser bør ikke være et rettslig hinder for at helsepersonell kan gis tilgang til helseopplysninger når de skal gi helsehjelp. Lovens rammer for tilgang bør være de samme enten det er tale om tilgang for helsepersonell tilknyttet virksomheten eller helsepersonell tilknyttet en annen virksomhet.
Departementet foreslår derfor, i samsvar med forslaget i høringsnotatet, å ikke videreføre bestemmelsen i helseregisterloven § 13 som begrenser adgangen for helsepersonell til å søke etter relevant informasjon hos andre virksomheter.
Departementet viser til at forslaget fikk støtte av det store flertallet av høringsinstansene. Kun Norsk Pasientforening,Funksjonshemmedes fellesorganisasjon (FFO) og Pro Sentret var imot forslaget.
I Sverige og Danmark er det allerede åpnet for at helseopplysninger kan deles elektronisk mellom helsepersonell ansatt i ulike virksomheter, se punkt 5.1.1 og 5.2.1.
Forslaget om mulighetene for informasjonsdeling er, sammen med forslaget i punkt 12.3 om samarbeid om behandlingsrettede helseregistre, viktige grep for å sikre at relevante og nødvendige helseopplysninger blir tilgjengelige for helsepersonell når de skal gi helsehjelp.
Oslo universitetssykehus HF (OUS), Akershus universitetssykehus HF (Ahus), Funksjonshemmedes Fellesorganisasjon (FFO) og andre høringsinstanser pekte på at en del virksomheter i dag ikke har god nok tilgangsstyring, at enkelte har tekniske og organisatoriske løsninger som begrenser mulighetene eller at systemer som gjør deling mulig og sikker vil kreve store ressurser.
Departementet er enig i at aktører med lav modenhet i mindre grad vil kunne nyttiggjøre seg mulighetsrommet og være mer avhengige av leverandørenes innovasjonstakt.
Det at mange virksomheter per i dag ikke har god nok tilgangsstyring kan imidlertid ikke være avgjørende for at loven ikke skal åpne for deling av informasjon mellom virksomheter som har tilstrekkelig tilgangsstyring og kontroll. Det må være en forutsetning at løsningene ivaretar krav til informasjonssikkerhet og pasientens personvern. De mulighetene for informasjonsdeling som loven skal gi, forutsetter at virksomheten først har på plass gode systemer som hindrer at pasientopplysninger tilflyter uvedkommende.
Forslagene sikrer innovasjon, fleksibilitet og gir de virksomhetene som har kommet lengst mulighet til å ta i bruk nye og fremtidsrettede løsninger. Departementet viser til at utviklingen nødvendigvis må gå skrittvis og mener at loven ikke bør stå i veien for nye gode løsninger.
Flere høringsinstanser peker på at journalene ikke er strukturerte slik at det kan være vanskelig for andre enn behandlende personell å søke i journalene for å finne frem til den informasjonen som er relevant. Funksjonshemmedes Fellesorganisasjon (FFO) og Norsk pasientforening mente at dette er avgjørende dersom det skal være tilrådelig at helsepersonell skal gis tilgang til pasientopplysninger i eksterne virksomheter. Departementet viser her til at det arbeides med å utvikle mer standardiserte og strukturerte journaler. Helsedirektoratet arbeider i den forbindelse med ulike former for standardiseringsløsninger.
Den nye bestemmelsen i § 19 om tilgjengeliggjøring av helseopplysninger viderefører ikke begrensningene i tilgang til opplysninger mellom virksomheter som følger av gjeldende helseregisterlov § 13. Helseinformasjonssikkerhetsforskriften vil da sette rammer for slik tilgang som ikke følger av loven og av intensjonene med lovendringen. Forskriften må derfor endres før den eventuelt kan settes i kraft.
Personvern
Helseregisterloven § 13 begrenser i dag helsepersonells mulighet til selv å søke etter relevante og nødvendige helseopplysninger nedtegnet i andre virksomheter. Meningen med bestemmelsen var å øke sikkerheten og hindre at opplysninger kom på avveie.
I store virksomheter, eksempelvis større helseforetak med mange enheter og flere tusen helsepersonell, gir begrensningen i helseregisterloven i praksis liten ekstra sikkerhet. Her er det reglene om taushetsplikt og virksomhetens tilgangsstyring som setter skranker for tilgang og bruk av opplysningene. Bestemmelsen kan gi en falsk trygghet fordi det legges til grunn at så lenge bare egne ansatte får tilgang gir dette i seg selv god nok sikkerhet.
Samtidig fører regelen til at helsepersonell ansatt i ulike virksomheter som skal behandle samme pasient ikke får effektiv tilgang til nødvendige journalopplysninger. Den setter begrensninger for effektiv kommunikasjon som kunne ha kommet pasienten til gode. For eksempel kan helsepersonell i en enhet i et større helseforetak gis tilgang til journal i en annen enhet innenfor det samme foretaket. Skal derimot helsepersonell i den samme enheten kommunisere med for eksempel et legekontor utenfor helseforetaket, kan opplysningene i utgangspunktet bare deles ved at de utleveres.
Departementet viser her til at personopplysningsloven ikke har en slik begrensning med hensyn til tilgang til opplysninger mellom virksomheter. Etter personopplysningsloven er det opp til den (data)behandlingsansvarlige å bestemme hvem som skal få tilgang og på hvilken måte.
Enkelte høringsinstanser har gitt uttrykk for bekymring for om informasjonssikkerheten og tilgangsstyringen vil bli god nok dersom loven åpner for å gi tilgang til helsepersonell også utenfor virksomheten. Funksjonshemmedes Fellesorganisasjon (FFO), Norsk Pasientforening og Pro Sentret mente at forslaget ikke ivaretar den enkeltes konfidensialitet på en god og sikker måte.
Dette er et viktig innspill fra instanser som representerer pasienter og brukere som særlig vil bli berørt dersom opplysninger kommer på avveie. Det er avgjørende for et velfungerende helsetjenestetilbud at pasienter har tillit til at informasjonen om dem blir håndtert på behørig vis. Dersom befolkningen kvier seg for å bruke helsetjenesten av frykt for at informasjon om dem skal komme på avveie, vil vi ha store utfordringer med å gi et godt helsetjenestetilbud.
Departementet vil presisere at kravene til informasjonssikkerhet ikke endres. Det overordnede kravet, at det bare er helsepersonell som trenger opplysningen i en aktuell pasientbehandling som skal ha tilgang, gjelder fortsatt. Mulighetene som loven gir skal ikke kunne tas i bruk før nødvendige sikkerhetsløsninger er utviklet, tilgjengelige og iverksatt i praksis, se nedenfor.
Sikkerheten kan etter departementets vurdering ivaretas ved god tilgangsstyring og andre tiltak, også når tilgang gis til ansatte i andre virksomheter. Den teknologske utviklingen, og det at dagens IKT-systemer blir stadig mer avanserte, gjør at pasientens behov for konfidensialitet og integritet kan ivaretas på en god måte. Dette gjelder også der helsepersonell gis tillatelse til å søke etter relevant informasjon i et behandlingsrettet helseregister i en annen virksomhet. Tilgangsstyring og etterfølgende logging er nærmere omtalt i punkt 7.2.4 om informasjonssikkerhet.
Departementet presiserer at det kun skal gis tilgang til helsepersonell som har et tjenstlig behov for opplysningene; de opplysningene det gis tilgang til skal være relevante og nødvendige for å gi pasienten helsehjelp, se punkt 11.3.4. Departementet viser også til Datatilsynets høringsuttalelse om at konsekvensene av at helseregisterloven § 13 tredje ledd ikke videreføres, vil være små for pasientene så lenge taushetsplikten fortsatt er førende for hvilke opplysninger som kan gjøres tilgjengelige for hvem.
Departementet foreslår å ikke videreføre forutsetningen i gjeldende helseregisterlov § 13 om et frivillig, uttrykkelig og informert samtykke for at samarbeidende helsepersonell i andre virksomheter skal kunne få tilgang til selv å søke frem relevante og nødvendige helseopplysninger i virksomhetens datasystem. Funksjonshemmedes Fellesorganisasjon (FFO) mente i høringen at det må innhentes samtykke dersom helsepersonell i ekstern virksomhet skal kunne gjøre oppslag i journal. Departementet viser til at helsepersonellovens samtykkekrav fortsatt skal gjelde og at pasienten vil ha rett til å motsette seg tilgang. Se punkt 11.3.5 om pasientens selvbestemmelse.
Risikovurdering og tilgangsstyring
Departementet foreslår at den databehandlingsansvarlige skal ha ansvar for å beslutte hvordan opplysningene skal tilgjengeliggjøres for andre virksomheter. Enhver databehandlingsansvarlig må sørge for at sikkerheten i egen virksomhet ivaretas. Det betyr at en virksomhet som vil dele opplysninger med andre virksomheter må ha vurdert risikoen ved slik deling og ha iverksatt nødvendige tiltak for å begrense risikoen. Virksomheten må vurdere om kravene til konfidensialitet og tilgjengelighet er ivaretatt. Virksomheten må, som i dag, sikre at det bare gis tilgang til helseopplysninger som er nødvendige for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt.
Den databehandlingsansvarlige må vurdere om det i virksomheten som får tilgang, finnes systemer som i tilstrekkelig grad ivaretar taushetsplikten og lovens øvrige krav. Virksomheten som får tilgang må ha tilstrekkelig tilgangskontroll og andre sikkerhetstiltak slik at den totale sikkerheten ikke blir dårligere. Dette må vurderes på et virksomhets- og systemnivå, med utgangspunkt i virksomhetens organisering og arbeidsdeling.
I praksis vil ekstern tilgang kunne skje ved at de involverte virksomhetene avtaler og organiserer dette seg imellom. Dette inkluderer en ansvarsdeling mellom virksomhetene, med tydelige roller og ansvar for å sørge for tilfredsstillende sikkerhet og ivaretakelse av pasientens rettigheter.
Regelen i gjeldende helseregisterlov § 13 om at en forespørsel om tilgang til helseopplysninger i annen virksomhet bare kan omfatte én pasient om gangen, videreføres ikke. Dette innebærer at tilgang kan avtales på virksomhetsnivå og at det ikke må avtales fra gang til gang for hver pasient. Helsepersonell kan imidlertid bare søke etter opplysninger om én konkret pasient ad gangen på bakgrunn av en aktuell behandlingssituasjon.
En databehandlingsansvarlig kan bare gi tilgang til virksomheter som har etablert tilfredsstillende system for tilgangsstyring og kontroll. Hvis sikkerheten ikke er god nok, må helseopplysningene i stedet gjøres tilgjengelige ved at opplysningene utleveres, elektronisk eller ved utskrift på papir.
Noen høringsinstanser har gitt uttrykk for at denne vurderingen og dette ansvaret ikke kan legges på virksomhetene. De viser til at forslaget legger en omfattende og krevende oppgave på den databehandlingsansvarlige som skal vurdere ekstern tilgang. Departementet viser her til at det allerede ligger til databehandlingsansvaret å sørge for konfidensialitet og informasjonssikkerhet ved å styre tilgang, autentisering, loggføring osv. Den databehandlingsansvarlige har ingen plikt til å inngå avtale om tilgang til helseopplysningene i virksomheten. Departementet viser også til at det vil bli utarbeidet forskrifter om hvordan opplysningene kan gjøres tilgjengelige, se punkt 11.3.7.
Senter for klinisk dokumentasjon og evaluering (SKDE) mente i høringen at det bør fremgå klart at virksomhetene selv i første omgang har ansvaret for å fastslå akseptabelt nivå når det gjelder kravene for tilgjengelighet og konfidensialitet i helsetjenesten. Departementet er enig i at dette er det virksomhetens ansvar å vurdere før opplysninger gjøres tilgjengelige. Dette følger av databehandlingsansvaret. Denne vurderingen vil imidlertid kunne overprøves av tilsynsmyndighetene.
Datatilsynet, Helse Sør-Øst RHF, Akershus universitetssykehus HF (Ahus) og andre høringsinstanser mente at det bør fastsettes mer detaljerte krav til tilgangsstyring mv. Departementet mener at det ikke er hensiktsmessig å fastsette konkrete krav i loven. Dette er i samsvar med systematikken i loven for øvrig og med personopplysningsloven. Det er virksomhetene selv som er nærmest til å vurdere risikoen og velge de beste sikkerhetsløsningene. Det er viktig at loven over tid ikke blir til hinder for implementering av fleksible, sikre og gode virksomhetstilpassede løsninger. Departementet vil imidlertid fastsette forskrifter med nærmere regler om hvordan helseopplysninger kan gjøres tilgjengelige, se punkt 11.3.7.
Ansvaret til virksomheten som får tilgang
Den databehandlingsansvarlige for behandlingen av opplysningene i virksomheter som gis tilgang, får på sin side et selvstendig ansvar for å styre tilgangen i egen virksomhet. Denne virksomheten vil ha ansvaret for sin interne tilgangsstyring og for at de øvrige vilkårene for å få opplysningene er oppfylt. Blant annet har helsepersonell bare tillatelse til å søke etter nødvendige og relevante opplysninger om pasienter de har et behandlingsforhold til, se punkt 11.3.4.
Det å gi helsepersonell tillatelse til selv å søke frem relevante og nødvendige helseopplysninger om en pasient, krever at den databehandlingsansvarlige har systemer som kan understøtte dette. Virksomheten må sette inn tilstrekkelig med tiltak for tilgangsstyring. Videre stilles det krav til oppfølging og kontroll. Virksomheten må følge opp egne hendelser, kontrollere bruken av systemene og sørge for klar ansvarsfordeling for oppfølging av hendelser som involverer flere virksomheter. Helsepersonell må få opplæring i bruken av systemene. Virksomheten må ha tiltak som kan avdekke eventuell urettmessig tilegnelse av opplysninger.
11.3.7 Forskriftshjemmel
I høringsnotatet ble det foreslått at departementet skulle kunne gi forskrift med nærmere regler om hvordan helseopplysninger i behandlingsrettede helseregistre kan gjøres tilgjengelige.
Flere høringsinstanser, som Datatilsynet, Legeforeningen, Helse Sør-Øst RHF og Akershus universitetssykehus HF (Ahus), etterlyste en mer detaljert regulering av sikkerhetskravene.
Departementet er enig i at det kan være behov for å regulere sikkerhetskravene nærmere hvis virksomheter skal gi personell i andre virksomheter tilgang til konkrete opplysninger fra journalen. Det bør fastsettes nærmere regler for å sikre at det i slike situasjoner finnes systemer som i tilstrekkelig grad ivaretar taushetsplikten, konfidensialitet og lovens øvrige krav.
Departementet har derfor kommet til at det skal utarbeides forskrift om hvordan informasjon kan gjøres tilgjengelig og deles på en måte som sikrer personvernet og begrenser tilgangen til det som er nødvendig, se forslaget til pasientjournallov § 19 siste ledd. Forskriften skal gi regler som utfyller lovens vilkår for å kunne gjøre opplysningene tilgjengelige for personell i andre virksomheter. Departementet vil blant annet sette krav til de ansvarlige for virksomheten og til risikovurderingen når det gis tilgang til behandlingsrettede helseregistre for helsepersonell i andre virksomheter. Slik forskrift skal tre i kraft samtidig med ny pasientjournallov.
12 Samarbeid om behandlingsrettede helseregistre
Departementet foreslår at to eller flere virksomheter skal kunne samarbeide om etablering av, og behandling av opplysninger i, behandlingsrettede helseregistre. Samarbeidet skal baseres på avtale mellom virksomhetene. Se forslaget til pasientjournallov § 9. Forslaget i dette kapitlet må ses i sammenheng med kapittel 11 om informasjonsdeling. Samarbeid om behandlingsrettede helseregistre vil også være en måte å dele opplysningene på.
12.1 Gjeldende rett
12.1.1 Virksomhetsovergripende behandlingsrettede helseregistre
Helseregisterloven §§ 6 a, 6 b og 6 d gir hjemmel til å etablere virksomhetsovergripende, behandlingsrettede helseregistre etter nærmere bestemmelser som må fastsettes i forskrift av Kongen i Statsråd. Virksomhetsovergripende, behandlingsrettede helseregistre omfatter flere virksomheter (i motsetning til virksomhetsinterne registre). Slike registre kan etableres for å bidra til samhandling og god kvalitet på helsehjelpen som ytes til pasienten. Helseopplysningene knyttes til pasienten uavhengig av behandlingssted. Se nærmere i Ot.prp. nr. 51 (2008–2009).
Helseregisterloven § 6 a
Det kan bare etableres virksomhetsovergripende behandlingsrettede helseregistre dersom det er fastsatt i lov, jf. helseregisterloven § 6 a. Virksomhetsovergripende registre etter denne bestemmelsen kan bare inneholde nærmere bestemte helseopplysninger i et begrenset omfang som er nødvendige og relevante for samarbeid om forsvarlig helse- og omsorgstjenester til pasienten eller brukeren.
Bestemmelsen gir ikke hjemmel for virksomhetsovergripende journaler som erstatning for virksomhetsinterne journaler. Virksomhetsovergripende journaler kan, etter denne bestemmelsen, bare etableres i tillegg til virksomhetsinterne journaler. Sentrale behandlingsrettede registre kan heller ikke etableres etter denne bestemmelsen.
Registrene skal føres elektronisk.
Bestemmelsen gir hjemmel til å vedta forskrifter om virksomhetsovergripende registre. Siden slike forskrifter ikke er vedtatt, er det ikke adgang til å etablere registre etter denne bestemmelsen.
Helseregisterloven § 6 b — formalisert arbeidsfellesskap
Bestemmelsen gir hjemmel til å gi forskrift om etablering av virksomhetsovergripende behandlingsrettede helseregistre for bruk av helsepersonell med formalisert arbeidsfellesskap.
Forskriften skal sikre plassering av databehandlingsansvaret, samt angi regler om tilgang og tilgangskontroll. I dette ligger blant annet et krav om at det skal være klart hvem som er databehandlingsansvarlig for opplysningene. Den databehandlingsansvarlige skal sørge for at journal- og informasjonssystemene i det formaliserte arbeidsfellesskapet er forsvarlige. Slike registre skal føres elektronisk og erstatte det virksomhetsinterne behandlingsrettede registeret.
At det er etablert et samarbeid for å yte helsehjelp til pasienter er et moment i retning av at man har et arbeidsfellesskap etter loven. Arbeidsfellesskapet må utad fremstå som en enhet, for eksempel et legesenter, et tannlegesenter, et distriktsmedisinsk senter, en legevakt eller lignende. Arbeidsfellesskap er ikke begrenset til helsepersonell innenfor samme helsepersonellgruppe. For at arbeidsfellesskapet skal kunne sies å være formalisert kan det blant annet være relevant at det samarbeidende helsepersonellet har felles lokaler, at de alle kan ha behandlingsansvar for pasientene, at de har et etablert driftssamarbeid (for eksempel felles resepsjon og administrativt personell), at arbeidsfellesskapet har egne midler og at arbeidsfellesskapet har et driftsstyre eller lignende (Ot.prp. nr. 51 (2008–2009) punkt 9.4).
Regler om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap er fastsatt i forskrift av 9. november 2012 nr. 1045. Det følger av forskriften at avtale om bruk av virksomhetsovergripende pasientjournal kan inngås i formalisert arbeidsfellesskap dersom det vil fremme ytelse av effektive og forsvarlige helse- og omsorgstjenester til pasienter og brukere. Forskriften har blant annet bestemmelser om avtalens innhold, databehandlingsansvar og tilgangskontroll.
Helseregisterloven § 6 d — nasjonal kjernejournal
Nasjonal kjernejournal er et sentralt virksomhetsovergripende behandlingsrettet helseregister. Nasjonal kjernejournal er etablert i forskrifter hjemlet i helseregisterloven § 6 d. Kjernejournalen skal inneholde et begrenset sett relevante helseopplysninger som er nødvendige for å yte forsvarlig helsehjelp. Forskrift om nasjonal kjernejournal ble vedtatt og trådte i kraft i 2013 (31. mai 2013 nr. 563).
12.1.2 Databehandlingsansvaret
Etter personopplysningsloven er det den behandlingsansvarlige som har ansvaret for personvernet ved behandlingen av helseopplysninger. Enhver behandling av personopplysninger skal ha en behandlingsansvarlig. Helseregisterloven bruker uttrykket databehandlingsansvarlig for å unngå forveksling med behandling i forståelsen helsehjelp. Uttrykkene databehandlingsansvarlig og behandlingsansvarlig er synonyme.
Hvem som er databehandlingsansvarlig følger av EUs personverndirektiv, helseregisterloven og personopplysningsloven. Dette er også regulert i forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap § 4.
Hvilket ansvar har den databehandlingsansvarlige?
Ansvaret for personvern påligger den databehandlingsansvarlige. Personopplysningsloven og helseregisterloven pålegger plikter for den databehandlingsansvarlige og gir registrerte personer rettigheter overfor den databehandlingsansvarlige.
Sentrale plikter for den databehandlingsansvarlige er å
sørge for at all behandling av helseopplysninger har et behandlingsgrunnlag
sørge for tilfredsstillende informasjonssikkerhet og etablere internkontroll
gi registrerte innsyn
gi informasjon og veiledning til den registrerte
sørge for rutiner for sletting og retting av helseopplysninger
oppfylle meldeplikt og konsesjonsplikt
Brudd på disse pliktene er sanksjonert med overtredelsesgebyr, tvangsmulkt, erstatning eller straff.
EUs personverndirektiv
I EUs personverndirektiv er behandlingsansvarlig definert som
den fysiske eller juridiske person, offentlige myndighet, byrå eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal benyttes; når formålet med og hjelpemidlene ved behandlingen er fastlagt ved nasjonale lover og forskrifter eller på fellesskapsplan, kan den behandlingsansvarlige, eller de særlige kriterier for utpeking av vedkommende, fastsettes i nasjonal lovgivning eller i fellesskapsretten. (artikkel 2 bokstav d)
Artikkel 29-gruppen (som er et uavhengig EU-rådgivningsorgan for personvern og beskyttelse av privatlivets fred) har uttalt følgende om begrepet behandlingsansvarlig («controller«):
The concept of controller is a functional concept, intended to allocate responsibilities where the factual influence is, and thus based on a factual rather than a formal analysis. (uttalelse nr. 4/2007 fra 20. juni 2007)
Personopplysningsloven
Behandlingsansvarlig er i følge personopplysningsloven § 2 nr. 4
den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes.
Behandlingsansvaret er funksjonelt definert ved at ansvaret plasseres der den faktiske kontrollen med behandling av personopplysninger er og hos den som bestemmer formål og hjelpemidler. Det er de faktiske forholdene som avgjør hvem som er behandlingsansvarlig. I noen tilfeller kan det imidlertid følge av særlov hvem som skal være behandlingsansvarlig. Dersom behandlingsansvarlig er utpekt i særlov, må denne virksomheten faktisk ha kontroll. Hvis ikke vil det ikke foreligge et reelt behandlingsansvar etter personopplysningsloven.
Behandlingsansvarlig kan være en juridisk eller en fysisk person. I helse- og omsorgssektoren vil dette ofte være en juridisk person. Det daglige ansvaret utøves imidlertid som regel av en eller flere fysiske personer. Loven knytter ikke definisjonen av behandlingsansvar til en virksomhet, men i praksis vil det være en virksomhet med søksmålskompetanse som er behandlingsansvarlig.
Helseregisterloven
Helseregisterloven § 2 definerer databehandlingsansvarlig som
den som bestemmer formålet med behandlingen av helseopplysninger og hvilke hjelpemidler som skal brukes, hvis ikke databehandlingsansvaret er særskilt angitt i loven eller i forskrift i medhold av loven.
Dette skal forstås på samme måte som i personopplysningsloven § 2 nr. 4. Tillegget om at databehandlingsansvaret kan følge av loven finnes ikke i personopplysningsloven. Dette innebærer likevel ikke noen forskjell i tolkningen av begrepet databehandlingsansvarlig. Et eksempel på at databehandlingsansvaret er særskilt angitt, er forskriftene etter § 6 b om virksomhetsovergripende behandlingsrettede helseregistre for bruk av helsepersonell i formalisert arbeidsfellesskap (se nedenfor).
Det følger av helseregisterloven § 6 andre ledd at det er den virksomheten «som tar i bruk» et behandlingsrettet helseregister som er databehandlingsansvarlig for opplysningene.
Databehandlingsansvarlig etter helseregisterloven er den som bestemmer formål og hjelpemidler og som tar i bruk systemer hvor helseopplysninger behandles. Det er utøvende virksomhet som har ansvaret. For eksempel er bestemmelsen blitt tolket slik at databehandlingsansvaret for pasientjournalopplysningene skal ligge på det enkelte helseforetaket, og ikke hos de regionale helseforetakene. Det følger at helseforetaksloven § 2 at regionale helseforetak skal legge til rette for spesialisthelsetjenester, mens helseforetakene skal yte spesialisthelsetjenester. Videre er det bestemt i helseforetaksloven § 9 at utøvende virksomhet skal organiseres som helseforetak. Dette forstås slik at et regionalt helseforetak ikke kan være databehandlingsansvarlig for sine helseforetaks pasientjournaler. Databehandlingsansvaret ligger hos de enkelte helseforetakene.
Forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap
Forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap § 4 regulerer databehandlingsansvaret:
En eller alle virksomhetene i et formalisert arbeidsfellesskap kan være databehandlingsansvarlig for arbeidsfellesskapets pasientjournal. Dersom alle virksomhetene er databehandlingsansvarlige, skal det utpekes en representant som utad representerer alle behandlingsansvarlige.
Når en kommune og en eller flere offentlige eller private tjenesteytere som yter tjenester på vegne av kommunen tar i bruk virksomhetsovergripende pasientjournal for å oppfylle journalføringsplikten, er kommunen databehandlingsansvarlig.
Dersom bare en av virksomhetene er databehandlingsansvarlig er de andre virksomhetene i arbeidsfellesskapet underlagt den databehandlingsansvarliges instruksjonsmyndighet ved behandling av opplysningene i registeret.
Delt behandlingsansvar
Ved delt behandlingsansvar har alle databehandlingsansvarlige en selvstendig plikt til å oppfylle lovens krav.
Det følger av EUs personverndirektiv artikkel 2 bokstav d at databehandlingsansvaret kan være delt mellom flere, jf. formuleringen «sammen med andre». Både personopplysningsloven og helseregisterloven åpner for delt databehandlingsansvar. Selv om lovene ikke nevner dette, og forarbeidene kun omtaler delt behandlingsansvar mellom over- og underordnet organ, må lovene tolkes slik at de åpner for delt behandlingsansvar på linje med direktivet. Forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap åpner også for delt databehandlingsansvar, se ovenfor.
Ellers har verken direktivet, personopplysningsloven eller helseregisterloven særlige regler om delt databehandlingsansvar. Utgangspunktet er derfor at det er de grunnleggende kravene etter loven som gjelder. Det betyr blant annet at hver behandlingsansvarlig må ha eget behandlingsgrunnlag etter personopplysningsloven §§ 8 og 9, og at grunnkravene til behandling av personopplysninger i § 11 oppfylles. Det stilles ingen krav til formalisering av forholdet mellom de databehandlingsansvarlige.
12.2 Høring
12.2.1 Høringsforslaget
I høringsnotatet ble det foreslått en generell adgang for to eller flere virksomheter til å samarbeide om behandlingsrettede helseregistre. Det ble foreslått at det skal inngås skriftlig avtale om slikt samarbeid.
12.2.2 Høringsuttalelsene
Støtte for forslaget
Høringsinstansene var stort sett positive til forslaget.
Helse Nord RHF støttet forslaget og uttalte:
Regelverket legger med dette til rette for samarbeide om lagring av opplysninger slik at både pasientene og helsetjenesten kan spares for unødige ekstra undersøkelser. På sikt vil samarbeid f eks om felles fagsystemer kunne bidra både til bedre helsetjenester og økonomiske innsparinger.
Helse Vest RHF støttet forslaget og la til grunn at «bestemmelsen muliggjør realiseringen av viktige strategiske målsettinger som for eksempel felles pasientjournal for alle helseforetakene i helseregion vest».
Oslo universitetssykehus HF (OUS) og Akershus universitetssykehus HF (Ahus) uttalte at mulighetene som ligger i utkastet til ny pasientjournallov for enklere å dele journalopplysninger i behandlingsøyemed, er ønsket.
Legeforeningen mente at «det er viktig at lovgivningen er utformet slik at det legges til rette for at helsepersonell kan gis tilgang til relevante og nødvendige opplysninger om pasienten i behandlingssituasjonen».
KS pekte på at samhandlingsreformen og en utvikling mot mer samarbeid mellom de ulike nivåene i alle deler av helsetjenestene, skaper behov for økt tilgang til pasientopplysninger. KS mente at høringsforslaget er en forbedring av lovverket og en tilnærming til dagens faktiske organisering og tilrettelegging av helse- og omsorgstjenestene.
Innspill til gjennomføringen
Enkelte høringsinstanser hadde innspill til gjennomføringen og reguleringen av slikt samarbeid. Enkelte høringsinstanser, som Legeforeningen, Sykepleierforbundet, Helse Nord RHF og Innhered samkommune, mente at departementet bør fastsette vilkår for hvordan dette skal håndteres. Helse Vest RHF så det som en absolutt fordel at det så snart som mulig blir klarhet rundt hvilke vilkår som eventuelt vil settes. Dette for også sikre en enhetlig forvaltning av bestemmelsen.
Datatilsynet mente at loven bør gi klarere føringer for hva som skal reguleres i avtale, slik at intensjonene og forutsetningene i høringsnotatet kommer klart til uttrykk i lovteksten. Tilsynet mente også at loven bør gi føringer om hvor grensen går mellom samarbeid som kan avtalereguleres med direkte hjemmel i loven og samarbeid som blir så omfattende at det bør reguleres i forskrift. Tilsynet mente at alle samarbeidsformer bør forskriftsreguleres.
Oslo universitetssykehus HF (OUS) og Akershus universitetssykehus HF (Ahus) mente avtalen bør beskrive tilgangsstyringen.
Landsforeningen for hjerte- og lungesyke (LHL) var usikker på om etablering av virksomhetsovergripende behandlingsrettede helseregistre alltid bør skje gjennom forskrift eller om det er tilstrekkelig med hjemmel i pasientjournalloven. LHL mente at om det etableres slike registre uten bruk av forskrift, er det viktig at det i hvert enkelt tilfelle vurderes nøye om det skal settes vilkår gjennom bruk av forskrift eller enkeltvedtak.
Databehandlingsansvaret
Folkehelseinstituttet mente at delt databehandlingsansvar er en fornuftig måte å organisere samarbeidet på.
Nasjonalt senter for samhandling og telemedisin mente at det bør vurderes å løfte databehandlingsansvaret til et høyere nivå og at det nærmere innholdet i databehandlingsansvaret bør bestemmes i forskrift.
Akershus universitetssykehus HF (Ahus) og Norges optikerforbund mente at forslaget innebærer en risiko for pulverisering av ansvarsforhold. Norges optikerforbund var
urolige for hvordan dette skal kunne følges opp i praksis. Risiko ved store og mangfoldige nettverk, er at opplysninger kommer på avveie og at det vil bli utfordrende å følge opp ansvarsforholdet i forhold til dette.
Akershus universitetssykehus HF (Ahus) uttalte at
[d]et er av vesentlig betydning å beholde og understøtte databehandlingsansvaret når det legges opp til økt tilgang på tvers med eventuelt felles registerløsning med andre HF der hvor pasientflyten gjør dette hensiktsmessig. [..] Vi vil samtidig advare mot at databehandlingsansvaret ved utstrakt bruk av samarbeidsavtaler kan bli uoversiktlig og pulverisert.
12.3 Departementets vurderinger
Departementet foreslår at to eller flere virksomheter skal kunne samarbeide om etablering av og behandling av opplysninger i behandlingsrettede helseregistre. Samarbeidet skal baseres på avtale mellom virksomhetene.
Departementet foreslår en forskriftshjemmel med mulighet til å gi nærmere regler om samarbeidet, blant annet om databehandlingsansvaret.
Departementets forslag er i samsvar med høringsnotatet. Forslaget fikk bred støtte i høringen.
12.3.1 Behov for samarbeid mellom virksomheter
Helsefaglige behov og forutsetningen om at opplysningene skal følge pasienten, krever at det åpnes for nye kommunikasjons- og samarbeidsformer i helse- og omsorgssektoren. Dette betyr blant annet at virksomhetsgrenser i seg selv ikke kan være avgjørende.
Gjeldende helseregisterlov § 13, sett i sammenheng med pasientjournalforskriften § 4, har blitt tolket slik at flere virksomheter ikke kan dokumentere helseopplysninger i samme behandlingsrettede helseregister. Dette begrenser samhandling og etablering av behandlingsrettet helseregister som omfatter flere virksomheter. For å legge til rette for bedre samhandling, er det åpnet for at det i forskrift kan gis bestemmelser om etablering av elektroniske regionale eller lokale virksomhetsovergripende behandlingsrettede helseregistre, jf. § 6 a og felles journalføring i formaliserte arbeidsfellesskap, jf. § 6 b. Nasjonal kjernejournal hjemlet i § 6 d er også et virksomhetsovergripende behandlingsrettet helseregister. Dette registeret er imidlertid etablert av sentrale myndigheter og erstatter ikke virksomhetens journal. Se punkt 12.1.1. Ut over det som fremgår av disse særreglene kan det ikke etableres virksomhetsovergripende behandlingsrettede helseregistre.
Det kan tenkes ulike samhandlingsløsninger for ulike virksomheter, deler av virksomheter og på ulike nivåer. Dette har blitt stadig mer aktuelt etter samhandlingsreformen, fordi samhandling ved bruk av elektroniske verktøy er helt nødvendig for sammenheng og kvalitet i helsehjelp når helsehjelpen ytes av flere virksomheter.
Virksomheter bør etter departementets vurdering kunne samarbeide om hele eller deler av pasientjournalsystemet. Dette vil innebære at nødvendige og relevante opplysninger om pasienten og helsehjelpen kan nedtegnes samme sted, og ses i sammenheng.
Karakteristisk for mange fagsystemer er at de ofte omfatter flere virksomheter, som samarbeider om systemet. Eksempler er regionale laboratoriedatasystem og radiologiske informasjonssystem og bildearkiv. Slike virksomhetsovergripende systemer vil støtte opp om den faglige utviklingen, i det en radiolog med arbeidssted på et universitetssykehus og spisskompetanse innen et felt enkelt kan granske bilder som er tatt ved et lokalsykehus uten den samme spisskompetanse i bildegranskning.
Et eksempel på samarbeid i form av felles systemer er at to eller flere virksomheter etablerer felles systemer for lagring og uthenting av røntgenbilder, laboratoriesvar mv. På denne måten kan en, når det gjelder røntgenbilder, følge pasientens bilder over tid og se hvordan pasientens tilstand utvikler seg. Det kan igjen innebære at pasienten slipper å gjennomgå nye røntgenundersøkelser eller at det kan gjennomføres færre undersøkelser av pasienten. Statens strålevern har også påpekt at det i dag er en utfordring med «[u]hensiktsmessige radiologiske undersøkelser […] både ut i fra et strålevernperspektiv og et helseøkonomisk perspektiv. Det er til pasientens eget beste at denne ikke utsettes for flere undersøkelser og mer stråling enn nødvendig». Informasjonen lagres i den virksomhetsovergripende journalen. Dette vil også være kostnadseffektivt.
Eksempel på system som kan etableres i samarbeid mellom spesialisthelsetjenesten og kommunens helse- og omsorgstjeneste er sårjournal, individuell plan eller andre løsninger rettet mot spesifikke behandlingsløp der det er behov for samarbeid på mellom forvaltningsnivåer.
Når to eller flere virksomheter samarbeider om et behandlingsrettet helseregister, skal helsepersonell som er involvert i pasientbehandlingen benytte dette systemet for å gjennomføre dokumentasjonsplikten. Dette vil gjelde uavhengig av hvilken av de samarbeidende virksomhetene personellet er ansatt i. Formålet med endringen er å gjøre det enklere å samarbeide mellom ulike virksomheter om pasientbehandling.
Dette forslaget må ses i sammenheng med forslaget i punkt 11.3 om informasjonsdeling. Disse endringene vil være viktige grep for å sikre at relevante og nødvendige helseopplysninger blir tilgjengelige for helsepersonell som skal gi helsehjelp.
Forslagene legger til rette for innovasjon og fleksibilitet, og gir de virksomhetene som har kommet lengst i IKT-modenhet, mulighet til å ta i bruk nye og fremtidsrettede løsninger – uten at dette pålegges fra sentralt hold.
12.3.2 Utvidet adgang til samarbeid
Departementet mener at det er behov for en videre adgang til å samarbeide om behandlingsrettede helseregistre enn det gjeldende regler tillater. Det bør være adgang til å samarbeide også i de tilfeller der virksomhetene ikke fremstår som en enhet. For eksempel bør loven gjøre det mulig for ulike sykehus å samarbeide om felles fagsystemer.
Samarbeid om etablering av et behandlingsrettet helseregister skal være frivillig, og krever skriftlig samarbeidsavtale mellom virksomhetene. Departementet foreslår imidlertid en forskriftshjemmel som gir mulighet til å fastsette vilkår for samarbeidet.
Det kan være tale om et samarbeid i lovens forstand også der en kommune har satt bruken av systemet som et vilkår for avtaler med private aktører om tjenesteyting. Dette gjelder selv om kommune og ekstern tjenesteutøver ved tjenesteutsetting ikke er likeverdige parter. Kommunen vil uansett ha rett til å stille vilkår om bruk av kommunens pasientjournalsystem når det inngås avtaler om tjenesteyting. Det samme vil gjelde der et helseforetak inngår avtale med privat tjenesteyter.
Departementet foreslår også en forskriftshjemmel som åpner for etablering av sentralt pålagte nasjonale behandlingsrettede helseregistre på begrensede områder, se kapittel 13.
12.3.3 Erstatte virksomhetens interne journal
Det ligger i forslaget at den felles journalen virksomhetene samarbeider om, skal brukes til helsepersonells registrering av pasientopplysninger for å oppfylle dokumentasjonsplikten. Rettigheter og plikter knyttet til journalføring foreslås ikke endret.
En eventuell avtalt felles journal skal erstatte virksomhetens interne journal. Samme opplysninger skal ikke registreres i begge systemer.
12.3.4 Ansvarsplassering
Hva virksomhetene velger å samarbeide om er ikke avgjørende for ansvars- og rollefordelingen mellom virksomhetene. Alle de mulige samarbeidsformene reiser spørsmål om hvem som skal være ansvarlig for at en konkret behandling av helseopplysningene er i samsvar med lov- og forskriftskrav, dvs. hvem som skal være databehandlingsansvarlig for behandlingen.
Generelle regler om reelt ansvar
Departementet har vurdert om databehandlingsansvaret i samarbeidssituasjoner bør reguleres av de generelle reglene i personopplysningsloven, eller om det er behov for særregler om dette. Dersom databehandlingsansvaret ikke særreguleres, vil det være de alminnelige reglene i personopplysningsloven og helseregisterloven om databehandlingsansvarlig som gjelder. Det følger av disse reglene at den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes er databehandlingsansvarlig. Dette vil være den som har den faktiske kontrollen med databehandlingen. Se punkt 12.1.2 om databehandlingsansvaret etter gjeldende regler.
Dette vil i prinsippet ikke innebære noen endring i det databehandlingsansvaret som virksomheter i helse- og omsorgstjenesten har i dag. Databehandlingsansvaret i helse- og omsorgstjenesten vil fortsatt være knyttet opp mot den enkelte virksomhets behandling av helseopplysningene. For eksempel innebærer dette at helseforetak som etablerer elektronisk pasientjournal, og dermed også bestemmer formål og hjelpemidler, er databehandlingsansvarlig for denne.
Departementet har lagt vekt på behovet for en fleksibel lov som ikke hindrer hensiktsmessige samarbeidsformer som kan komme pasientene til gode. Det bør være mulig å velge ulike organiserings- og samarbeidsformer for behandling av helseopplysninger, uten samtidig å ta stilling til hvordan organiseringen i sektoren må være
Det vil være vanskelig med treffsikkerhet å peke ut i lov hvem som skal være databehandlingsansvarlig. Det kan tenkes en rekke ulike samarbeidsformer der de faktiske forholdene er ulike. Det er også vanskelig å forutsi hvilke samarbeidsformer som kan bli aktuelle i fremtiden. Det vil derfor ikke være hensiktsmessig å plassere ansvaret i en generell regel i loven.
Departementet foreslår at databehandlingsansvaret ved samarbeid om behandlingsrettede helseregistre, reguleres etter de generelle reglene om plassering av databehandlingsansvar. Den databehandlingsansvarlige vil etter personopplysningsloven og forslaget til ny pasientjournallov være den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes. Dette vil være den som har den faktiske kontrollen med databehandlingen. Det vil alltid være minst én databehandlingsansvarlig.
For å klargjøre oppgavefordelingen ved delt databehandlingsansvar foreslår departementet at det skal inngås samarbeidsavtaler mellom virksomhetene, se punkt 12.3.5. Departementet foreslår at det lovfestes en hjemmel til å vedta forskrifter om slikt samarbeid, se punkt 12.3.6. Forskriften kan ha bestemmelser om utpeking av databehandlingsansvaret ved bestemte typer databehandlinger eller samarbeid.
Delt databehandlingsansvar
Personopplysningsloven åpner for ulike måter å organisere databehandlingsansvaret på, og det forutsettes ikke at informasjonen alltid behandles innenfor samme virksomhet. Delt databehandlingsansvar er tillatt etter personopplysningsloven og helseregisterloven, se punkt 12.1.2 om delt databehandlingsansvar.
Fullt ut delt databehandlingsansvar er en situasjon hvor to eller flere virksomheter sammen bestemmer formål og virkemidler for all behandling av personopplysninger som de foretar. Dette kan ses som et solidarisk databehandlingsansvar. Alle har det samme ansvaret for hele behandlingen. Bruker virksomhetene et felles system for journalføring av opplysninger om samme pasient i for eksempel et behandlingsforløp som går på tvers av virksomhetene, vil de ha fullt ut delt databehandlingsansvar.
Delvis delt databehandlingsansvar kan foreligge når flere aktører sammen bestemmer formål og virkemidler for den samme behandlingen, men hvor disse også hver for seg har selvstendig databehandlingsansvar for egne behandlinger. Dette kan gjelde hvor flere samarbeider om en fellestjeneste, som for eksempel autentisering av pasienter/innbyggere som brukere samtlige tjenester, mens den videre tjenesteytingen skjer i regi av hver enkelt virksomhet. Samarbeidet, altså det delte databehandlingsansvaret, er da avgrenset til en eller flere bestemte behandlinger.
En helseinstitusjon, for eksempel en kommune, vil anses som databehandlingsansvarlig alene dersom kommunen kjøper tjenester av private aktører for å fylle sine lovpålagte tjenester, og samtidig stiller kommunens fagsystemer til rådighet for private aktører. Mange kommuner setter ut helse- og omsorgstjenester, for eksempel til private virksomheter, og krever at virksomheter som utfører slike tjenester på kommunens vegne skal benytte kommunens fagsystem som sitt behandlingsrettede helseregister. Dette gjøres gjerne for å sikre samhandling mellom ulike tjenester i kommunen eller for å sikre sikkerhetsnivået. I slike tilfeller vil kommunen bli databehandlingsansvarlig, fordi det er kommunen som bestemmer formålet og bruken av opplysningene i systemet. Databehandlingsansvaret vil ikke være delt.
Der hvor to databehandlingsansvarlige samarbeider ved at de utveksler personopplysninger seg i mellom, men hver for seg bestemmer formålet og virkemidlene for behandlingen, foreligger ikke delt databehandlingsansvar.
Ansvar ved samarbeid
Ulike samarbeidsformer reiser spørsmål om hvordan pliktene som pålegges de databehandlingsansvarlige skal ivaretas. Se punkt 12.1.2 om hva den databehandlingsansvarlige har ansvar for.
Det er den databehandlingsansvarlige som har plikt til å sørge for informasjon om behandling av pasientopplysningene og hvem som er databehandlingsansvarlig, jf. personopplysningsloven §§ 19 og 20. Dette er informasjon som bør presenteres for pasienten, slik at denne blir satt i stand til å ivareta sine rettigheter etter personopplysningsloven og pasient- og brukerrettighetsloven. Dersom det flere som deler databehandlingsansvaret må det informeres om dette og hvem de er.
Akershus universitetssykehus (Ahus) og Norges optikerforbund mente at forslaget innebærer en risiko for pulverisering av ansvarsforhold. Departementet vil bemerke at ansvaret ikke kan pulveriseres. Der flere virksomheter er involvert i behandlingen av opplysningene, er hovedregelen at pasienten kan henvende seg til hvilken som helst av virksomhetene som er databehandlingsansvarlig. Hvordan virksomhetene innretter seg skal ikke ha betydning for pasienten, så lenge denne alltid vet hvor vedkommende kan henvende seg. Virksomhetene kan seg i mellom innrette seg slik at henvendelser fordeles eller sluses på en gitt måte, for eksempel ved at en mottar henvendelser og sender dem videre eller innhenter informasjon fra de øvrige databehandlingsansvarlige.
Ved samarbeid mellom flere databehandlingsansvarlige skal det finnes rutiner som sikrer at henvendelser håndteres på en hensiktsmessig måte. En mulighet er at en av de databehandlingsansvarlige fungerer som kontaktpunkt for pasientens henvendelser. Dette kan særlig være hensiktsmessig der hvor det er snakk om mange databehandlingsansvarlige.
En slik praktisk innretning fritar imidlertid ikke de øvrige virksomhetene fra deres databehandlingsansvar. Det betyr at selv om én virksomhet er kontaktpunkt, vil de øvrige virksomhetene ha plikt til å oppfylle innsynsretten eller å utføre retting og sletting etter henvendelser. Bruk av et kontaktpunkt skal dermed bare være en praktisk løsning for å gjøre det enklere og mer oversiktlig for pasienten.
Den databehandlingsansvarlige vil ha ansvar for informasjonssikkerheten i systemene, jf. personopplysningsloven § 13 og forslaget til pasientjournallov § 22. Ved et samarbeid er alle databehandlingsansvarlige ansvarlige for dette. Men det er mulig å avtale det slik at en av virksomhetene håndterer informasjonssikkerheten i en fellesløsning. Samtidig vil den enkelte virksomhets egen bruk falle under denne virksomhetens ansvar for egen informasjonssikkerhet. Det kan være slikt som praktiske rutiner på et legekontor om hvem som får tilgang og på hvilken måte.
Hvis sikkerheten primært håndteres av en av virksomhetene, er det viktig at dette er godt dokumentert og informert om til de øvrige, slik at de har mulighet til å vurdere om dette er tilfredsstillende for dem. Særlige krav til sikkerhet kan fastsettes av alle i fellesskap, men utføres av en.
12.3.5 Samarbeidsavtaler
Departementet foreslår at det lovfestes i pasientjournalloven at det ved samarbeid om behandlingsrettet helseregister skal inngås samarbeidsavtaler mellom virksomhetene. En slik avtale skal blant annet regulere databehandlingsansvaret og eventuell fordeling av oppgaver, hvordan helseopplysinger skal behandles og sikres og hvordan pasientens rettigheter skal ivaretas. Det følger naturlig av dette at avtalen beskriver tilgangsstyringen, slik Oslo universitetssykehus HF (OUS) og Akershus universitetssykehus HF (Ahus) har foreslått.
I mange tilfeller vil det være behov for klar oppgavefordeling mellom virksomheter som samarbeider om et behandlingsrettet helseregister. Delt databehandlingsansvar betyr ikke at ansvaret etter personopplysningsloven pulveriseres eller avtales bort, men at oppgavene som ligger i databehandlingsansvaret kan deles mellom virksomhetene. Der hvor flere aktører har databehandlingsansvar skal pasienten kunne henvende seg til hvilken som helst av disse. Utad vil de alle være databehandlingsansvarlige, men de kan seg i mellom ha avtalt rutiner for håndtering av informasjon og henvendelser. I dette ligger at det er viktig at det utad er klart hvordan behandlingsansvaret er fordelt.
Personopplysningsloven gir ikke anledning til å avtale seg bort fra det erstatnings- og strafferettslige ansvaret, men det kan være grunn til å fordele og koordinere oppgavene for å sikre etterlevelse av loven. Virksomhetene kan heller ikke fraskrive seg eller avtale seg bort fra ansvar overfor pasientene. Oppgavene kan imidlertid deles mellom aktørene, for eksempel at henvendelser fra den registrerte skal håndteres av én av de behandlingsansvarlige eller at én tar hånd om sikkerhetsrutinene. De databehandlingsansvarlige står relativt fritt til å fordele oppgaver, så lenge alle lovens krav oppfylles.
For pasienten skal det ikke ha betydning hvordan virksomhetene har innrettet seg og hvordan de i avtalen har fordelt oppgavene seg i mellom. Pasienten skal kunne fremme krav overfor hvilken som helst av de databehandlingsansvarlige. Dette gjelder selv om en eller flere virksomheter utad fremstår som ansvarlig(e) se punkt 12.1.4 om ansvarsplassering.
I situasjoner hvor det er flere databehandlingsansvarlige er det viktig at aktørene er klar over hvilke oppgaver de har. Samarbeidsavtaler kan være nyttige mellom partene for å fordele oppgaver seg imellom. En slik avtale kan si noe om hvordan oppgavene som følger av å være databehandlingsansvarlig skal fordeles, koordineres og gjennomføres i praksis. Artikkel 29-gruppen anbefaler samarbeidende databehandlingsansvarlige å ha klare avtaler.
Avtalen kan ikke frita fra pliktene som påligger databehandlingsansvarlig etter personopplysningsloven eller pasientjournalloven. Partene vil derfor hefte solidarisk for eventuelle krav, det vil si at det kan fremmes krav overfor hvilken som helst av de databehandlingsansvarlige virksomhetene.
Dersom den databehandlingsansvarlige etter avtalen (eller eventuelle forskrifter eller vedtak, se punkt12.3.6), er en annen enn den som reelt sett er ansvarlig etter oppgavefordelingen, vil likevel databehandlingsansvaret følge de generelle reglene i pasientjournalloven og personopplysningsloven. Ut fra definisjonen på databehandlingsansvarlig i forslaget til pasientjournalloven § 2, vil både den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes, og den som i eller i medhold av lov er pålagt et databehandlingsansvar, være databehandlingsansvarlige.
Bestemmelser om databehandlingsansvar i avtale, forskrift eller vedtak vil imidlertid kunne ha betydning som kommunikasjon eller tydeliggjøring overfor pasienten, og ved at den gjør aktørene bevisste på roller og oppgaver.
Det vil i prinsippet ikke være noen grense for hvor omfattende samarbeid som kan avtales med hjemmel i denne bestemmelsen. Ved omfattende samarbeid som gjelder mange virksomheter, mange pasienter eller store områder som for eksempel hele journalen, vil departementet vurdere om det er behov for å vedta forskrifter om samarbeidet (se punkt 12.3.6) eller å gjøre løsningen nasjonal med hjemmel i § 10 (se punkt 13.3.2).
12.3.6 Fastsettelse av nærmere vilkår for samarbeidet
Det kan ikke utelukkes at det kan oppstå behov for regler om virksomhetenes samarbeid om behandlingsrettede helseregistre. Særlig vil det kunne bli behov for å regulere hvem som skal være databehandlingsansvarlig for bestemte typer behandlinger eller samarbeid. Forskriftsregulering vil imidlertid kunne gi mindre fleksibilitet for lokalt tilpassede løsninger enn bestemmelsen er ment å åpne for.
Datatilsynet, Sykepleierforbundet, Nasjonalt senter for samhandling og telemedisin, Helse Nord RHF, Helse Vest RHF og Innhered samkommune mente at departementet bør fastsette nærmere vilkår for hvordan samarbeidet skal håndteres. Datatilsynet og Landsforeningen for hjerte- og lungesyke (LHL) har i høringen tatt til orde for at alle samarbeidsformer bør forskriftsreguleres.
Departementet ser at det på sikt kan bli behov for å gi regler om samarbeid, men mener det er for tidlig å fastsette regler om dette siden vi per i dag ikke vet hvilke samarbeidsformer som kan bli aktuelle. Departementet foreslår at det tas inn en hjemmel i loven slik at departementet kan fastsette vilkår for samarbeid, enten i forskrift eller i enkeltvedtak. For eksempel kan databehandlingsansvarlig utpekes for bestemte typer databehandlinger eller samarbeid.
Departementet mener at det ikke bør være et vilkår for samarbeid at det er vedtatt forskrifter som regulerer samarbeidet. Loven bør åpne for at nye løsninger og samarbeidsformer utvikles av sektoren selv, uten at dette først reguleres fra sentralt hold. Det vil være stor variasjon av ulike typer samarbeid, som kan omfatte både samarbeid mellom alle sykehus i en region og samarbeid mellom to fastleger. De generelle kravene til databehandlingsansvar, sikkerhet og personvern vil uansett være regulert i pasientjournalloven og personopplysningsloven.
Den nye bestemmelsen i § 9 om samarbeid om virksomhetsovergripende behandlingsrettede helseregistre, skal erstatte gjeldende regler om samarbeid i helseregisterloven §§6 a og 6 b. Forskriften om formalisert arbeidsfelleskap vil også bli opphevet. Forskriften setter snevrere rammer for samarbeid om virksomhetsovergripende behandlingsrettede helseregistre, enn det pasientjournalloven gjør. Forskriften vil derfor bli opphevet når den nye loven trer i kraft.
13 Nasjonale behandlingsrettede helseregistre
Departementet foreslår en hjemmel for forskrifter om nasjonale behandlingsrettede helseregistre. Hjemmelen er begrenset til behandlingsrettede registre som på bestemte områder kommer i stedet for virksomhetenes egne journalsystemer, enten disse er virksomhetsinterne eller journalsystemer som flere samarbeider om. Adgang til å etablere denne type registre er nødvendig for å sikre fremdrift i utviklingen av mer sentraliserte og enhetlige løsninger der opplysningene følger pasienten. Se forslag til pasientjournallov § 10.
13.1 Gjeldende rett
Helsepersonell som yter helsehjelp plikter å nedtegne eller registrere relevante og nødvendige opplysninger om pasienten og helsehjelpen etter helsepersonelloven § 39. Pasientjournalforskriften § 4 pålegger virksomheter hvor det ytes helsehjelp å opprette journalsystem. Spesialisthelsetjenesteloven § 3-2 pålegger helseinstitusjoner som omfattes av loven å sørge for at journal- og informasjonssystemene ved institusjonen er forsvarlige. Det samme gjelder kommuner og virksomheter som har avtale med kommunen om å yte helse- og omsorgstjenester, jf. helse- og omsorgstjenesteloven § 5-10. Behandlingsgrunnlaget for disse journalsystemene følger av helseregisterloven § 6 om behandlingsrettede helseregistre.
Helseregisterloven § 13 er, sammen med pasientjournalforskriften § 4, blitt tolket slik at hver virksomhet må etablere hvert sitt journalsystem, hvis ikke annet følger av lov. Helseregisterloven § 6 b, som gir adgang til å etablere virksomhetsovergripende behandlingsrettet helseregister i formalisert arbeidsfellesskap, er et eksempel på at annet følger av lov.
Det vises til omtalen av gjeldende regler i punkt 11.1 om informasjonsdeling og punkt 12.1 om samarbeid om informasjonssystemer.
13.2 Høring
I høringsnotatet ble det foreslått å gi Kongen i statsråd hjemmel til å gi forskrift om nasjonale behandlingsrettede helseregistre. Bestemmelsen skulle gi hjemmel for etablering av registre som et ledd i oppfølgingen av Meld. St. 9 (2012–2013) Én innbygger – én journal.
Folkehelseinstituttet, Helsedirektoratet,Statens legemiddelverk og Legemiddelindustriforeningen støttet forslaget. Helsedirektoratet og Folkehelseinstituttet var enige i at den foreslåtte lovbestemmelsen vil gi nødvendig rettsgrunnlag for å gjennomføre målet om én innbygger – én journal.
KS mente at den foreslåtte bestemmelsen ville gi for store fullmakter til Kongen i Statsråd:
Bestemmelsen synes å åpne veien for «Én innbygger – én journal», som vil være en svært inngripende ordning for den enkeltes personvern. KS mener at den faktiske løsningen som velges vil være så avgjørende for vektingen mellom ulike hensyn, herunder personvernhensyn, at det må foreligge hjemmel i lov før et slikt register etableres. Den konkrete ordningen bør forelegges Stortinget ved et så inngripende register som bestemmelsen åpner for.
Sykepleierforbundet mente at forslaget ga uklare føringer for hvilke typer helseregistre man skal ha i Norge. Det ble vist til at konsekvensene av et nasjonalt behandlingsrettet helseregister ikke er ferdig utredet. Dette dreier seg om konsekvensene for personvern, pasientsikkerhet og kvalitet i helsetjenesten. En lovfesting av dette helseregisteret bør avventes til resultatene av Helsedirektoratets utredning foreligger.
13.3 Departementets vurderinger
Departementet mener at en forskriftshjemmel for å etablere nasjonale pasientjournalsystemer er nødvendig for å sikre fremdrift i utviklingen av mer sentraliserte og enhetlige løsninger der opplysningene følger pasienten.
I Meld. St. 9 (2012–2013) om digitale tjenester i helse- og omsorgssektoren, beskrives hovedinnholdet i konseptet én innbygger – én journal. Stortinget ga sin tilslutning til meldingen. I meldingen uttales blant annet:
Med én journal vil helsepersonell kunne få tilgang til alle opplysninger som er relevante, uavhengig av hvor pasienten eller brukeren har vært utredet eller behandlet tidligere.
Helsedirektoratet utreder alternative løsninger for realisering av målet om at helsepersonell skal ha enkel og sikker tilgang til pasient- og brukeropplysninger. Nasjonal handlingsplan for e-helse (2014–2016) operasjonaliserer målene i stortingsmeldingen.
Mye taler for at innføring av nye løsninger bør skje trinnvis for å høste erfaringer og realisere gevinster underveis. Til dette er en lovhjemmel nødvendig, blant annet fordi eventuelle nasjonale løsninger, innenfor sitt område, skal tre i stedet for virksomhetens egen løsning og vil pålegge virksomhetene plikt til å bruke løsningen.
13.3.1 Eksempler
Departementet gir her noen eksempler på nasjonale behandlingsrettede helseregistre som eventuelt vil kunne etableres med hjemmel i den nye bestemmelsen.
Legemiddelopplysninger
Legemiddelverket uttalte i sitt høringssvar at den foreslåtte forskriftshjemmelen bør benyttes til å opprette en nasjonal legemiddeljournal og at dette arbeidet bør være første steg mot målsetningen om én innbygger – én journal. Legemiddelopplysninger registreres i dag i ulike systemer og sendes mellom virksomhetene enten elektronisk eller manuelt. I et pasientforløp er det viktig at oppdatert informasjon om legemiddelbruk følger pasienten. Det er derfor behov for bedre og helhetlig IKT-verktøy for å understøtte dette. Manuell kopiering av data kan medføre stor risiko for feil og unøyaktigheter, og er i tillegg ressurskrevende.
Nasjonalt helsekort for gravide
Helsekortet for gravide (svangerskapsjournalen) er et kommunikasjonsverktøy mellom samarbeidende lege og jordmor, og mellom kommunehelsetjenesten og spesialisthelsetjenesten. Helsekortet inneholder dokumentasjon av hva som faktisk gjøres og er et hjelpemiddel for å avdekke eventuell risiko for kvinnen og fosteret. I dag er dette et papirark som den gravide skal ha med seg. I tillegg til at opplysningene skal føres på helsekortet, må den enkelte behandler dokumentere i egen journal. Dette medfører at helsepersonellet må registrere de samme opplysninger flere ganger med fare for feilregistrering. Mobiliteten blant gravide er stor, både i forbindelse med arbeid, ferie og flytting. Dette tilsier behov for en nasjonal løsning. Ved å etablere et nasjonalt system for elektroniske «helsekort», vil behandlende helsepersonell ha tilgang til nødvendig, og ofte kritisk, informasjon.
Nasjonalt laboratorie- og radiologisystem
Helse Sør-Øst RHF arbeider med en fellesløsning mellom helseforetak og kommuner for håndtering av henvisninger og rekvisisjoner (laboratorie- og radiologiområdene). En slik type regional løsning kan vurderes skalert opp til et nasjonalt system for å ivareta samhandlingsbehov som strekker seg ut av regionene, eksempelvis for å legge til rette for fritt sykehusvalg.
13.3.2 Departementets forslag
Departementet foreslår en bestemmelse som vil gi Kongen i statsråd hjemmel til å vedta forskrifter som pålegger virksomhetene å ta i bruk nærmere bestemte nasjonale løsninger. Hjemmelen må være tilstrekkelig åpen fordi vi i dag ikke har konkret kunnskap om hvilke nasjonale løsninger det kan bli tale om.
Teknisk kan det velges ulike løsninger. Ett alternativ er sentral lagring. Dette innebærer at den enkelte behandler dokumenterer i et felles nasjonalt system. Det nasjonale systemet blir den autoritative kilden, hvor involverte behandlere til enhver tid finner oppdatert informasjon på ett sted. Denne type løsning er særlig aktuell for eksempel for legemiddelinformasjon og helsekort for gravide.
Et annet alternativ er lokal lagring hvor opplysningene gjøres tilgjengelige gjennom en sentral løsning. Dette innebærer at den enkelte behandler registrerer opplysninger i sitt lokale system.
Bestemmelsen vil gi regjeringen hjemmel til å etablere nasjonale løsninger som pålegges alle virksomheter, til forskjell fra frivillige samarbeidsløsninger som er basert på avtale mellom virksomheter i sektoren.
Departementet er enig med KS og Sykepleierforbundet i at høringsnotatets forskriftshjemmel var noe vid, og mener at den bør avgrenses. Departementet har kommet til at hjemmelen bare bør gjelde journalløsninger på nærmere begrensede områder, for eksempel legemiddelregister, helsekort for gravide eller laboratorie- og radiologisystem. Departementet foreslår at forslaget i høringsnotatet endres ved at det presiseres i lovteksten at forskriftshjemmelen bare skal gjelde «på bestemte områder».
I Helsedirektoratets utredning kan det komme forslag om alt fra én samlet journalløsning der alle eller mange opplysninger om alle pasienter samles i en database, til mer avgrensede løsninger på bestemte områder. Et nasjonalt journalsystem med en felles totalløsning for alle aktørene innen helse- og omsorgssektoren, bør etter departementets vurdering legges frem for Stortinget og besluttes i eget lovvedtak.
Nasjonale løsninger vedtatt med hjemmel i denne bestemmelsen skal komme i stedet for virksomhetsinterne løsninger eller felles løsninger basert på samarbeid mellom virksomheter som hjemles i pasientjournalloven §§ 8 og 9. Nasjonale løsninger som etableres med hjemmel i denne bestemmelsen har derfor en annen karakter enn for eksempel nasjonal kjernejournal, som kommer i tillegg til slike journaler.
14 Systemer for saksbehandling, administrasjon og kontroll
Departementet foreslår en hjemmel for Kongen i statsråd til å gi forskrifter om behandling av helseopplysninger for saksbehandling, administrasjon, oppgjør og gjennomføring av helsehjelp til enkeltpersoner. Gjeldende forskriftshjemmel i helseregisterloven § 6 c flyttes til pasientjournalloven § 11, og hjemmelen gjøres generell.
I tillegg til dagens forskrifter vil bestemmelsen blant annet gi hjemmel for forskrift om saksbehandling, administrasjon og kontroll av økonomisk oppgjør og forskrivning av helseforetaksfinansierte legemidler til bruk utenfor sykehus.
14.1 Gjeldende rett
14.1.1 Helseregisterloven § 6 c – registre for saksbehandling og administrering
Helseregisterloven § 6 c gir hjemmel til registre for saksbehandling og administrering. Kongen i statsråd kan i forskrift gi nærmere bestemmelser om etablering av registre og behandling av helseopplysninger i registrene til følgende formål:
saksbehandling for å avgjøre om det kan treffes vedtak om frikort og refusjon av betalte egenandeler
administrering og samordning av transport til undersøkelse eller behandling i helse- og omsorgstjenesten
Forskriften skal angi hvilke opplysninger som kan behandles i registeret og gi nærmere regler om databehandlingsansvaret for opplysningene. Forskriften kan inneholde bestemmelser om tilgang til opplysningene, tilgangskontroll mv.
Syketransportregisterforskriften og egenandelsregisterforskriften ble vedtatt i 2009 med hjemmel i denne bestemmelsen.
14.1.2 Helseforetaksfinansierte legemidler til bruk utenfor sykehus
Bestemmelser om rekvirering av legemidler er fastsatt i forskrift 27. april 1998 nr. 455 om rekvirering og utlevering av legemidler fra apotek, jf. forskriftens kapitler 3 til 5. Forskriften er hjemlet i blant annet i helsepersonelloven § 11 andre ledd og legemiddelloven § 25 b andre ledd. Disse bestemmelsene har tilnærmet identisk ordlyd.
Legemiddelloven § 25 b andre ledd lyder:
Departementet kan i forskrift gi nærmere bestemmelser om rekvirering av legemidler, herunder om utforming og utfylling av resept og rekvisisjonsblankett. Det kan også bestemmes at bestemte legemidler helt eller delvis skal unntas fra rekvireringsretten.
Alle resepter skal i utgangspunktet fremsettes skriftlig, jf. forskriften § 3-1. Resepten skal inneholde opplysninger om reseptutsteder (navn, ID-nummer i helsepersonellregisteret, yrke, arbeidssted og telefonnummer), jf. forskriften § 4-2 og opplysninger om pasienten (navn, fødselsnummer og adresse), jf. forskriften § 5-7.
Resepten skal om mulig inneholde informasjon om bruksområde og fullstendig bruksrettledning, jf. § 5-10 første ledd. Det er ikke noe generelt krav til at pasientens diagnose skal oppgis på resepten.
For bruk av legemidler som rekvireres på blå resept fastsetter forskrift 28. juni 2007 om stønad til dekning av utgifter til viktige legemidler mv. (blåreseptforskriften) krav til resepten i § 10. I tillegg til de alminnelige kravene, skal resepten inneholde opplysninger som er nødvendige for at Helsedirektoratet eller det organ Helsedirektoratet bestemmer skal kunne vurdere krav om slik stønad. Det omfatter blant annet opplysninger om refusjonskode, som normalt tilsvarer diagnosekoder (ICD-10 og ICPC-2). Opplysningene skal påføres uten hinder av taushetsplikten.
14.2 Høring
14.2.1 Høringsforslaget
I høringsnotatet ble det foreslått å utvide dagens hjemmel for forskrifter om saksbehandling og administrasjon, til også å kunne gi forskrift om behandling av helseopplysninger for saksbehandling, administrering og kontroll av økonomisk oppgjør av helseforetaksfinansierte legemidler som brukes utenfor sykehus.
14.2.2 Høringsuttalelsene
Få høringsinstanser uttalte seg om dette forslaget.
Helse Nord RHF støttet forslaget. Helse Midt-Norge RHF uttalte at et nytt hjemmelsgrunnlag, eller forsterkning av dette, ikke bør begrenses til et mindre utvalg av fakturerte tjenester og/eller varer. Helseforetaket mente at en eventuell forsterkning av hjemmelsgrunnlaget bør være nøytral når det gjelder tjenester og varer, men gi hjemmel for å sikre foretakenes behov for internkontroll når det gjelder kjøp av tjenester underlagt taushetsplikt.
Helsedirektoratet mente at det kan bli behov for nye registre for saksbehandling og administrasjon ut over det som fremgår av forslaget. Som eksempel viste direktoratet til at det kan oppstå behov for nye slike registre ved en omorganisering i helsesektoren eller ved innføring av digitalt førstevalg. Direktoratet mente at behovet for fleksibilitet er minst like stort for registre for saksbehandling og administrasjon, som for (andre) behandlingsrettede helseregistre, og at disse i tillegg normalt inneholder mindre sensitive helseopplysninger.
Legeforeningen foreslo at bestemmelsen utvides til å omfatte kvalitetssikring ved at overskriften endres til «systemer for kvalitetssikring, saksbehandling og administrasjon», og at det inntas et nytt første ledd med ordlyden «kvalitetssikring av helseforetakets helsehjelp». Dette forslaget vil åpne for at det i den enkelte virksomhet kan arbeides med internkontroll og kvalitetssikring på grunnlag av opplysninger i pasientjournalen, uten at man som i dag, må basere seg på manuell rapportering av pasientdata fra helsepersonell som har deltatt i behandlingen.
KS uttalte at det er ønskelig med en klarere lovregulering av behandling av helseopplysninger i kommunene også i situasjoner hvor formålet ikke er å yte helsehjelp.
Stavanger kommune viste til at kommunen har mange tjenester utenom helse- og omsorgstjenesten som behandler helseopplysninger, som barneverntjenesten, sosialtjeneste, skole, barnehage, PPT, tildeling av bolig og tomter osv. IT-systemene hvor helseopplysninger behandles av nevnte kommunale tjenester har varierende funksjonalitet for å sikre konfidensialitet.
14.3 Departementets vurderinger
Systemer for saksbehandling, administrasjon og kontroll vil i mange tilfeller være omfattet av behandlingsgrunnlaget for de oppgaver de er etablert for å støtte, jf. forslaget til pasientjournallov § 6. Departementet foreslår i tillegg en hjemmel til å gi forskrifter om behandlinger som ikke dekkes av det ordinære behandlingsgrunnlaget eller som det av andre grunner er nødvendig å regulere særlig i forskrift, der formålet er saksbehandling, administrasjon og kontroll av helse- og omsorgstjenester.
For å kunne saksbehandle, administrere og foreta kontroll av oppgjør og forskrivning av helseforetaksfinansierte legemidler utenfor sykehus, må det etableres et informasjonssystem. Dette må legge til rette for utveksling av personidentifiserbare opplysninger mellom de ulike aktørene som er involvert i denne prosessen.
Videre må det foreligge en plikt for helsepersonell (eller virksomheten) til å melde inn nødvendige opplysninger til de som skal administrere oppgjørsordningen.
14.3.1 Generell forskriftshjemmel
Departementet har vurdert innspillene fra høringsinstansene som mener at dagens lovbestemmelse, som konkret angir hvilke tjenester det kan etableres registre eller saksbehandlingssystemer for, er lite egnet. Det gjelder systemer som er nødvendig for saksbehandling, administrasjon mv. av virksomhetens tjenester. Det vil ofte kunne oppstå behov for å opprette nye registre, eller å behandle opplysningene på en annen måte enn før, for eksempel ved omorganiseringer og endringer i ansvarsforhold. Som eksempel kan nevnes da ansvaret for å finansiere et legemiddel til en pasient ble overflyttet fra folketrygden til de regionale helseforetakene (H-reseptene).
Helsedirektoratet anførte i høringsuttalelsen at behovet for fleksibilitet er minst like stort for registre for saksbehandling og administrasjon, som for (andre) behandlingsrettede helseregistre. Behandling av opplysninger i slike systemer omfatter også i mindre grad sensitive opplysninger. Kun i særskilte tilfeller er det nødvendig å behandle opplysninger som er direkte identifiserbare. Personvernulempen vil derfor være mindre, mens det samtidig er nødvendig å behandle opplysningene for at de aktuelle tjenestene skal kunne tilbys på en samfunnsøkonomisk god måte. Videre skal innsamlede helseopplysninger ikke lagres lenger enn til formålet med behandlingen av dem er oppnådd, og det ikke er annet behandlingsgrunnlag for å behandle dem.
Departementet er enig med Legeforeningen i at kvalitetssikring av helseforetakenes helsehjelp er viktig. Kvalitetssikring av helsetjenesten må være en inkludert del av virksomhetenes ordinære gjøremål, i forbindelse med helsehjelp. Behandlingsgrunnlag for virksomhetsintern kvalitetssikring er tatt inn i pasientjournalloven § 6 om rett til å behandle helseopplysninger, se nærmere om dette i punkt 15.3.
Bestemmelsen som foreslås gjelder alle tjenester som er nødvendige for gjennomføring av helsehjelp, uavhengig av om det er primærhelsetjeneste eller spesialisthelsetjeneste. Pasientjournalloven skal bare regulere behandling av helseopplysninger som er nødvendige for å yte, administrere eller kvalitetssikre helsehjelp (se loven § 3). Behandling av helseopplysninger til andre formål reguleres ikke av pasientjournalloven, og krever annet rettsgrunnlag. Dette er presisert i lovforslaget § 20 om at den databehandlingsansvarlige kan gjøre helseopplysninger tilgjengelige for andre formål enn helsehjelp når dette er fastsatt i lov eller i medhold av lov. Den som mottar opplysningene vil da ha samme taushetsplikt som den som gir opplysningene.
Opplysninger som identifiserer pasienten og opplysninger om helseforhold skal bare behandles når det er nødvendig for å gjennomføre formålet på en forsvarlig måte. Lovens utgangspunkt om at graden av personidentifikasjon ikke skal være større enn nødvendig er presisert. Med mindre annet følger av lov skal innsamlede helseopplysninger slettes når formålet med behandlingen av dem er oppnådd.
14.3.2 H-resepter
Som hovedregel har de regionale helseforetakene ansvar for å finansiere legemidler som brukes i sykehus, jf. spesialisthelsetjenesteloven § 21 a. Fra 1. juni 2006 ble finansieringsansvaret for enkelte selvadministrerte legemidler overført til de regionale helseforetakene. Legemidlene kjennetegnes ved at de er kostbare, behandlingen styres av spesialisthelsetjenesten og det finnes alternative legemidler til behandling av samme sykdom som brukes i sykehus. Legemidlene forskrives på resept (såkalt H-resept) til den enkelte pasient. Pasienten henter legemiddelet på valgfritt apotek, og apoteket sender regning for legemidlet til aktuelt helseforetak.
De totale utgiftene til denne type legemidler var 1,3 milliarder kroner i 2012. Det var 16 000 pasienter som fikk H-resept og det ble ekspedert 94 700 resepter. Legemidler som rekvireres på H-resepter er kostbare. Det er en grunnleggende forutsetning at utbetalinger av offentlige midler skjer under tilfredsstillende kontroll. Gjennomsnittlig pris per pasient per år var vel 81 000 kroner i 2012.
Oppgjørsordningen for H-resepter er i dag papirbasert. Nasjonal IKT (spesialisthelsetjenestens hovedarena for samhandling innenfor informasjons- og kommunikasjonsteknologi) arbeider med sentral elektronisk løsning for H-resepter. Dette gjøres ved å ta i bruk eksisterende oppgjørsløsning i e-resept, med nødvendige tilpasninger til H-resept. Et forprosjekt gjennomført av Nasjonal IKT anbefaler at det etableres en sentralisert ordning basert på Helfos eksisterende oppgjørssystem for blåresepter.
Ordningen forutsetter at alle nødvendige og relevante helseopplysninger kan overføres mellom de ulike aktørene i kjeden uten hensyn til taushetsplikt. Kjeden omfatter i dag helsepersonell – apotek – helseforetaket. Ved en elektronisk oppgjørsordning er det foreslått at Helfo inkluderes gjennom avtale med helseforetaket. Pasientens identitetsopplysninger (fødselsnummer) må i så fall følge oppgjørsopplysningene gjennom hele kjeden. Dersom helseforetaket skal kunne kontrollere at retningslinjene for bruk av H-resepten er fulgt, må også pasientens refusjonskode (som vanligvis svarer til diagnosekode) følge oppgjørsopplysningene.
Departementet mener at oppgjørsordningen bør hjemles på tilsvarende måte som registre for administrering og samordning av syketransport (syketransportforskriften), jf. gjeldende helseregisterlov § 6 c og forslaget til pasientjournallov § 11. Bestemmelsen gir hjemmel for at ordningen kan reguleres nærmere i forskrift. En eventuell forskrift skal blant annet ha bestemmelser om behandlingen av opplysningene, hvilke opplysninger som skal behandle, om den enkeltes rett til å motsette seg behandlingen av opplysningene og om databehandlingsansvar.
Behandling av H-resepter vil kunne integreres i Reseptformidleren og hjemles i pasientjournalloven § 12.
15 Kvalitetssikring
Kvalitetssikring innebærer å kontrollere at diagnostikk, behandling og annen helsehjelp faktisk gir de forventede resultater og å avdekke om kravene til kvalitet er oppfylt.
Kvalitetssikring av helsehjelp er en viktig del av det å gi helsehjelp. Departementet foreslår derfor at det presiseres i pasientjournalloven § 6, at opplysningene i pasientjournalen og andre behandlingsrettede helseregistre kan behandles når dette er nødvendig for å kvalitetssikre helsehjelpen.
I tilknytning til dette foreslås en mindre endring av helsepersonelloven § 29 c om helsepersonells bruk av opplysninger i læringsarbeid og kvalitetssikring. Departementet foreslår at den databehandlingsansvarlige skal bestemme på hvilken måte opplysningene skal gis til helsepersonell. Endringen skal gjøre det mulig å gi tilgang for helsepersonell i andre virksomheter som skal bruke opplysningene i læring eller kvalitetssikring.
Departementet foreslår også enklere prosesser for virksomhetenes interne kvalitetssikringsarbeid, se forslag til endringer i helsepersonelloven § 26.
15.1 Gjeldende rett
15.1.1 Kvalitetssikring av helsehjelp til den enkelte pasient
Vi har ingen bestemmelser som uttrykkelig regulerer behandling av helseopplysninger for kvalitetssikring av helsehjelpen til den enkelte pasient.
Helsepersonells mulighet til å kvalitetssikre den helsehjelp en enkelt pasient har fått, er begrenset av reglene om taushetsplikt, jf. helsepersonelloven §§ 21 flg., se punkt 11.1 om taushetspliktreglene.
Helsepersonelloven har flere bestemmelser som åpner for at opplysninger kan gis ut når de er nødvendige for å yte helsehjelp. Kvalitetssikring av helsehjelpen til den enkelte pasient, regnes her som en del av helsehjelpen.
Helsepersonell som skal yte helsehjelp skal gis nødvendige og relevante opplysninger i den grad dette er nødvendig for å kunne gi helsehjelp på forsvarlig måte, jf. helsepersonelloven § 45. Taushetsbelagte opplysninger om en pasient skal bare være tilgjengelige for personell som skal yte helsehjelp til pasienten. Helsepersonell som har ytt helsehjelp til en pasient, men som ikke lenger er involvert i helsehjelpen, har som hovedregel ikke adgang til opplysningene, hvis det ikke gjelder opplysninger som de er kjent med fra før.
Helsepersonelloven § 29 c åpner for at taushetsbelagte opplysninger etter særskilt anmodning kan gis til annet helsepersonell som tidligere har ytt helsehjelp til pasienten i et konkret behandlingsforløp. Det er en forutsetning at utleveringen er begrunnet i lærings- og kvalitetssikringshensyn. Den som ønsker å få utlevert opplysninger må fremme en særskilt forespørsel om dette. Bestemmelsen åpner ikke for automatisert vurdering av hvorvidt opplysningene kan utleveres.
Heller ikke kan det gis tilgang til journalen. Med tilgang menes at autorisert personell gis adgang til selv å søke etter relevant informasjon om konkrete pasienter i virksomhetens system. Bestemmelsen åpner bare for at opplysningene utleveres, jf. merknadene til § 29 c i Prop. 87 L (2012–2013).
Helsepersonelloven §§ 25, 45 og 29 c skiller ikke mellom hvorvidt opplysningene gjøres tilgjengelige for helsepersonell i samme virksomhet eller helsepersonell i andre virksomheter. Helsepersonelloven §§ 25 og 45 skiller heller ikke mellom å gjøre opplysningene tilgjengelige ved å gi tilgang eller ved å utlevere dem.
Det følger imidlertid av helseregisterloven § 13 at bare den databehandlingsansvarlige, databehandlere og den som arbeider under den databehandlingsansvarliges eller databehandlers instruksjonsmyndighet, kan gis tilgang til helseopplysninger. Bestemmelsen og begrepet tilgang er nærmere omtalt i punkt 11.1.2. Helseregisterloven begrenser på denne måten mulighetene for valg av tekniske virkemidler for informasjonsinnhenting når det gjelder kvalitetssikring av helsehjelp som involverer flere virksomheter. Det er imidlertid ingen ting i veien for at helsepersonell kan få de aktuelle opplysningene utlevert, med grunnlag i helsepersonelloven §§ 25, 45 eller 29 c, fra alle de involverte virksomhetene.
15.1.2 Kvalitetssikring av helsehjelp som sådan
Kvalitetssikring av helsehjelp som sådan innebærer sammenstilling og analysering av journalopplysninger fra flere pasienter som har mottatt samme type helsehjelp. Innholdet av opplysninger som sammenstilles vil avhenge av hva en ønsker å kvalitetssikre og av geografisk utbredelse.
Helsepersonelloven § 26 åpner for utføring av virksomhetsintern kvalitetssikring. Bestemmelsen fastslår at den som yter helsehjelp kan gi opplysninger til virksomhetens ledelse når dette er nødvendig for kvalitetssikring av tjenesten. Opplysningene skal så langt det er mulig, gis uten individualiserende kjennetegn. Dersom det likevel er aktuelt å bruke individualiserende kjennetegn, kan pasienten motsette seg dette (jf. merknadene til § 26 i Ot.prp. nr. 13 (1998–99)).
Virksomheten kan etablere og behandle helseopplysninger til kvalitetssikring med hjemmel i helsepersonelloven § 26 uten konsesjon fra Datatilsynet, jf. helseregisterloven § 5. Opplysningene må behandles i samsvar med gjeldende regler om taushetsplikt.
Helsepersonelloven § 26 åpner imidlertid ikke for sammenstillinger av helseopplysninger fra flere virksomheter. Kvalitetssikring som omfatter sammenstilling av helseopplysninger fra flere virksomheter må gjøres med hjemmel i helseregisterloven.
Datatilsynet kan gi konsesjon til ulike typer formål, inkludert kvalitetssikring (jf. helseregisterloven § 5). Datatilsynet har ikke myndighet til å gjøre unntak fra helsepersonellovens regler om taushetsplikt. De konsesjonsbaserte tillatelsene til å behandle helseopplysninger til kvalitetssikringsformål, vil derfor alltid baseres på samtykke fra den registrerte (pasienten) eller på at det er gitt dispensasjon til at opplysningene kan behandles uten hensyn til taushetsplikt etter helsepersonelloven § 29 b.
Helseregisterloven § 29 b gir hjemmel til dispensere fra taushetsplikten for helseopplysninger slik at de kan eller skal gis til bruk ved kvalitetssikring mv. Denne dispensasjonshjemmelen er begrenset. Bestemmelsens sentrale anvendelsesområde er helseopplysninger der navn og fødselsnummer er fjernet, men antall opplysninger (variabler) er så mange eller av en slik type at opplysningene likevel regnes som personidentifiserbare.
Lokale, regionale og sentrale kvalitetsregistre kan etter helseregisterloven § 5 etableres etter konsesjon fra Datatilsynet, på samme vilkår som kvalitetsregistre som dekker flere virksomheter. Lokale, regionale og sentrale registre til kvalitetssikringsformål kan også etableres ved forskrift med hjemmel i helseregisterloven §§ 7 eller 8. Det fremgår av forskriftene om de sentrale helseregistrene som er etablert med hjemmel i helseregisterloven § 8, at kvalitetssikring er ett av flere formål med disse registrene.
15.2 Høringen
15.2.1 Forslagene i høringsnotatet
Kvalitetssikring av helsehjelp til den enkelte pasient
I høringsnotatet ble det ikke foreslått endringer i gjeldende rett når det gjelder kvalitetssikring av helsehjelp til den enkelte pasient. Det betyr at helsepersonells kvalitetssikring av ytt helsehjelp må skje innenfor rammene av reglene om taushetsplikt.
Som en følge av at gjeldende helseregisterlov § 13 ble foreslått opphevet, vil ikke reglene om tilgjengeliggjøring av helseopplysninger lenger være til hinder for kvalitetssikring av helsehjelpen til en enkelt pasient etter at pasienten er overført til annen virksomhet. Se om forslaget om å oppheve § 13 i punkt 11.2.1.
Kvalitetssikring av helsehjelpen som sådan
Departementet foreslo i høringsnotatet ingen endringer når det gjelder kvalitetssikring av helsehjelp som sådan, ut over at forslagene i ny helseregisterlov om etablering av helseregistre også omfattet kvalitetssikring og kvalitetsforbedring.
Det innebar at helsepersonelloven § 26 fortsatt vil åpne for etablering av virksomhetsinterne kvalitetsregistre, og at etablering av andre registre for kvalitetssikring fortsatt kan skje etter konsesjon fra Datatilsynet eller etter forskrift med hjemmel i den nye helseregisterloven.
Behandling av helseopplysninger etter konsesjon fra Datatilsynet skulle, etter forslaget, fortsatt baseres på samtykke fra pasienten, eller dispensasjon til at opplysningene kan behandles uten hensyn til taushetsplikt etter helsepersonelloven § 29 b. Kvalitetsregistre skulle også kunne etableres ved forskrift, på samme måte som andre helseregistre.
15.2.2 Høringsuttalelser
Høringsinstansene som uttalte seg om kvalitetssikring og kvalitetsregistre fokuserte på ulike spørsmål og utfordringer.
Kvalitetssikring av helsehjelp til den enkelte pasient
Det var få høringsuttalelser som hadde merknader til dette spørsmålet. Norsk senter for elektronisk pasientjournal mente at den tette koblingen mellom pasientbehandling, læring og kunnskapsutvikling er et vektig argument for at formålet med pasientjournalen skal avledes av formålet med helsetjenesten, at pasientjournalen skal understøtte det fulle spekter av oppgaver som helsepersonell er pålagt og også kunne brukes til utdannings- og veiledningsformål. Helse Sør-Øst RHF mente at lovverket må sikre at «samling og sammenstilling av data fra mange pasienter er lovlig og kan gjøres som ledd i den normale daglige arbeidsprosessen for helsepersonell».
Kvalitetssikring av helsetjenester som sådan
Enkelte høringsinstanser mente at de interne kvalitetsregistrene etter helsepersonelloven § 26 bør hjemles i pasientjournalloven. Legeforeningen foreslo at pasientjournalloven utvides til å omfatte kvalitetssikring av helseforetakets helsehjelp slik at den enkelte virksomhet kan arbeide med internkontroll og kvalitetssikring på grunnlag av opplysninger i pasientjournalen, uten at man må basere seg på manuell rapportering av pasientdata fra helsepersonell som har deltatt i behandlingen av pasienten. Nasjonalt kunnskapssenter for helsetjenesten uttalte at pasientjournalloven må legge til rette for at det blir mulig med pasientsikkerhets- og kvalitetsmålinger via journalgjennomganger på tvers av organisatoriske enheter. Forsvarsdepartementet mente at det bør vurderes om virksomhetsintern kvalitetssikring bør hjemles i pasientjournalloven fremfor helseregisterloven.
Helse Nord RHF mente at det er et problem at helsepersonelloven § 26 bare hjemler virksomhetsinterne registre.
Høringsforslaget skilte ikke mellom helseregistre som etableres for kvalitetssikringsformål og helseregistre for andre formål. Det vises derfor også til oppsummeringen av høringsuttalelsene i punkt 19.3.2 om etablering av helseregistre.
Andre spørsmål knyttet til kvalitetssikring
Helse Nord RHF og Universitetssykehuset Nord-Norge HF (UNN) mente at det er uklart om pasientjournalloven skal gjelde ved behandling av opplysninger i interne kvalitetsregistre. Helse Nord RHF stilte spørsmål ved hvor langt adgangen i helsepersonelloven § 26 strekker seg med hensyn til å behandle opplysninger til kvalitetssikring i de samarbeidende virksomheters ledelse.
Helse Vest RHF la til grunn at opplysninger som blir gitt ut til virksomhetenes ledelse hvor behandlingsformålet er kvalitetssikring av tjenesten som sådan, vil omfattes av den nye helseregisterloven, og at todelingen derfor ikke innebærer noen endring fra hva som er gjeldende rett.
Norsk samfunnsvitenskapelig datatjeneste (NSD) mente at det bør presiseres i helseregisterloven at helsepersonelloven § 26 er et lovlig grunnlag for kvalitetsprosjekter og derfor er unntatt konsesjonsplikt. NSD mente at tilrådning fra personvernombud bør være tilstrekkelig for kvalitetssikringsprosjekter av begrenset omfang og varighet som kun behandler indirekte personidentifiserbare opplysninger.
Senter for klinisk dokumentasjon og evaluering (SKDE), Helse Nord RHF og Oslo universitetssykehus HF (OUS) og Akershus universitetssykehus HF (Ahus) stilte spørsmål ved om tilgang til egne opplysninger kan gis etter helsepersonelloven § 23 nr. 1 (bestemmelsen fastslår at taushetsplikt ikke er til hinder for at opplysninger gis den som fra før er kjent med opplysningene.)
Nasjonalt senter for samhandling og telemedisin oppfattet opphevelsen av helseregisterloven § 13 som at virksomheter som sender inn data til sentrale medisinske kvalitetsregistre, nå kan få tilgang til egne innsendte opplysninger i registeret. OUS mener det er behov for å sikre tilgang til slike opplysninger, for å kunne gjøre lokal oppfølging eller kvalitetssikring av egen virksomhet. Helseforetaket mente at dersom helsepersonelloven § 23 nr. 1 ikke åpner for dette, bør det vurderes å ta inn en uttrykkelig bestemmelse om tilgang til egne innsendte opplysninger.
Helse Midt-Norge RHF uttalte at for pasienter som blir behandlet ved flere sykehus kan opplysninger om tidspunkt for symptomdebut, andre sykdommer og risikofaktorer, behandling osv. bli registrert flere ganger. Ved første sykehus vil pasienten kunne være preget av den akutte sykdom (sjokk, smertepåvirket, redusert bevissthetsnivå) og kan gi upresise eller feilaktige opplysninger. Dette kan føre til at variable blir feilkodet og den initiale diagnose kan bli feil. Når pasienten kommer til neste sykehus i behandlingskjeden, vil variablene kunne registreres korrekt fordi pasienten da vil være i stand til å gi en bedre beskrivelse av hendelsesforløpet og fordi forhold avklares ved supplerende utredning (blodprøver, ekkokardiografi, røntgenundersøkelse av kranspulsårer). I noen tilfeller viser det seg at den initiale hjerteinfarktdiagnose var feil.
Det nasjonale dekanmøte for de medisinske fakultetene mente det må åpnes for at de foretakene som samarbeider om behandlingen av en pasient, også kan samarbeide om å innrapportere det aktuelle behandlingsforløpet til et medisinsk kvalitetsregister.
Sykehuset Østfold HF mente at føringene for forståelsen av § 29 c i Prop. 87 L (2012–2013), bør revurderes. Sykehuset mente at intensjonen med bestemmelsen var god, men at merknadene til den ligger noe på siden når det gjelder den praktiske sykehushverdagen, blant annet fordi det presiseres at helsepersonell som etterspør informasjon ikke gis anledning til selv å gjøre oppslag i pasientjournalen. Sett i lys av nytenkningen i forslag til ny pasientjournallov, mente sykehuset at en så restriktiv holdning til å lære av egne erfaringer var noe underlig.
15.3 Departementets vurderinger
15.3.1 Kvalitetssikring av helsehjelp til den enkelte pasient
Kvalitetssikring av helsehjelp til en enkelt pasient er etter departementets vurdering et viktig element i det å yte helsehjelp til pasienten, og bør derfor omfattes av pasientjournalloven. Det å observere pasienten og å følge med på hvordan en behandling virker eller har virket, er en forutsetning for å kunne vurdere om pasienten trenger videre behandling og eventuelt hva slags behandling. For helsepersonell vil kunnskap om resultater av ytt helsehjelp, og hvordan pasienten tidligere har respondert på en bestemt type helsehjelp, være en forutsetning for å gi helsehjelp av god kvalitet.
Norsk senter for elektronisk pasientjournal har i høringen støttet dette. Ingen høringsinstanser uttalte seg imot.
Kvalitetssikring som en del av helsehjelpen
Departementet foreslår at det presiseres i pasientjournalloven at pasientens journalopplysninger også kan benyttes til kvalitetssikring av helsehjelpen. Ordlyden i bestemmelsen er endret sammenlignet med høringsforslaget ved at behandlingsgrunnlaget fremgår tydelig. Departementet foreslår at det presiseres i pasientjournalloven § 6 at helseopplysninger i behandlingsrettede helseregistre kan behandles når dette er nødvendig for å kunne gi helsehjelp, for administrasjon av helsehjelp, for internkontroll eller for kvalitetssikring av helsehjelpen.
Reglene om taushetsplikt vil fortsatt gjelde. Relevante bestemmelser som åpner for at helseopplysninger gjøres tilgjengelige for helsepersonell i kvalitetssikringsøyemed, vil være §§ 25, 26 andre ledd, 45 og 29 c.
Behandling av helseopplysninger etter konsesjon fra Datatilsynet skal fortsatt baseres på samtykke fra pasienten, eller dispensasjon til at opplysningene kan behandles uten hensyn til taushetsplikt etter helsepersonelloven § 29 b.
Helsepersonelloven § 29 c
Departementet mener at helsepersonelloven § 29 c også bør endres. Denne bestemmelsen gjelder for helsepersonell som tidligere har ytt helsehjelp til en pasient, men som ikke lenger er involvert i ytelse av helsehjelp til pasienten. Bestemmelsen åpner kun for utlevering av opplysninger og ikke for tilgang til aktuelle opplysninger.
Det bør etter departementets vurdering være slik at den databehandlingsansvarlige skal kunne bestemme på hvilken måte opplysningene kan gis. Kravet i helsepersonelloven § 29 c om at opplysningene bare kan utleveres og at det ikke kan gis tilgang, har sammenheng med den tilsvarende begrensningen i gjeldende helseregisterlov § 13. Bestemmelsen bør endres i lys av forslaget om informasjonsdeling i pasientjournalloven § 19, se punkt 11.3.6 om ekstern tilgang. Helsepersonellovens bestemmelse om adgangen til å gi ut opplysninger til kvalitetssikring, bør ha samme rekkevidde og begrunnelse som denne.
Etter departementets vurdering bør derfor helsepersonelloven § 29 c endres slik at den databehandlingsansvarlige kan bestemme på hvilken måte opplysningene kan gjøre tilgjengelige ut fra en vurdering av hvordan personvern og informasjonssikkerheten best kan ivaretas. Dette betyr at den databehandlingsansvarlige også kan gi helsepersonell tilgang etter § 29 c. Dette følger opp høringsinnspillet fra Sykehuset Østfold HF.
På bakgrunn av at helsepersonelloven § 29 c gjelder personell som ikke lenger er involvert i helsehjelp til pasienten, mener departementet at opplysningene i utgangspunktet fortsatt bare bør kunne gis etter anmodning. Det er ikke noe i veien for at vurderingen av anmodningen kan skje automatisert, uten at en fysisk person i hvert enkelt tilfelle må ta stilling til anmodningen. Den databehandlingsansvarlige må kunne bestemme hvilke prosesser som skal følges, innenfor rammene av reglene om taushetsplikt og informasjonssikkerhet, inkludert pasientens rett til vern mot spredning av taushetsbelagte opplysninger.
15.3.2 Intern kvalitetssikring etter helsepersonelloven § 26
På grunnlag av høringsuttalelsene har departementet vurdert om reglene om virksomhetenes interne kvalitetssikring som følger av helsepersonelloven § 26, også bør gis et tydelig behandlingsgrunnlag i pasientjournalloven eller helseregisterloven. Virksomhetsinterne kvalitetsregistre innebærer at nærmere definerte pasientopplysninger fra flere pasienters journaler kan behandles (sammenstilles og analyseres) for kvalitetssikring av en bestemt type tjeneste eller prosess, innen virksomheten.
Departementet mener at behandlingsgrunnlaget for virksomhetenes internkontroll og kvalitetssikring også bør fremgå av pasientjournalloven. Dette er nå inntatt i forslaget til § 6.
Ett av forslagene i pasientjournalloven er at to eller flere virksomheter kan samarbeide om behandlingsrettede helseregistre, se § 9 og punkt 12.3. Virksomheter som samarbeider om et journalsystem for dokumentasjon av helsehjelp bør etter departementets vurdering også kunne samarbeide om kvalitetssikring av en bestemt type diagnostikk, behandling eller annen type helsehjelp. Dette krever at pasientopplysninger fra flere pasienters journaler, som inngår i systemet, kan behandles (sammenstilles og analyseres) for dette formålet. Høringsuttalelsene synliggjør at det bør være en tett kobling mellom pasientdokumentasjon og mulighet for beslutningsstøtte for å yte helsehjelp av god kvalitet. I den grad to virksomheter samarbeider om etablering av et pasientjournalsystem, mener departementet at virksomhetene også bør kunne samarbeide om å kvalitetssikre de tjenester som tilbys pasienter som inngår i journalsystemet.
Departementet foreslår derfor at helsepersonelloven § 26 gis et nytt andre ledd som presiserer at den som yter helsehjelp, også kan gi opplysninger til ledelsen i samarbeidende virksomhet, der virksomhetene samarbeider om behandlingsrettede helseregistre etter pasientjournalloven § 9.
Slik behandling av helseopplysninger skal kunne skje uten hensyn til taushetsplikt, med mindre pasienten motsetter seg det. Reglene om taushetsplikt vil gjelde tilsvarende for personell i virksomheten som mottar opplysningene.
Informasjonen helsepersonell får tilgang til fra virksomhetens beslutningsstøttesystemer vil være aggregert, og ikke inneholde enkeltpasienters navn eller fødselsnummer.
Departementet følger med dette opp innspill i høringsuttalelsene fra både Legeforeningen, Nasjonalt kunnskapssenter for helsetjenesten og Helse Nord RHF.
15.3.3 Kvalitetssikring av helsehjelp som sådan
Departementet foreslår at kvalitetssikring av helsehjelp som sådan, ut over det som følger av helsepersonelloven § 26 og pasientjournalloven § 6, hjemles i helseregisterloven. Se punkt 17.3 om helseregisterlovens saklige virkeområde og punkt 19.4 om forskriftshjemlene for etablering av helseregistre.