Høringsnotat

Meldingssystem for smittsomme sykdommer (MSIS) og Tuberkuloseregisteret

System for vaksinasjonskontroll
(SYSVAK)

Norsk overvåkingssystem for antibiotikaresistens hos mikrober (NORM)

INNHOLD

Bakgrunn

Lovvedtak og hjemmel for å gi forskrifter

Stortinget fattet 26. april 2001 vedtak til lov om helseregistre og behandling av helseopplysninger (helseregisterloven). Vedtaket ble sanksjonert 18. mai 2001, lov nr. 24. Loven trådte i kraft 1. januar 2002.

Formålet med helseregisterloven er å bidra til å gi helsetjenesten og helseforvaltningen informasjon og kunnskap uten å krenke personvernet, slik at helsehjelp kan gis på en forsvarlig og effektiv måte. Gjennom forskning og statistikk skal loven bidra til informasjon og kunnskap om befolkningens helseforhold, årsaker til nedsatt helse og utvikling av sykdom for administrasjon, kvalitetssikring, planlegging og styring. Loven skal sikre at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på helseopplysninger.

Etter lovens § 8 tredje ledd skal alle sentrale helseregistre, som skal inneholde direkte identifiserbare opplysninger (navn og fødselsnummer) som gis uten samtykke, listes opp i loven. Loven angir seks slike helseregistre: Dødsårsaksregisteret, Kreftregisteret, Medisinsk fødselsregister, Meldesystemet for infeksjonssykdommer, Det sentrale tuberkuloseregisteret og System for vaksinasjonskontroll (SYSVAK). Etter lovens § 8 fjerde ledd kan det i forskrifter gis nærmere bestemmelser om behandlingen av opplysningene i disse registrene. Nye forskrifter for de tre førstnevnte registrene er gitt, og disse forskriftene trådte i kraft 1. januar 2002. Vedlagt følger utkast til nye forskrifter for Meldesystemet for smittsomme sykdommer (MSIS) og Tuberkuloseregisteret og System for vaksinasjonskontroll (SYSVAK). Den oppdaterte betegnelsen på Meldesystemet for infeksjonssykdommer er Meldingssystem for smittsomme sykdommer, og det er denne betegnelsen som brukes i forskrift og merknader.

Det er bare i ovennevnte registre jf. helseregisterloven § 8, tredje ledd at man uten samtykke kan behandle personidentifiserende opplysninger. I henhold til helseregisterloven § 8, annet ledd kan Kongen i Statsråd gi forskrifter om etablering av registre som behandler helseopplysninger i pseudonymisert eller avidentifisert form, og dette også uten samtykke. Vedlagt følger utkast til forskrift som oppretter et avidentifisert register for å overvåke antibiotikaresistens hos nærmere bestemte mikrober (NORM).

Utkast til forskrift for MSIS og Tuberkuloseregisteret og forskrift for SYSVAK regulerer forvaltningen av registrene, herunder datainnsamling og behandling av dataene. Forskriftene gir også bestemmelser om bruk av kodeverk og klassifikasjoner, plikt til rapportering, regler for taushetsplikt, informasjonssikkerhet og internkontroll, bestemmelser om innsynsrett m.m.

Forholdet til dagens regelverk/konsesjon

Utkast til forskrift for MSIS og Tuberkuloseregisteret vil erstatte någjeldende forskrift av 30. desember 1994 om leger og annet helsepersonells melding og varsling av smittsomme sykdommer og konsesjon for Det sentrale tuberkuloseregister. Helseregisterloven forutsetter at det skal være to slike smittevernregistre, og dette er bakgrunnen for høringsnotatets utkast til en felles forskrift som både regulerer MSIS og Tuberkuloseregisteret. Databehandlingsansvaret for begge registrene foreslås lagt til Nasjonalt folkehelseinstitutt. Utkast til forskrift om SYSVAK vil erstatte någjeldende forskrift av 21. desember 2000 om meldinger til system for vaksinasjonskontroll. Databehandlingsansvaret foreslås lagt til Nasjonalt folkehelseinstitutt.

NORM-registeret er ikke regelverksfestet i dag. NORM startet som et prøveprosjekt på Statens institutt for folkehelse (nå Nasjonalt folkehelseinstitutt) våren 1999, og driften av registeret ble samme høst overflyttet til Regionsykehuset i Tromsø (nå Universitetssykehuset i Nord-Norge HF). Overvåkningssystemet er i dag en permanent ordning og en oppfølging av departementets Tiltaksplan for å motvirke antibiotikaresistens. Det foreslås i høringsnotatet å forskriftsfeste registeret.

HOVEDINNHOLDET I NYE FORSKRIFTER

Forskriftene er bygget opp etter samme mal som for de vedtatte forskrifter for Dødsårsaksregisteret, Kreftregisteret og Medisinsk fødselsregister. Forskriftene inneholder bestemmelser om etablering av registrene, registrenes formål, hvilke opplysninger registrene kan inneholde og hvem som er databehandlingsansvarlig. Når det gjelder innholdet i registrene er det sett hen til dagens forskrifter og konsesjon og til de opplysninger som i dag registreres. Forskjeller mellom forskriftenes regler og hva som følger av dagens konsesjon eller praksis omtales nedenfor.

2.1 MSIS- og Tuberkuloseregisterforskriften

Forskriften etablerer et landsomfattende Meldingssystem for smittsomme sykdommer (MSIS) og et sentralt Tuberkuloseregister. Forskriften regulerer innsamling og behandling av opplysninger i registrene til bruk for formål som nevnt i forskriften § 1-3. Spesielt for Tuberkuloseregisteret er at et av formålene er å evaluere virkninger av behandlingstiltak og sikre kvaliteten av disse. Registrene kan inneholde personidentifiserende opplysninger om personer som er smittet med smittsomme sykdommer.

Forskriften deler smittsomme sykdommer inn i tre grupper (A, B og C), forskriften § 1-2. Smittsomme sykdommer i gruppe A er sykdommer som det er nødvendig å overvåke med detaljerte opplysninger om hvert enkelt tilfelle av hensyn til smittevernet og internasjonale forpliktelser. Tuberkulose faller inn under denne gruppen. Smittsomme sykdommer i gruppe B er visse seksuelt overførbare sykdommer, herunder hiv-infeksjon. Smittsomme sykdommer i gruppe C er sykdommer der det er nødvendig med oversikt over situasjonen, men der det ikke er nødvendig med registrering av detaljerte opplysninger om enkelttilfeller. I dag er en oversikt over de enkelte meldingspliktige sykdommene tatt inn i selve forskriftteksten. Denne ordningen foreslås ikke videreført, da det anses som unødig tungvint å måtte endre forskriften ved kgl. res., dersom behovet for å overvåke nye smittsomme sykdommer skulle melde seg. I utkast til ny forskrift foreslås det at departementet kan gi nærmere bestemmelser om hvilke sykdommer som tilhører hvilke grupper (forskriften § 1-11) og som er meldingspliktige etter forskriften kapittel 2. Det er ikke planlagt store endringer i forhold til gjeldende ordning. Nasjonalt folkehelsinstitutts arbeid med å vurdere hvilke sykdommer som bør være meldingspliktige kan imidlertid føre til at enkelte mindre endringer blir foretatt. Etter gjeldende meldingspliktforskrift skal imidlertid eventuelle komplikasjoner etter vaksinasjon meldes til MSIS. Denne meldingsplikten foreslås noe utvidet i høringsnotatet og foreslås inntatt i SYSVAK, se nedenfor i pkt. 2.2 og i pkt. 4 om økonomiske og administrative konsekvenser.

I utkast til MSIS- og Tuberkuloseregisterforskrift videreføres et kapittel om varsling av smittsomme sykdommer. Varslingen kommer i tillegg til meldingen til MSIS og Tuberkuloseregisteret og skal blant annet bidra til at enkelttilfeller eller utbrudd raskt kan sees i sammenheng, slik at større utbrudd oppdages tidlig og smittverntiltak iverksettes. I all hovedsak bygger utkastet på gjeldende varslingsplikter som videreføres med enkelte tilpasninger. Departementet bestemmer hvilke sykdommer det skal varsles om, se merknader til § 7-1 til MSIS- og Tuberkuloseregisterforskriften.

Det foreslås imidlertid en ny bestemmelse om varsling om overlagt spredning av smittestoffer (forskriften § 7-5). Ved eventuell overlagt spredning av smittestoffer er det viktig å oppdage angrepet raskt, slik at forebyggende tiltak kan iverksettes. Det foreslås også en egen varslingspliktbestemmelse som gjelder varsling om smitte fra medisinsk utstyr (forskriften § 7-6). Dent-o-sept saken har vist viktigheten av å ha gode varslingsrutiner ved smitte fra medisinsk utstyr også for infeksjoner som ikke er meldingspliktige.

2.2 SYSVAK-registerforskriften

Forskriften etablerer et landsomfattende vaksinasjonsregister. Forskriften regulerer innsamling og behandling av opplysninger i registret til bruk for formål som nevnt i forskriften § 1-3. SYSVAK inneholder personidentifiserende opplysninger om vaksinasjoner og om personer som er omfattet av departementets vaksinasjonsprogram.

Meldingsplikten for eventuelle komplikasjoner etter vaksinasjon foreslås videreført og flyttet fra MSIS til SYSVAK. Nytt i utkastet til SYSVAK-registerforskrift er at også mistanke om komplikasjon skal meldes. Dersom det er tvil eller uklarhet om det foreligger årsakssammenheng mellom vaksinen og en bestemt sykdom eller sykdomstilstand, skal vedkommende tilfelle meldes og fremgå av SYSVAK. Begrunnelsen for forslaget er å sikre at helsemyndighetene får oversikt over mistenkte vaksinekomplikasjoner. Det er som tidligere helsepersonell som skal melde til SYSVAK.

For registreringen av hvilke vaksiner som er gitt, har hver vaksine en kode som helsestasjonen bruker når de melder inn vaksinasjonen. Vaksinereaksjoner er imidlertid ikke entydig definert på samme måte. Hvis SYSVAK-registeret skal gi gode opplysninger, må kodene brukes konsistent og samme enhet må forestå kodingen fra gang til gang. Fordi samme reaksjon kan beskrives på mange måter, kreves medisinsk innsikt og erfaring for å kode på bakgrunn av opplysninger fra helsestasjon og lege. Kodingen må derfor gjøres av lege, farmasøyt eller sykepleier som er knyttet til registeret. Databehandlingsansvarlig for SYSVAK i dag er Nasjonalt folkehelseinstitutt, men den praktiske driften utføres av datafirmaet EDB Business Consulting AS. Nasjonalt folkehelseinstitutt arbeider for å overta den praktiske driften av SYSVAK fra 2004. Arbeidet med koding som skissert ovenfor vil etter dette medføre noe økte utgifter for Nasjonalt folkehelseinstitutt.

2.3 Felles bestemmelser for MSIS- og Tuberkuloseregisterforskriften og SYSVAK-registerforskriften

Forskriften for MSIS- og Tuberkuloseregisteret og forskrift om SYSVAK forbyr bruk av opplysninger som er fremkommet ved behandling av opplysninger etter forskriftene, i forsikringsøyemed selv om den registrerte samtykker (forskriftene § 1-4). Hensikten med forbudet er å hindre at registrerte personer skal komme i en tvangssituasjon og føle seg forpliktet til å be om innsyn i registret for deretter å utlevere dem til et forsikringsselskap.

Grunnlaget for forbudet ligger i at det i utgangspunktet er forbudt å behandle opplysninger til annet formål enn det opplysningene er innsamlet til. Det er i utgangspunktet i strid med formålet i helseregisterloven å bruke opplysningene til annet enn helseformål. Tillatelse til å behandle helseopplysninger må følge av lov eller hjemmel i lov. Tillatelse til å behandle helseopplysninger, som disse forskriftene gir, må også kunne sette skranker for hva opplysningene skal kunne brukes til. Forbudet må ses på bakgrunn av den systematiserte oversikt over helseforhold disse registrene kan gi. Det er ikke enkeltopplysningene i seg selv en ønsker å forby bruken av i forsikringsøyemed. Forbudet er nødvendig for befolkningens tillit til registrene. Forbudet er også nødvendig for å kunne ivareta hensynet til den personlige integritet, jf. formålsbestemmelsen i helseregisterloven.

Det heter i forskriftene at den databehandlingsansvarlige ved enhver registrering skal kunne dokumentere hvilke kodeverk eller klassifikasjoner som er brukt ved registreringen. Regelfesting av krav om dokumentasjon av dataene er nytt i forhold til alle de tre registrene, jf. blant annet helseregisterloven § 16 fjerde ledd.

Forskriftenes kapittel 3 gir særlige regler for behandling av opplysningene i registrene. Bestemmelsene er en oppfølging av NOU 1997: 26 om Tilgang til helseregistre, og er nytt regelverk, jf. helseregisterloven § 8 sjette ledd annet punktum. Hensikten med bestemmelsene er å legge til rette for økt utnyttelse av helseregisterdata.

Kapitlet inneholder bestemmelser om produksjon av statistikk (§ 3- 1), forskning internt i registrene (§ 3- 2), tilrettelegging og utlevering av data fra registrene til eksterne forskere eller annet bruk innenfor forskriftens formål (§ 3- 3), utlevering av ikke-koblede data til eksterne forskere eller annet bruk innen forskriftens formål (§ 3- 4), annen behandling av opplysningene, herunder opprettelse av personidentifiserbare forskningsregistre (§ 3- 5), plikt for registrene til å ha en informasjonsstrategi rettet mot brukergrupper (§ 3- 6), bestemmelse om dekning av kostnader (§ 3- 7), og en bestemmelse som pålegger angjeldende registre å føre oversikt over utleveringer av data.

Når det gjelder forespørsler etter statistiske opplysninger, og når det gjelder forespørsler etter ferdigstilte filer for uttrykkelig angitte forskningsprosjekter fra eksterne forskere, legger forskriften opp til en saksbehandlingstid på maksimalt 30 dager. Forespørselen skal besvares og effektueres innen 30 dager. Hensikten er økt utnyttelse av den informasjonen som finnes i registrene. En forutsetning for at en frist på 30 dager skal kunne overholdes, er at det foreligger en presis søknad om data. Departementet er kjent med at søknadene om forskningsdata kan være ufullstendige, og at det må gås flere runder før innholdet i søknaden er tilstrekkelig detaljert, slik at data kan leveres. I slike tilfeller kan det være vanskelig å levere data innen en frist på 30 dager. I slike tilfeller kan leveringen av data utsettes. Den databehandlingsansvarlige skal i så fall gi søkeren et foreløpig svar om grunnen til forsinkelsen. Dersom grunnen til at data vanskelig kan leveres, er at søknaden er ufullstendig, kan denne avhjelpes ved kommunikasjon, råd og veiledning fra registerets side.

Forskriftene kapittel 4 har bestemmelser om taushetsplikt, informasjonssikkerhet og internkontroll. Taushetspliktbestemmelsene er de samme som i helseregisterloven. Både forvaltninglovens regler om taushetsplikt og helsepersonellovens regler om taushetsplikt kommer til anvendelse. Dette betyr at en eventuell utlevering av opplysninger fra et sentralt helseregister må være tillatt både i henhold til forvaltningsloven og i henhold til helsepersonelloven.

Reglene om informasjonssikkerhet i forskriften er harmonisert til sikkerhetsreglene i personopplysningsforskriften ved at de henviser til denne forskriften.

Forskriftene kapittel 5 presiserer bestemmelsene om den registrerte innsynsrett. Den registrerte har innsynsrett i alle helseopplysninger som kan knyttes til den registrerte, uten hensyn til hvor opplysningene er lagret.

Forskriftene kapittel 6 inneholder en bestemmelse om bevaring av opplysninger i registret.

MSIS- og Tuberkuloseregisterforskriften kapittel 8 og SYSVAK-registerforskriften kapittel 7 inneholder en straffebestemmelse som gjelder ved overtredelse av bestemmelsene om meldeplikt til registeret og bestemmelsen om informasjonssikkerhet og internkontroll. Ytterligere sanksjonsmidler som pålegg og tvangsmulkt og erstatning er hjemlet i helseregisterloven. MSIS og Tuberkuloseregisterforskriften kapittel 9 og SYSVAK-registerforskriften kapittel 8 inneholder bestemmelse om forskriftens ikrafttreden.

2.4 NORM-registerforskriften

Forskriften etablerer et landsomfattende overvåkingssystem for antibiotikaresistens hos mikrober (NORM). Opplysningene i NORM er avidentifiserte helseopplysninger og omfattes av helseregisterloven. Det innebærer at det enten må gis en forskrift for NORM eller det må søkes Datatilsynet om konsesjon. Departementet foreslår i dette høringsnotatet at regler for NORM gis i forskrift. Begrunnelsen for dette er at NORM dels må anses å være etablert som et permanent register, og dels for bedre å synliggjøre reglene for overvåkingssystemet.

Forskriften regulerer innsamling og behandling av avidentifiserte helseopplysninger om personer som har avgitt prøve av nærmere bestemte mikrober innenfor forskriftens formål. Den databehandlingsansvarlige bestemmer i samråd med fagmiljøene hvilke mikrober og antibiotika som skal inkluderes i NORM (forskriften § 1-2). Deltagelse i NORM er basert på frivillighet (forskriften § 2-1). Helsepersonellet ved laboratorier som er inkludert i NORM, har imidlertid meldeplikt om nærmere bestemte opplysninger (forskriften § 2-2). Virksomheter som deltar i NORM, har ansvar for at pliktene oppfylles og at det finnes rutiner og standarder som sikrer dette (forskriften § 2-4).

Databehandlingsansvaret for NORM er i forskriften foreslått lagt til Nasjonalt folkehelseinstitutt (forskriften § 1-5), mens Universitetssykehuset i Nord-Norge HF fortsatt skal være databehandler (forskriften § 1-6). Det skal ikke flyttes ressurser eller oppgaver fra Universitetssykehuset i Nord-Norge HF eller bygges opp noe ved Nasjonalt folkehelseinstitutt utover at instituttet får et formalansvar for registeret etter forskriften.

Et viktig formål med opprettelsen av Nasjonalt folkehelseinstitutt fra 2002 har vært å samle landets helseregistre for å bedre selve registerkompetansen, for å øke utnyttelsen av registrene til overvåking og bedre muligheten for rask respons på helsetrusler. Å legge databehandlingsansvaret for NORM til Folkehelseinstituttet vil gi instituttet et bedre grunnlag til effektivt å kunne oppfylle lovpålagte oppgaver, herunder blant annet overvåke den nasjonale (og den internasjonale) epidemiologiske situasjonen. Dette vil også gi et bedre grunnlag for forslag til endringer av nasjonale strategier innenfor antibiotikaresistensfeltet når det er faglig påkrevet, samt at departementet vil ha ett organ å forholde seg til som også har forvaltningsoppgaver. Det vil gi bedre grunnlag for samordning av nasjonale og internasjonale forpliktelser i forhold til EU og WHO.

2.5 Endringer i andre forskrifter

I de nye forskriftene er det inntatt bestemmelser om at det skal føres oversikt over hvem som får utlevert opplysninger fra registrene, og at denne oversikten skal oppbevares i minst fem år. I de tilsvarende bestemmelsene i de vedtatte forskriftene om Dødsårsaksregisteret, Kreftregisteret og Medisinsk fødselsregister skal oversikten kun oppbevares i minst tre år. Det foreslås i høringsnotatet tatt inn en endring på dette punkt slik at oversikten over utleveringene etter alle forskriftene skal oppbevares i minst fem år. I ny forskrift om MSIS- og Tuberkuloseregisteret foreslås det at Nasjonalt folkehelseinstitutt som del av kvalitetskontrollen kan gjøre samkjøringer blant annet mot Dødsårsaksregisteret. En nødvendig konsekvens av dette er at Dødsårsaksregisterforskriften endres slik at Dødsårsaksregisteret som del av kvalitetskontrollen kan samkjøres med Meldingssystemet for smittsomme sykdommer og Tuberkuloseregisteret. Det foreslås i høringsnotatet inntatt en endring på dette punkt.

Tilsyn

Det følger av helseregisterloven at både Datatilsynet og Statens helsetilsyn skal føre tilsyn med at bestemmelsene i forskriftene etterleves.

Datatilsynets tilsynsmyndighet følger av personopplysningsloven § 42 og omfatter personvernfaglige forhold. Statens helsetilsyns tilsynsmyndighet følger av lov om statlig tilsyn med helsetjenesten og omfatter alt helsevesen og alt helsepersonell. Typiske personvernfaglige bestemmelser er reglene om informasjonssikkerhet i forhold til konfidensialitet, integritet og tilgjengelighet, samt individenes informasjons- og innsynsrett. Videre er det viktig å sikre at personidentifiserbare opplysninger bare anvendes til formål som er forutsatt ved innsamlingen av opplysningene, og ikke blir brukt til formål som er uforenlig med dette formålet. Tilsyn med at reglene om informasjonssikkerhet overholdes er også en oppgave for Statens helsetilsyn. Videre må Statens helsetilsyn føre tilsyn med om helsepersonell og virksomhetene oppfyller meldeplikten til registrene på en forsvarlig måte. Begge tilsynsmyndigheter vil ha ansvar for å føre tilsyn med at den nødvendige informasjonssikkerhet, herunder taushetsplikten, etterleves under forsendelsen av data. I virksomheter der både Datatilsynet og Statens helsetilsyn fører tilsyn, er det viktig at opplegget for tilsynsvirksomheten er omforent.

Økonomiske og administrative konsekvenser

Med unntak av forskriften om NORM etablerer ikke forskriftene noen nye registre, og er stort sett en videreføring av dagens regelverk. Hensikten med forskriftene er å gjøre behandlingen av helseopplysninger i MSIS og Tuberkuloseregisteret og SYSVAKregisteret mer kjent og få utnyttet dataene bedre. Forskriftene vil i all hovedsak ikke medføre økonomiske og administrative konsekvenser for registrene. God utnyttelse av SYSVAKregisteret forutsetter at kompetansen på koding styrkes noe på Nasjonalt folkehelseinstitutt. Det forutsettes at eventuelle merkostnader på dette punkt dekkes innen instituttets ramme. At meldeplikten utvides også til å omfatte mistanke om vaksinekomplikasjon, antas ikke å medføre kostnader av betydning.

Et viktig formål med forskriftene er å få utnyttet dataene i registrene bedre. Det er foreslått en tidsfrist på 30 dager for effektuering av forespørsler om data fra registrene, dersom ikke særlige forhold gjør det vanskelig å gjennomføre dette kravet. Det kan derfor tenkes å være økte kostnader forbundet med å overholde fristen. I tråd med gjeldende regler og med hjemmel i utkast til de tre forskriftene, kan det kreves betaling for arbeidet knyttet til sammenstilling og utlevering av data. Det understrekes imidlertid at betalingen ikke kan overstige de faktiske utgiftene ved tilrettelegging av opplysningene.

Forskriftene forutsetter at databehandlingsansvarlig har en mer aktiv informasjonsstrategi og –plan rettet mot forskning og forvaltning. Merkostnadene her må derfor anses som moderate, og må dekkes av de alminnelige driftsutgifter.

Registrertes innsynsrett og registrenes informasjonsplikt er utvidet i forhold til dagens konsesjoner. Antallet innsynsbegjæringer oppfattes imidlertid foreløpig å være så lavt at det ikke har vesentlige økonomiske konsekvenser.

Forskriftene stiller krav til at opplysningene i registrene skal kodes etter bestemte kodeverk og klassifikasjonssystemer, og at databehandlingsansvarlig kan dokumentere hvilke klassifikasjoner eller kodeverk som er brukt. Det forutsettes at eventuelle økte kostnader dekkes gjennom den ordinære driften.

Når det gjelder bestemmelsene om helsepersonells og virksomhetens meldeplikt til registrene, vil det bero på hvordan meldeplikten i dag gjennomføres om den vil medføre økonomiske kostnader. For de som etterlever dagens meldeplikt antas meldeplikten i forskriftene ikke å ha økonomiske konsekvenser av betydning.

NORM ble etablert som et permanent overvåkingssystem i 2000 som ledd i oppfølgingen av Tiltaksplan for å motvirke antibiotikaresistens (2000-2004). Fra 2003 vil samtlige av landets 26 mikrobiologiske laboratorier delta i NORM. NORM finansieres i sin helhet over Helsedepartementets tilskuddskapittel 719 post 70.

Utkast til forskrift om innsamling og behandling av opplysninger i Meldingssystem for smittsomme sykdommer og i Tuberkuloseregisteret og om varsling om smittsomme sykdommer (MSIS- og Tuberkuloseregisterforskriften)

Fastsatt ved kgl. res……. 2003 med hjemmel i lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger §§ 6, 8 fjerde ledd jf tredje ledd, 9 annet ledd, 16 fjerde ledd, 17 tredje ledd, 22 femte ledd, 27 annet ledd, lov 2. juli 1999 nr. 64 om helsepersonell mv § 37 og lov 5. august 1994 nr. 55 om vern mot smittsomme sykdommer § 2-3 fjerde ledd.

Fremmet av Helsedepartementet.

Kapittel 1 Generelle bestemmelser

§ 1-1 (Etablering av Meldingssystem for smittsomme sykdommer og et sentralt Tuberkuloseregister mv.)

Denne forskriften etablerer et landsomfattende Meldingssystem for smittsomme sykdommer (MSIS) og et sentralt Tuberkuloseregister. Forskriften gir regler for innsamling og behandling av helseopplysninger i registrene.

Innsamling og behandling av helseopplysninger i registrene kan skje manuelt og ved hjelp av elektroniske hjelpemidler.

Forskriften gir også bestemmelser om varsling av smittsomme sykdommer.

§ 1-2 (Innholdet i MSIS og i Tuberkuloseregisteret)

MSIS inneholder personidentifiserbare opplysninger om personer i Norge som er smittet med sykdommer som omfattes av gruppe A, jf. § 1-11 og avidentifiserte opplysninger om personer i Norge som er smittet med sykdommer som omfattes av gruppe B eller C, jf. § 1-11. Tuberkuloseregisteret inneholder personidentifiserbare opplysninger om personer i Norge som er smittet med tuberkulose jf. § 1-11.
Smittsomme sykdommer i gruppe A er sykdommer som det er nødvendig å overvåke med detaljerte opplysninger om hvert tilfelle av hensyn til smittevernet og internasjonale forpliktelser, jf. § 2-7.

Smittsomme sykdommer i gruppe B er visse seksuelt overførbare sykdommer, herunder hiv-infeksjon.

Smittsomme sykdommer i gruppe C er sykdommer der det er nødvendig med oversikt over situasjonen, men der det ikke er nødvendig med registrering av detaljerte opplysninger om enkelttilfeller.

§ 1-3 ( Registrenes formål)

MSIS skal bidra til overvåkingen av smittsomme sykdommer i Norge gjennom fortløpende og systematisk innsamling, analyse, tolkning og rapportering av opplysninger om forekomst av smittsomme sykdommer og dermed legge grunnlaget for å:

1. beskrive forekomsten av smittsomme sykdommer over tid og etter geografiske og
demografiske forhold,

2. oppdage og bidra til oppklaring av utbrudd av smittsomme sykdommer,

3. gi råd til publikum, helsepersonell og forvaltning om smitteverntiltak,
4. evaluere virkninger av smitteverntiltak og

5. drive, fremme og gi grunnlag for forskning om smittsomme sykdommers utbredelse
og årsaker.

Tuberkuloseregisteret skal i tillegg til formål nevnt i første ledd, legge grunnlaget for å evaluere virkninger av behandlingstiltak og sikre kvaliteten av disse.

Opplysninger i registrene kan foruten de formål som nevnt i første ledd for MSIS og i første og andre ledd for Tuberkuloseregisteret, behandles til styring, planlegging og kvalitetssikring av helsetjenesten og helseforvaltningen samt til utarbeiding av statistikk og til forskning.

§ 1-4 (Forbud mot bruk)

Opplysningene i registrene kan ikke anvendes til formål som er uforenlig med formål som nevnt i § 1-3.

Opplysninger om enkeltindivider som er fremkommet ved behandling av helseopplysninger etter forskriften, kan ikke brukes i forsikringsøyemed selv om den registrerte samtykker.

§ 1-5 (Databehandlingsansvarlig)

Nasjonalt folkehelseinstitutt er databehandingsansvarlig for innsamling og behandling av helseopplysninger i MSIS- og Tuberkuloseregisteret.

§ 1-6 (Databehandler)

Nasjonalt folkehelseinstitutt kan inngå skriftlig avtale med en databehandler om innsamling og behandling av helseopplysninger i registrene, herunder om overvåking og forskning, jf. § 1-3, drift og kvalitetssikring av registeret, samt utlevering av data til brukere.

§ 1-7 (Opplysninger i MSIS om tilfeller av smittsom sykdom i gruppe A og B og opplysninger i Tuberkuloseregisteret)

MSIS kan uten samtykke inneholde opplysninger som nevnt i tredje ledd om personer som har eller har hatt smittsom sykdom i gruppe A og B, jf. § 1-2.

Tuberkuloseregisteret kan uten samtykke inneholde opplysninger som nevnt i tredje ledd om personer som har eller har hatt tuberkulose eller om personer som oppdages som omslagere ved tuberkulinundersøkelse i grunnskolens 10. klasse, jf. forskrift om tuberkulosekontroll § 5-4.

Registrene kan inneholde følgende opplysninger i den utstrekning det er nødvendig for å nå formålet med registrene:

1. personopplysninger:

1.1. navn, fødselsnummer eller annen personentydig identifikasjon for personer
uten norsk fødselsnummer, sivilstand og yrke for smittsomme sykdommer i

gruppe A, fødselsmåned og -år og kjønn for smittsomme sykdommer i
gruppe B,

1.2. bostedsadresse for smittsomme sykdommer i gruppe A, bostedskommune for
smittsomme sykdommer i gruppe B,

1.3. fødeland, foreldres fødeland, tidspunkt for ankomst Norge og årsak til
oppholdet i Norge,

1.4. navn på arbeidssted, skole eller barnehage pasienten er tilknyttet,

2. administrative opplysninger:

2.1. institusjon/virksomhet der helsehjelp tilbys og ytes,

2.2. behandlingsansvarlig leges, fastleges eller meldende leges navn og adresse

2.3. institusjonsopphold, innleggelsesdato, utskrivingsdato,

3. medisinske opplysninger, jf. § 1-3:

3.1. om diagnose og diagnosegrunnlag,

3.2. om smittestoffet, inkludert resistens,

3.3. om disponerende og forebyggende faktorer,

3.4 Tuberkuloseregisteret kan i tillegg inneholde opplysninger om sykdomsforløp
og behandling av tuberkulose,

4. epidemiologiske opplysninger, jf. § 1-3:

4.1. om smitteforhold og smitteoppsporing

4.2. om varsling.

§ 1-8 (Opplysninger i MSIS om tilfeller av smittsom sykdom i gruppe C)

MSIS kan uten samtykke inneholde følgende opplysninger om personer som har eller har hatt smittsom sykdom i gruppe C, jf. § 1-2 og § 1-11:

1. personopplysninger:

1.1. fødselsår,

1.2. kjønn,

1.3. bostedskommune,

2. administrative opplysninger:

2.1. institusjon/virksomhet der helsehjelp tilbys og ytes,

2.2. laboratorium der diagnosen er stilt,

3. medisinske opplysninger, jf. § 1-3:

3.1. infeksjonssykdommens lokalisasjon

3.2. diagnosens grunnlag.

§ 1-9 (Opplysninger om dødsårsak)

Registrene kan inneholde personidentifiserbare og avidentifiserte opplysninger i samsvar med §§ 1-7 og 1-8 om dødsårsak og dødsdato for alle som er registrert i registrene.

§ 1-10 (Koding og klassifisering av opplysningene i registrene, krav til dokumentasjon)

Nasjonalt folkehelseinstitutt skal ved enhver registrering i registrene kunne dokumentere hvilke klassifikasjoner eller kodeverk som er benyttet.

Departementet kan gi nærmere bestemmelser om hvilke nasjonale eller internasjonale kodeverk og klassifikasjoner som skal benyttes ved registrering av opplysninger i registrene.

§ 1-11 (Meldingspliktige sykdommer)

Departementet gir nærmere bestemmelser om hvilke smittsomme sykdommer som tilhører gruppe A, B eller C, og som skal meldes til registrene.

Kapittel 2 Melding av helseopplysninger til registrene, kvalitetskontroll m.v.

§ 2-1 (Legers meldingsplikt)

Enhver lege som oppdager eller får mistanke om smittsom sykdom i gruppe A eller B, skal uten hensyn til taushetsplikt skriftlig melde opplysninger som nevnt i § 1-7 jf. § 2-2 til Nasjonalt folkehelseinstitutt og til kommunelegen i den kommunen der den smittede bor. Dersom den smittede oppholder seg i en annen kommune enn der vedkommende bor, skal det også gis melding til kommunelegen i den kommunen der den smittede oppholder seg. For tuberkulose skal meldingen i tillegg sendes tuberkulosekoordinator. Meldingen skal sendes samme dag som sykdommen er oppdaget eller mistenkt. Kopi av meldingen skal oppbevares i pasientens journal.

Leger som er utpekt av Nasjonalt folkehelseinstitutt, og som oppdager smittsom sykdom i gruppe C, skal uten hensyn til taushetsplikt skriftlig melde opplysninger som nevnt i § 1-8 til Nasjonalt folkehelseinstitutt. Samlemelding skal sendes for tidsperioder definert av Nasjonalt folkehelseinstitutt.

§ 2-2 (Meldingsskjema, formkrav)

Melding av opplysninger som nevnt i § 2-1, skal skje på skjema eller på annen måte fastsatt av departementet.

Departementet kan gi pålegg om bruk av bestemte klassifikasjonssystemer og kodeverk ved registrering av opplysningene, og gi pålegg om bruk av standardiserte meldingsformater ved forsendelsen av opplysningene.

§ 2-3 (Meldingsplikt for laboratorier)

Når et laboratorieresultat indikerer at en pasient har en smittsom sykdom i gruppe A, skal laboratoriet samme dag sende melding til Nasjonalt folkehelseinstitutt i form av kopi av svarskjema til rekvirerende lege eller på annen måte som inkluderer de samme opplysningene som på svarskjemaet. Samme dag skal laboratoriet sende et meldingsskjema som nevnt i § 2-2 til den rekvirerende lege. For tuberkulose skal melding i tillegg sendes tuberkulosekoordinatoren.

Når et laboratorieresultat indikerer at en pasient har en smittsom sykdom i gruppe B, skal laboratoriet samme dag sende melding til Nasjonalt folkehelseinstitutt i form av laboratoriedelen av meldingsskjema som nevnt i § 2-2. Samme dag skal laboratoriet sende resten av meldingsskjemaet til den rekvirerende lege.

Mikrobiologiske laboratorier som er utpekt av Nasjonalt folkehelsinstitutt, og som oppdager smittsom sykdom i gruppe C, skal uten hensyn til taushetsplikt skriftlig melde opplysninger som nevnt i § 1-8 til Nasjonalt folkehelseinstitutt. Samlemelding skal sendes for tidsperioder definert av Nasjonalt folkehelseinstitutt.

§ 2-4 (Referanselaboratorier)

Dersom det er nødvendig for å bekrefte en laboratorieundersøkelse som indikerer en meldingspliktig smittsom sykdom, eller dersom det er nødvendig med utfyllende undersøkelser for å karakterisere et smittestoff som har forårsaket slik sykdom, skal laboratoriet jf. § 2-3 også sende smittestoffet eller prøvematerialet til referanseundersøkelse ved et laboratorium som av departementet har fått tildelt en slik referansefunksjon.

Referanselaboratorium som bekrefter, avkrefter eller utfyller et funn som et annet laboratorium har gjort, har ansvar for at det finnes rutiner som sikrer at meldingsplikten til Nasjonalt folkehelseinstitutt overholdes, uansett om rekvirerende laboratorium har eller kan ha sendt melding.

Departementet gir nærmere bestemmelser om ved hvilke sykdommer slik innsending av smittestoff eller prøvemateriale skal skje.

§ 2-5 (Virksomhetens plikter)

Helseinstitusjon, poliklinikk, helsesenter, mikrobiologisk laboratorium, klinisk kjemisk laboratorium, patologisk laboratorium eller annen virksomhet som er ansvarlig for registrering av opplysninger som skal meldes til MSIS og Tuberkuloseregisteret, jf. §§ 1-7 og 1-8, har ansvar for at pliktene som nevnt i §§ 2-1 til 2-4 oppfylles, og skal sørge for at det finnes rutiner som sikrer dette, jf forskriften §§ 4-2 og 4-3.

§ 2-6 (Mottakers ansvar for kvalitetskontroll)

Nasjonalt folkehelseinstitutt skal sørge for at helseopplysninger som innsamles og behandles i registrene, er korrekte, relevante og nødvendige for de formål de innsamles for, jf. § 1-3.

Som ledd i kvalitetskontrollen kan Nasjonalt folkehelseinstitutt etablere kontakt med lege som har diagnostisert eller behandlet pasienten, eller med pasientens fastlege og gjøre samkjøringer mot Det sentrale folkeregister, Dødsårsaksregisteret og Rikshospitalets apoteks lister over pasienter som har fått foreskrevet legemidler mot tuberkulose.

Dersom det er nødvendig for rask oppklaring av et utbrudd av smittsom sykdom, kan Nasjonalt folkehelseinstitutt eller kommunelegen etablere kontakt også med pasienten eller dens foreldre eller andre med foreldreansvar. Det kan ikke spørres om flere opplysninger enn det som er nødvendig for å registrere opplysningene som er nevnt for den aktuelle sykdommen i §§ 1-7 og 1-8.

Dersom meldingsskjema er mangelfullt utfylt, skal avsenderen av skjema varsles, jf. helseregisterloven § 9 annet ledd annet punktum. Ved fortsatt mangelfull utfylling skal Statens helsetilsyn varsles.

§ 2-7 (Rapportering fra registrene)

Nasjonalt folkehelseinstitutt skal sørge for regelmessig rapportering om forekomsten av smittsomme sykdommer, jf. § 1-3, gjennom å offentliggjøre ukentlige og årlige oversikter om forekomst av smittsomme sykdommer i hver kommune. Det må ikke offentliggjøres opplysninger som kan knyttes til enkeltpersoner.

Nasjonalt folkehelseinstitutt skal ivareta rapportering av forekomst av smittsomme sykdommer i Norge til Verdens helseorganisasjon og Den europeiske union, jf. Råds- og Parlamentsbeslutning 2119/98/EF. Slike opplysninger skal være avidentifiserte.

Kapittel 3 Behandling av helseopplysninger i registrene

§ 3-1 (Sammenstilling av opplysninger for fremstilling av statistikk)

Opplysninger i MSIS og Tuberkuloseregisteret kan sammenstilles (kobles) med hverandre og med opplysninger i Medisinsk fødselsregister, Dødsårsaksregisteret, Kreftregisteret og System for vaksinasjonskontroll dersom det gjøres av den databehandlingsansvarlige for ett av de nevnte registrene eller en virksomhet departementet bestemmer, og resultatet av sammenstillingen fremkommer i anonymisert form.

Den databehandlingsansvarlige skal normalt effektuere forespørsler om statistiske opplysninger som nevnt i første ledd fra forvaltningen og forskere innen 60 dager fra den dagen bestillingen kom inn. Dersom særlige forhold gjør det umulig å effektuere forespørselen innen fristen, kan effektueringen utsettes inntil det er mulig å oppfylle den. Den databehandlingsansvarlige skal i så fall gi et foreløpig svar med opplysninger om forespørselen kan effektueres, om grunnen til forsinkelsen og sannsynlig tidspunkt for når bestillingen kan effektueres.

Helseopplysninger som mottas for fremstilling av statistikk etter første ledd, skal slettes så snart statistikkfremstillingen er tilfredsstillende gjennomført.

§ 3-2 (Sammenstilling av opplysninger i registrene med opplysninger i andre registre for forskning m.v.)

Nasjonalt folkehelseinstitutt kan sammenstille opplysninger i MSIS og Tuberkuloseregisteret med hverandre og med opplysninger i helseregistre som nevnt i § 3-1 første ledd, for uttrykkelig angitte formål innen de først nevnte registrenes formål, jf. forskriften § 1-3, dersom det er ubetenkelig ut fra etiske hensyn og databehandleren (forskeren) bare skal behandle avidentifiserte opplysninger.

Sammenstilte helseopplysninger kan ikke lagres før navn, fødselsdag og personnummer er slettet eller kryptert. Direkte personidentifiserende opplysninger (navn og fødselsnummer) som mottas for behandlingen, skal slettes så snart sammenstillingen (koblingen) er tilfredsstillende gjennomført.

Alle opplysninger som inngår i behandlingen etter første og annet ledd, skal slettes ved prosjektavslutning.

§ 3-3 (Utlevering av sammenstilte datafiler til forskning m.v.)

Avidentifiserte opplysninger som nevnt i § 3-2 første ledd skal etter søknad gjøres tilgjengelig for og utleveres til forskning, eventuelt annet uttrykkelig angitt formål innenfor registrenes formål, jf. forskriften § 1-3, dersom:

- mottakeren bare skal behandle avidentifiserte opplysninger,

- behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn, og

- sammenstillingen og tilretteleggingen av dataene gjøres av databehandlingsansvarlig
for et av de registrene hvis opplysninger behandles, eller i en virksomhet
departementet bestemmer.

Forskriften § 3-2 annet ledd gjelder tilsvarende.

Den databehandlingansvarlige skal utlevere eller overføre nødvendige og relevante data til den ansvarlige for det angitte prosjektet innen 60 dager fra den dagen søknaden kom inn. Rettsgrunnlaget for behandlingen av opplysningene skal fremgå av søknaden, jf. første ledd.

Dersom særlige forhold gjør det umulig å effektuere søknaden innen den angitte fristen, kan effektueringen utsettes inntil det er mulig å oppfylle den. Den databehandlingsansvarlige skal i så fall gi et foreløpig svar med opplysninger om forespørselen kan effektueres, om grunnen til forsinkelsen og sannsynlig tidspunkt for når søknaden kan effektueres.

Alle opplysninger som inngår i behandlingen etter denne paragrafen, skal slettes eller tilbakeleveres ved prosjektavslutning.

§ 3-4 (Plikt til å utlevere ikke koblede data til forskning m.v.)

Nasjonalt folkehelseinstitutt skal etter forespørsel fra forvaltningen og forskere utlevere statistiske opplysninger fra MSIS og Tuberkuloseregisteret innen 30 dager fra den dagen forespørselen kom inn.

Nasjonalt folkehelseinstitutt skal etter søknad utlevere avidentifiserte opplysninger fra registrene dersom

- opplysningene skal brukes til et uttrykkelig angitt formål innenfor registerets formål,

- mottakeren bare skal behandle avidentifiserte opplysninger og

- behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn.

Nasjonalt folkehelseinstitutt skal utlevere eller overføre nødvendige og relevante

data til den ansvarlige for det angitte prosjektet innen 30 dager fra den dagen søknaden kom inn. Rettsgrunnlaget for behandlingen av opplysningene skal fremgå av søknaden.

Forskriften § 3-3 tredje og fjerde ledd gjelder tilsvarende.

§ 3-5 (Utlevering og annen behandling av opplysninger i registrene)

Personidentifiserende opplysninger i MSIS og Tuberkuloseregisteret kan, med mindre annet følger av denne forskriften, bare behandles (sammenstilles, utleveres etc.) etter tillatelse fra Datatilsynet og i samsvar med de alminnelige regler om taushetsplikt.

Sosial- og helsedirektoratet skal svare på forespørsler om utlevering av personidentifiserende opplysninger for bruk i uttrykkelig angitte forskningsprosjekter innen 30 dager fra den dagen forespørselen kom inn. Dersom særlige forhold gjør det umulig å svare på forespørselen innen den angitte fristen, kan svaret utsettes inntil det er mulig å gi svar. Sosial- og helsedirektoratet skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis.

§ 3-6 (Informasjonsstrategi rettet mot brukergrupper)

For å fremme bruk av data fra registrene og for å bygge opp informasjon og kunnskap, jf. forskriften § 1-3, skal Nasjonalt folkehelseinstitutt ha en aktiv informasjonsstrategi og -plan rettet mot så vel helseforvaltningen, helsetjenesten og øvrig forvaltning, som mot forskere innen medisinsk forskning, helsetjenesteforskning og samfunnsforskning.

§ 3-7 (Kostnader)

Nasjonalt folkehelseinstitutt kan kreve betaling for behandling og tilrettelegging av opplysninger etter §§ 3-1 til 3-5. Betalingen skal ikke overstige de faktiske utgiftene ved slik behandling og tilrettelegging av opplysningene.

§ 3-8 (Oversikt over utleveringer)

Nasjonalt folkehelseinstitutt skal føre oversikt over hvem som får utlevert opplysninger fra registrene og hjemmelsgrunnlaget for utleveringene. Oversikten skal oppbevares i minst fem år etter at utlevering har funnet sted.

Kapittel 4 Taushetsplikt, informasjonssikkerhet og internkontroll

§ 4-1 (Taushetsplikt)

Enhver som behandler helseopplysninger etter denne forskriften, har taushetsplikt etter forvaltningsloven §§ 13 til 13e, samt etter helsepersonelloven.

Taushetsplikten etter første ledd gjelder også pasientens fødested, fødselsdato, personnummer, pseudonym, statsborgerforhold, sivilstand, yrke, bopel og arbeidssted.

Opplysninger til andre forvaltningsorganer etter forvaltningsloven § 13 b nr. 5 og 6 kan bare gis når det er nødvendig for å bidra til løsning av oppgaver etter forskriften her, eller for å forebygge vesentlig fare for liv eller alvorlig skade for noens helse.

§ 4-2 (Informasjonssikkerhet)

Nasjonalt folkehelseinstitutt og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, kvalitet og tilgjengelighet ved behandling av helseopplysninger etter forskriften, jf. helseregisterloven § 16 flg.

Der behandling av helseopplysningene skjer helt eller delvis med elektroniske hjelpemidler, gjelder bestemmelsene om informasjonssikkerhet i personopplysningsforskriften §§ 2-1 til 2-16.

§ 4-3 (Plikt til internkontroll)

Nasjonalt folkehelseinstitutt skal etablere internkontroll i samsvar med helseregisterloven § 17. De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang som er nødvendig for å etterleve krav gitt i eller i medhold av helseregisterloven, med særlig vekt på bestemmelser gitt i medhold av helseregisterloven § 16.

Databehandleren som behandler helseopplysninger på vegne av Nasjonalt folkehelseinstitutt, skal behandle opplysninger i samsvar med rutiner Nasjonalt folkehelseinstitutt har oppstilt.

§ 4-4 (Internkontrollens innhold)

Internkontrollen innebærer at den databehandlingsansvarlige skal ha kunnskap om gjeldende regler om behandling av helseopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av rutiner, samt ha denne dokumentasjonen tilgjengelig for dem det måtte angå.

Internkontrollen skal blant annet inneholde:

1. oversikt over hvordan virksomheten er organisert,

2. oversikt over ansvars- og myndighetsforhold,

3. oversikt over de krav i og i medhold av helseregisterloven som gjelder for
virksomheten,

4. rutiner virksomheten følger for å sikre overholdelse av kravene, herunder rutiner for:

4.1. oppfyllelse av krav om at personidentifiserende opplysninger bare behandles

når dette er nødvendig for å fremme formålet med behandlingen av
opplysningene, og i tråd med gjeldende bestemmelser om taushetsplikt, jf.
helseregisterloven §§ 11 og 15,

4.2. dokumentasjon og kvalitetskontroll av helseopplysningene, jf. forskriften
§ 1-10 og § 2-6,

4.3. oppfyllelse av begjæringer om informasjon og innsyn, jf. helseregisterloven
§§ 21 til 25, samt forskriften § 5-2,

4.4. hvordan virksomheten oppfyller bestemmelsene om tilgang til helseregistre,
jf. §§ 3-1, 3-3, 3-4 og 3-5,

4.5. oppfyllelse av reglene om meldeplikt til Datatilsynet, jf. helseregisterloven
§ 29,

5. rutiner virksomheten følger dersom avvik oppstår, og opplysninger om hvem som er
ansvarlig,

6. rutiner virksomheten følger for å hindre gjentakelse av avvik, og opplysninger om
hvem som er ansvarlig,

7. rutiner for hvordan virksomheten systematisk og regelmessig gjennomgår sin
internkontroll for å kontrollere at aktivitetene og resultatene av dem stemmer
overens med det system virksomheten har fastlagt, og om det medfører oppfyllelse
av helseregisterlovgivningen,

8. rutiner for hvordan virksomheten sikrer seg at alle aktuelle og kun gjeldende rutiner
blir benyttet, og

9. rutiner for hvordan virksomheten sikrer at de ansatte har tilstrekkelig kompetanse til
å overholde forskriftens krav.

Skriftlig dokumentasjon skal minst omfatte dokumentasjon av rutiner som nevnt i annet ledd nr. 1 til 8. Tilsynsmyndighetene kan gi pålegg om skriftlig dokumentasjon ut over dette, dersom det anses påkrevet. Tilsynsmyndigheten kan dispensere fra hele eller deler av dette kapittel når særlige forhold foreligger.

Kapittel 5 Den registrertes rett til informasjon og innsyn

§ 5-1 (Den meldende leges plikt til å informere)

Når en lege som har meldingspliktig etter § 2-1 første ledd, gir melding om smittsom sykdom i gruppe A eller B, skal legen informere den meldingen angår, om hvem som skal få meldingene og hva de skal brukes til. Legen bør søke pasientens medvirkning til å gjøre opplysningene i meldingsskjemaet så korrekte som mulig.

§ 5-2 (Den registrertes rett til informasjon og innsyn)

Registrerte har rett til informasjon om registrene og innsyn i behandling av helseopplysninger om seg selv i samsvar med helseregisterloven §§ 22 til 25.

Innsyn i helseopplysninger om en selv, jf. helseregisterloven § 22 annet ledd, skal fortrinnsvis gis gjennom den registrertes sist behandlende lege og helseinstitusjon. Informasjonen skal gis i en forståelig form.

§ 5-3 (Informasjon og innsyn når den registrerte er mindreårig)

Foreldre eller andre med foreldreansvar har rett til innsyn etter regler tilsvarende dem i pasientrettighetsloven § 3-4.

§ 5-4 (Frist for å svare på henvendelser om innsyn)

Begjæringer om innsyn etter § 5-2 skal besvares uten ugrunnet opphold og senest innen 30 dager fra den dagen henvendelsen kom inn, jf. helseregisterloven § 19.

Dersom særlige forhold gjør det umulig å svare på henvendelsen innen 30 dager, kan gjennomføringen utsettes inntil det er mulig å gi svar. Den databehandlingsansvarlige skal i såfall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis.

Kapittel 6 Bevaring av opplysninger i registrene

§ 6-1 (Bevaring av helseopplysninger)

Opplysninger i registrene skal oppbevares i ubegrenset tid, med mindre annet følger av denne forskriften eller helseregisterloven § 26 eller § 28.

Kapittel 7 Varsling om smittsomme sykdommer

§ 7-1 (Varsling om smittsomme sykdommer)

Varsling om smittsom sykdom kommer i tillegg til den skriftlige meldingen, jf. kapittel 2. For smittsom sykdom i gruppe A og B jf. § 1-2, kan varslet inneholde de opplysninger som går fram av § 1-7.

Departementet gir nærmere bestemmelse om hvilke smittsomme sykdommer i gruppe A og B som det skal varsles om.

§ 7-2 (Helsepersonellets varslingsplikt)

Lege, sykepleier, jordmor eller helsesøster som mistenker eller påviser et tilfelle av smittsom sykdom jf. § 7-1 annet ledd, skal varsle kommunelegen. Dersom det ikke er mulig å få varslet kommunelegen, skal de varsle Nasjonalt folkehelseinstitutt.

Kommunelegen skal varsle Nasjonalt folkehelseinstitutt.

Nasjonalt folkehelseinstitutt skal, dersom mistanken ikke raskt kan avkreftes, varsle Sosial- og helsedirektoratet og Statens helsetilsyn om de samme sykdomstilfeller.

§ 7-3 (Varsling om utbrudd av smittsom sykdom)

Leger som mistenker eller påviser et utbrudd utenfor helseinstitusjon av smittsomme sykdommer som skal meldes til registrene, utbrudd av andre særlig alvorlige sykdommer, utbrudd som mistenkes å ha sammenheng med næringsmidler eller særlig omfattende utbrudd, skal varsle kommunelegen.

Kommunelegen skal, dersom mistanken ikke raskt kan avkreftes, varsle Nasjonalt folkehelseinstitutt.

Nasjonalt folkehelseinstitutt skal varsle Sosial- og helsedirektoratet og Statens helsetilsyn om de samme utbrudd, dersom de er alvorlige.

§ 7-4 (Varsling om utbrudd i helseinstitusjon av smittsom sykdom)

Mistenkte eller påviste utbrudd av smittsomme sykdommer i sykehus eller annen institusjon som er omfattet av lov om spesialisthelsetjenesten m.m. § 1-2, skal omgående varsles til Nasjonalt folkehelseinstitutt med kopi til det regionale helseforetakets kompetansesenter for sykehushygiene. Nasjonalt folkehelseinstitutt skal varsle Sosial- og helsedirektoratet og Statens helsetilsyn om de samme utbrudd, dersom de er alvorlige.

Mistenkte eller påviste utbrudd av smittsomme sykdommer i kommunal helseinstitusjon, skal varsles til kommunelegen. Kommunelegen skal, dersom mistanken ikke raskt kan avkreftes, varsle Nasjonalt folkehelseinstitutt. Nasjonalt folkehelseinstitutt skal varsle Sosial- og helsedirektoratet og Statens helsetilsyn om de samme utbrudd, dersom de er alvorlige.

§ 7-5 (Varsling om overlagt spredning av smittestoffer)

Leger som mistenker eller påviser tilfeller av smittsomme sykdommer som kan være forårsaket av overlagt spredning av smittestoffer, skal varsle kommunelegen og Nasjonalt folkehelseinstitutt. Nasjonalt folkehelseinstitutt skal varsle Sosial- og helsedirektoratet og Statens helsetilsyn om de samme sykdomstilfeller.

§ 7-6 (Varsling om smitte fra utstyr m.v.)

Leger som mistenker eller påviser tilfeller av smittsomme sykdommer som kan være forårsaket av smitte fra medisinsk utstyr, kosmetika, legemidler, blod, blodprodukter, vev eller organer, skal varsle Nasjonalt folkehelseinstitutt. Nasjonalt folkehelseinstitutt skal varsle Statens legemiddelverk, Sosial- og helsedirektoratet og Statens helsetilsyn om de samme sykdomstilfeller.

§ 7-7 (Varsling om mulig smitte fra helseinstitusjon)

Behandlingsansvarlige leger i helseinstitusjon som finner at en pasient overført fra en annen helseinstitusjon har en smittsom sykdom, skal varsle lege ved den andre institusjonen, dersom det er nødvendig av hensyn til smittevernet.

§ 7-8 (Varsling om mulig smitte fra næringsmidler)

Kommuneleger som får opplysninger om påvist eller mistenkt smittsom sykdom som kan være overført med næringsmidler, skal varsle det lokale næringsmiddeltilsynet. Varslet skal inneholde opplysninger om den antatte sykdommen og det antatte smittetidspunktet, pasientens alder og bostedskommune, samt eventuelt hvilket næringsmiddel som er mistenkt og hvor det ble frambudt.

§ 7-9 (Varsling om mulig smitte fra dyr)

Kommuneleger som får opplysninger om påvist eller mistenkt smittsom sykdom som kan skyldes smitte fra dyr, skal varsle distriktsveterinæren. Varslet skal inneholde opplysninger om den antatte sykdommen og det antatte smittetidspunktet, pasientens alder og bostedskommune, samt eventuelt hvilket dyr som er mistenkt og hvor det befinner seg.

§ 7-10 (Varsling om mulig smitte fra blodgiver)

Laboratorier og leger som i sin yrkespraksis finner at en blodgiver er smittet av en sykdom som kan overføres med blod eller blodprodukter, skal varsle blodbanken den smittede har donert blod ved. Varslet skal inneholde blodgiverens navn, adresse og fødselsnummer og hvilken sykdom som er påvist. Blodbanken skal varsle Statens legemiddelverk, men uten personidentifiserende opplysninger.

Kapittel 8 Straff

§ 8-1 (Straff)

Den som forsettelig eller grovt uaktsomt overtrer bestemmelser fastsatt i denne forskriften §§ 2-1, 2-3, 2-4, 2-5 og §§ 4-2 til 4-4, straffes med bøter eller fengsel inntil ett år eller begge deler.

Medvirkning straffes på samme måte.

Kapittel 9 Avsluttende bestemmelser

§ 9-1 (Ikraftsetting)

Forskriften trer i kraft . Fra samme tidspunkt oppheves forskrift av 30. desember 1994 nr. 1224 om leger og annet helsepersonells melding og varsling av smittsomme sykdommer.

Merknader til de enkelte kapitler og paragrafer i utkast til forskrift

Merknadene er en veiledning som utdyper innholdet i de enkelte bestemmelsene i forskriften. Merknadene er i seg selv ikke bindende. Forskriften og veiledningen må leses i sammenheng for å få en best mulig forståelse av forskriftens bestemmelser.

Til § 1-1 Etablering av MSIS og Tuberkuloseregisteret

I 1962 ble Det sentrale tuberkuloseregister opprettet ved Statens skjermbildefotografering, senere Statens helseundersøkelser. I 1974 ble Meldesystem for infeksjonssykdommer opprettet ved Statens institutt for folkehelse. Registrene ble regulert i forskrift av 20. oktober 1996 om tuberkulosekontroll og forskrift 30. desember 1994 om leger og annet helsepersonells melding og varsling av smittsomme sykdommer.

Lov 18. mai 2001 om helseregistre og behandling av helseopplysninger, som trådte i kraft 1. januar 2002, har som formål å gi rettsgrunnlag for data- og informasjonsbehandlingen av helseopplysninger i helseforvaltningen og i helsetjenesten. Loven § 8 tredje ledd slår fast at personopplysninger kan behandles uten samtykke fra den registrerte i den utstrekning det er nødvendig for å nå formålet med registrene i registre som Meldesystemet for smittsomme sykdommer (MSIS) og i Det sentrale tuberkuloseregisteret. Helseregisterloven forutsetter at det skal være to slike smittevernregistre, og dette er bakgrunnen for at det foreslås en felles forskrift som regulerer både MSIS- og Tuberkuloseregisteret. Databehandlingsansvaret for begge registrene er lagt til Nasjonalt folkehelseinstitutt.

Forskriften gir regler for innsamling og behandling av helseopplysninger i registeret.

Det heter i annet ledd at innsamling og behandling av helseopplysninger i registrene kan skje manuelt og ved hjelp av elektroniske hjelpemidler. Forutsetningen for bruk av elektroniske hjelpemidler er at tilstrekkelig informasjonssikkerhet kan opprettholdes ved bruk av slike hjelpemidler. Tilstrekkelig informasjonssikkerhet henspiller på integritet, konfidensialitet, tilgjengelighet og kvalitet. Kravet til konfidensialitet innebærer at bestemmelsene om taushetsplikt må kunne overholdes. Taushetsplikt innebærer ikke bare en passiv plikt til å tie, men er også en aktiv plikt til å hindre uvedkommende i å få tilgang til taushetsbelagt informasjon. Dersom bestemmelsene om taushetsplikt ikke kan overholdes ved bruk av elektroniske hjelpemidler, kan slike hjelpemidler ikke benyttes.

Til § 1-2 Innholdet i MSIS og i Tuberkuloseregisteret

Bestemmelsen angir innholdet i registrene. MSIS kan inneholde opplysninger om personer som er smittet med nærmere bestemte smittsomme sykdommer og som er inndelt i ulike sykdomsgrupper. Sykdommer i gruppe A er sykdommer som etter forskriften skal meldes med full pasientidentitet. Av hensyn til smittevernet og internasjonale forpliktelser er det nødvendig å overvåke disse sykdommene nøye. Sykdommer i gruppe B er sykdommer som etter forskriften skal meldes med avidentifiserte opplysninger, men med en melding per pasient. Dette fordi det er grunn til å tro at meldingsplikt med navn kan føre til at mulig smittede avstår fra å la seg undersøke. Hiv-infeksjon og andre seksuelt overførbare sykdommer er omfattet av gruppe B. Sykdommer i gruppe C er sykdommer som normalt skal meldes som summariske tabeller over antall tilfeller. Dette er sykdommer som det av hensyn til smittevernet ikke er nødvendig med detaljert overvåkning av.

Tuberkuloseregisteret kan inneholde personidentifiserbare opplysninger om personer i Norge som er smittet med tuberkulose eller personer som oppdages som omslagere ved tuberkulinundersøkelse i grunnskolens 10. klasse, jf forskriften § 1-7.

Det er Helsedepartementet, jf forskriften § 1-11, som gir nærmere bestemmelser om hvilke smittsomme sykdommer som tilhører de ulike sykdomsgruppene.

Til § 1-3 Registrenes formål

MSIS er både et helseregister for oversikt over og forskning på smittsomme sykdommer og et verktøy i det praktiske smittevernarbeidet. Derfor er rask melding til MSIS og tidlig bruk av opplysningene viktig. God overvåking er kjennetegnet ved at data fører til handling. Tuberkuloseregisteret skal i tillegg evaluere virkningen av behandlingsvedtak blant annet for å bedre kvaliteten av disse. Bestemmelsen tar sikte på å dekke formål som i dag fremgår av gjeldende forskrift om leger og annet helsepersonells melding og varsling av smittsomme sykdommer, og formålet med overvåkning av tuberkulose som forskrift om tuberkulosekontroll bygger på.

Tredje ledd angir hvilke andre formål opplysningene i registrene kan brukes til. Det tenkes her særlig på tiltak som styrker helsetjenesten og helseforvaltningen. Også ved bruk av opplysninger fra registrene til statistikk og forskning, som ikke fremgår av første ledd, er det et overordnet krav om at bruken skjer for å fremme helsemessige formål.

Til § 1–4 Forbud mot bruk

Bestemmelsen forbyr bruk av opplysninger i registrene til visse formål.

Det heter i første ledd at opplysningene i registrene ikke kan anvendes til formål som er uforenelig med formålet til registrene som er nevnt i § 1-3. Bestemmelsen følger naturlig av helseregisterloven § 11 tredje ledd. Spørsmålet om bruk av opplysningene er uforenlig med formål som nevnt i § 1-3 må avgjøres konkret.

I annet ledd følger det at opplysninger om enkeltindivider som er fremkommet ved behandling av helseopplysninger i disse registrene, ikke kan brukes i forsikringsøyemed selv om den registrerte samtykker. Forbudet er viktig for å opprettholde folks tillit til registrene. Ved å sette et absolutt forbud mot bruk av opplysningene i forsikringsøyemed unngår man at den registrerte føler seg presset av et forsikringsselskap til å be om innsyn i registrene for å kunne gi opplysninger til selskapet som grunnlag for en forsikringsavtale.

Til § 1-5 Databehandlingsansvarlig

Bestemmelsen fastslår at Nasjonalt folkehelseinstitutt er databehandlingsansvarlig for innsamling og behandling av opplysninger i registrene. Ansvarsplasseringen ivaretar hensynet til en samlet og overordnet styring av landets sentrale epidemiologiske helseregistre.

Til § 1–6 Databehandler

I følge bestemmelsen kan Nasjonalt folkehelseinstitutt inngå skriftlig avtale med en databehandler om innsamling og behandling av helseopplysninger i registrene.

Databehandler er i helseregisterloven § 2 nr. 9 definert som den som behandler helseopplysninger på vegne av den databehandlingsansvarlige. Det følger av helseregisterloven § 18 at en databehandler ikke kan behandle helseopplysninger på annen måte enn det som er skriftlig avtalt med den databehandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til andre for lagring eller bearbeidelse.

Det følger av helseregisterloven §§ 29 og 30 at Datatilsynet skal informeres om navn og adresse til eventuell databehandler, og om hvem som har det daglige ansvaret for å oppfylle den databehandlingsansvarliges plikter etter forskriften.

Til § 1-7 Opplysninger i MSIS og i Tuberkuloseregisteret om tilfeller av smittsom sykdom i gruppe A og B

Det følger av helseregisterloven § 8 tredje ledd at registrene kan inneholde personidentifiserbare opplysninger uten at den registrerte har samtykket, i den utstrekning det er nødvendig for å nå målet med registeret. Forskriften § 1-7 spesifiserer hvilke typer opplysninger som kan registeres og behandles i MSIS og i Tuberkuloseregisteret uten samtykke fra verken den registrerte eller dennes pårørende.

Bestemmelsens nr. 1 referer seg til personlige opplysninger som skal registeres, herunder navn og fødselsnummer. For personer uten norsk fødselsnummer kan registrene inneholde annen identifikasjon for eksempel passnummer.

Bestemmelsens nr. 2 referer seg til administrative opplysninger som for eksempel opplysninger om virksomheten der helsehjelpen gis, navn på leger mv.

Bestemmelsens nr. 3 refererer seg til medisinske opplysninger. De medisinske opplysningene er viktige for en riktig klassifikasjon av sykdomstilfellet, for vurdering av sikkerheten av diagnosen og for vurdering av følgetilstander av sykdommen. Om diagnose og diagnosegrunnlag er det aktuelt å registrere opplysninger om årsak til at helsetjenesten er oppsøkt, tidspunkt og tidsforløp for symptomer, diagnose og behandling, sykdommens lokalisasjon, undersøkelsene som førte til diagnosen, smittestoffets navn og klassifikasjon samt egenskaper (for eksempel resistens mot antimikrobielle midler) og faktorer hos den syke som disponerte eller beskyttet mot sykdommen inkludert eksponering for mulige smittekilder. For tuberkulose angis opplysninger om resultatet av tuberkulintesten i diagnosegrunnlaget. Tuberkuloseregisteret kan dessuten inneholde opplysninger om sykdomsforløp og behandling av tuberkulose.

Bestemmelsens nr. 4 referer seg til epidemiologiske opplysninger. De epidemiologiske opplysningene er særlig viktige for det praktiske smittevernarbeidet. Opplysninger om antatte smittekilder, smittemåter, smittesteder og smittetidspunkter kan komme direkte til nytte i oppklaringen av utbrudd av smittsomme sykdommer. Det er også nødvendig med opplysninger om smitteoppsporing er foretatt. Ved smitteoppsporing for tuberkulose skal et eget meldingsskjema fylles ut der smittekontakter som henvises til spesialist meldes sammen med resultatet av undersøkelsen. Dessuten finnes en egen rapport om samlet resultat av smitteoppsporingen, jf. forskrift om tuberkulosekontroll § 5-3. Det er ikke planlagt liknende ordning for andre sykdommer. Opplysninger om at varslingsplikten i kapittel 7 er oppfylt skal meldes til registeret, men varslingsordningen som sådan inngår ikke i registeret.

Hvilke opplysninger som nærmere skal meldes og på hvilken måte dette skal skje, framgår av meldingsskjemaet som fastsettes av Helsedepartementet, jf. § 2-2.

Til § 1-8 Opplysninger i MSIS om tilfeller av smittsom sykdom i gruppe C

Opplysninger om disse sykdommene vil normalt bli meldt i summariske tabeller fordelt på alder, kjønn og bostedskommune.

Til § 1-9 Opplysninger om dødsårsak

Bestemmelsen slår fast at registrene uten samtykke kan inneholde personidentifiserende opplysninger og avidentifiserte opplysninger jf. §§ 1-7 og 1-8 om dødsårsak for alle som er registrert i registrene.

Til § 1-10 Koding og klassifisering av opplysningene i registrene, krav til dokumentasjon

Bestemmelsen omhandler koding og klassifisering av opplysninger i registrene og setter krav til dokumentasjon.

Det er slått fast i første ledd at Nasjonalt folkhelseinstitutt ved enhver registrering i registrene skal kunne dokumentere hvilke kodeverk eller klassifikasjoner som er brukt. Hensikten med bestemmelsen er å lette tilgjengeligheten på opplysningene i registrene. Opplysningene som sendes inn til registrene, registreres der i kodet form. For at innholdet i registeret, de medisinske opplysninger, skal bli tilgjengelig og forståelig for dem som skal bruke opplysningene i konkrete forskningsprosjekter m.v., må brukerne vite hva de ulike kodene betyr, dvs. den kodete informasjonen må oversettes til norsk språk eller medisinsk terminologi.

Til § 1-11 Meldingspliktige sykdommer

Denne forskriften er fastsatt ved kgl. res. Det er ikke hensiktsmessig å innta lister over hvilke sykdommer som til enhver tid er meldingspliktige, inn i forskriftsteksten.

Situasjonen vedrørende smittsomme sykdommer kan endre seg raskt ved at nye sykdommer kan dukke opp, mens andre sykdommer kan miste sin betydning. Det er hensiktsmessig å kunne endre listen over meldingspliktige sykdommer uten å måtte vedta en forskriftsendring, og departementet er på denne bakgrunn gitt myndighet til å fastsette hvilke smittsomme sykdommer som hører inn under de ulike gruppene, jf. forskriften § 1-2.

At innsamlede opplysninger om tilfeller av en sykdom kommer til nytte i det praktiske smittevernarbeidet er et viktig moment i vurderingen av om en sykdom skal være meldingspliktig. Enkelte sykdommer vil være meldingspliktige selv om de normalt ikke forekommer i Norge, fordi Norge har forpliktelser om internasjonal rapportering.

Til § 2-1 Legers meldingsplikt

Meldingsplikten etter forskriften gjelder enhver lege. Meldingen skal skje på skjema eller annen måte fastsatt av departementet.

Melding om smittsom sykdom i gruppe A eller B skal sendes samme dag som sykdommen er oppdaget eller mistenkt. Meldingen skal sendes til Nasjonalt folkehelseinstitutt. Meldingen skal også sendes til kommunelegen. I praksis sendes en kopi av skjemaet, eventuelt en gjennomslagskopi, til kommunelegen. Det betyr at kommunelegene er en viktig del av meldingssystemet. De skal blant annet benytte meldingene til å ha løpende oversikt over de infeksjonsepidemiologiske forholdene i kommunen, jf. smittevernloven § 7-2. Meldingene inngår i et behandlingsrettet helseregister jf. helseregisterloven § 6 og er en nødvendig forutsetning for at kommunelegen kan ivareta sine oppgaver etter smittevernloven § 7-2 jf. for eks. loven § 4-1 femte ledd. For tuberkulose skal meldingen i tillegg sendes tuberkulosekoordinatoren, jf. forskrift om tuberkulosekontroll. Meldingene er på tilsvarende måte en nødvendig forutsetning for at koordinatoren skal ivareta sine oppgaver, jf. tuberkulosekontrollforskriften § 4-4.

For smittsomme sykdommer i gruppe C gis det samlemeldinger, som regel summariske tabeller over antall tilfeller. Slike meldinger gis med intervaller definert av Nasjonalt folkehelseinstituttet. For influensa kan intervallet være en uke; for genital chlamydiainfeksjon kanskje et år. Nasjonalt folkehelseinstitutt informerer dem som skal melde om disse intervallene og om meldingsmåten.

Til § 2-2 Meldingsskjema, formkrav

Departementet fastsetter hvilke skjemaer som skal benyttes. Det må benyttes forskjellige skjemaer for gruppene A, B og C, ettersom det er ulikt omfang av informasjonen som skal meldes. I tillegg er det for noen sykdommer, spesielt tuberkulose, nødvendig med ytterligere skjemaer for å hente inn informasjon om blant annet behandlingsresultat, jf. § 1-7. Departementet kan bestemme at meldingene skal gis på annen måte enn ved skjema, for eksempel ved elektronisk overføring.

Det heter i annet ledd at departementet kan sette krav om bruk av bestemte klassifikasjoner og kodeverk ved registrering av opplysningene, og gi pålegg om bruk av standardiserte meldingsformater ved forsendelsen av opplysningene. Krav om bruk av bestemt meldingsformat kan særlig være aktuelt ved elektronisk meldingsformidling og vil være aktuelt for elektronisk melding fra de medisinsk-mikrobiologiske laboratoriene.

Til § 2-3 Meldingsplikt for laboratorier

Laboratorier har meldingsplikt etter forskriften, jf §§ 2-3, 2-4 og 2-5.

Gruppe A-sykdommer meldes med navn og fødselsnummer. Blanke, unummererte meldingsskjemaer oppbevares ved de medisinsk-mikrobiologiske laboratoriene og ved de sykehusavdelinger og legekontorer som hyppig diagnostiserer meldingspliktige sykdommer uten laboratorieprøve. Laboratoriene sender et blankt meldingsskjema til legen sammen med svarskjema (prøveresultatet) som indikerer at pasienten har en meldingspliktig sykdom. På svarskjemaet bør det gå fram at sykdommen er meldingspliktig. Legen fyller ut skjemaet, eventuelt i samarbeid med pasienten, og sender det til Nasjonalt folkehelseinstitutt. Laboratoriet har da allerede sendt kopi av svarskjemaet direkte til Nasjonalt folkehelseinstitutt. Forsendelsen kan også skje elektronisk, jf. § 2-2.

Gruppe B-sykdommer, herunder hiv-infeksjon, meldes med avidentifiserte opplysninger. Blanke, nummererte meldingsskjemaer oppbevares ved de medisinsk-mikrobiologiske laboratoriene. Løpenummeret er trykket både på den delen som sendes direkte til Nasjonalt folkehelseinstituttet og på den delen som sendes til legen for utfylling, eventuelt i samarbeid med pasienten, og videresending til instituttet. De to delene kan kobles sammen i databasen uten at personidentifiserende opplysninger er benyttet. Grunnen til at en melding fra legen også er nødvendig, er at legen kan få de nødvendige epidemiologiske opplysningene (smittested, smittemåte mv.) fra pasienten. De medisinsk-mikrobiologiske laboratoriene vil som regel ikke inneha slike opplysninger.

Gruppe C-sykdommer meldes fra laboratoriene med få opplysninger om hvert tilfelle. Som regel vil det være tilstrekkelig med summariske tabeller der antall diagnostiserte tilfeller er fordelt på kjønn og aldersgrupper.

Til § 2-4 Referanselaboratorier

For mange smittestoffer er det aktuelt å videresende (referere) prøven til et annet laboratorium for grundigere undersøkelse, slik at sikker diagnose kan stilles eller for nærmere karakterisering av smittestoffet. Slik karakterisering, eventuelt med genteknologiske metoder, er et nyttig redskap for å avsløre om tilfeller har sammenheng og er del av et utbrudd. Referanselaboratoriefunksjonen for tuberkulose er i forskrift 21. juni 2002 om tuberkulosekontroll § 4-5 lagt til Nasjonalt folkehelseinstitutt.

Det er departementet som tildeler eventuelle laboratorier referansefunksjoner. Referanselaboratorier har samme meldingsplikter til Nasjonalt folkehelseinstitutt som andre laboratorier. Det primære laboratoriumet har meldingsplikt på vanlig måte selv om prøven er sendt til et referanselaboratorium.

Til § 2-5 Virksomhetens plikter

Det følger av bestemmelsen at helseinstitusjon, poliklinikk, helsesenter, mikrobiolgiske laboratorium, klinisk kjemisk laboratorium, patologisk laboratorium eller annen virksomhet som er ansvarlig for opplysninger som skal registreres og meldes etter

§ 2-1 - § 2-4, har ansvar for at pliktene oppfylles, og skal sørge for at det finnes rutiner som sikrer dette. I praksis vil det være slik at helsepersonell, som en del av dokumentasjonsplikten i helsepersonelloven § 39, fyller ut skjema elektronisk eller på papir. Virksomheten vedkommende helsepersonell er ansatt i, må sørge for å befordre skjemaene til Nasjonalt folkehelseinstitutt. Elektronisk formidling av opplysningene forutsetter at tilstrekkelig informasjonssikkerhet er ivaretatt, blant annet at personidentifiserende kjennetegn (navn og fødselsnummer) og andre helseopplysninger er kryptert under forsendelsen. Videre må den meldepliktige virksomhet ha programmer og systemer for elektronisk kommunikasjon der navn og fødselsnummer ikke automatisk overføres sammen med de øvrige opplysningene.

Til § 2-6 Mottakers ansvar for kvalitetskontroll
Bestemmelsen første ledd fastslår at Nasjonalt folkehelseinstitutt, som databehandlingsansvarlig for registrene, skal sørge for at helseopplysninger som registreres i registeret, er korrekte, relevante og nødvendige for de formål de innsamles for, jf. § 1–3.

Bestemmelsen annet ledd omhandler samkjøringer med andre registre mv. Jevnlig kvalitetskontroll med Det sentrale folkeregister og Dødsårsaksregisteret er nødvendig for å sikre blant annet at de registrerte personene har riktig fødselsnummer og at dødsfall oppdages. Legemidler mot tuberkulose utleveres bare fra Rikshospitalets apotek. Det betyr at apotekets reseptkopiregister er en verdifull kilde til kvalitetskontroll av overvåkingen av tuberkulose. Dersom legemidler mot tuberkulose er utskrevet til en pasient som ikke er meldt med tuberkulose, kan Nasjonalt folkehelseinstitutt undersøke saken hos legen som har skrevet resepten.

Bestemmelsen tredje ledd omhandler blant annet kontakt med pasienten. Ved utbrudd av smittsomme sykdommer kan det være nødvendig å intervjue pasientene grundigere med tanke på hva de har vært utsatt for (for eksempel av matvarer) i tiden før sykdommen, dvs. opplysninger om smittemåte og disponerende faktorer, jf. § 1-7. Normalt vil henvendelsen til pasientene gå fra kommunelegen eller fra Nasjonalt folkehelseinstitutt via den legen som har meldt sykdomstilfellet. I unntakstilfeller når hensynet til smittevernet krever det, kan det imidlertid bli nødvendig for kommunelegen eller instituttet å etablere rask kontakt med pasientene for å skaffe opplysninger som kan bidra til å avsløre årsakene til et utbrudd av smittsom sykdom.

Forskriften fjerde ledd i forskriften fastslår at dersom meldingsskjema er mangelfullt utfylt, skal avsenderen av skjema varsles. Bestemmelsen er en presisering av helseregisterloven § 9 annet ledd annet punktum. Mangelfullt utfylt skjema omfatter også ikke utfylt skjema. Ved fortsatt mangelfull utfylling av skjema skal Statens helsetilsyn varsles. Dersom det må gjøres gjentatte purringer (mer enn to), anses dette å være mangelfull utfylling av skjema.

Til § 2-7 Rapportering fra registrene

En kjernefunksjon i registrene er den regelmessige tilbakemeldingen om den infeksjonsepidemiologiske situasjonen. Dette er viktig for at smittevernmyndighetene på lokalt og sentralt hold kan iverksette nødvendige tiltak. Nasjonalt folkehelseinstitutt gir ukentlige oversikter i MSIS-rapporter. På sikt kan denne publiseringen erstattes av en minst like hyppig oppdatert publisering på Internett, fordelt på hver kommune.

Nasjonalt folkehelseinstitutt er oppnevnt kontaktpunkt for rapportering til Verdens helseorganisasjon og Den europeiske union. Rapporteringen dreier seg om summariske opplysninger uten personidentifikasjon til bruk for sammenstilling av overvåkingsdata i Europa.

Til § 3–1 Sammenstilling av opplysninger for fremstilling av statistikk

Bestemmelsen gir rettsgrunnlag for utarbeidelse av statistikk. Et vilkår er at statistikkfremstillingen gjøres av den databehandlingsansvarlige for ett av de nevnte registrene eller i en virksomhet departementet bestemmer. Databehandlingsansvarlig for de nevnte registrene er Nasjonalt folkehelseinstitutt og institusjonen Kreftregisteret.

En sammenstilling av opplysninger etter § 3–1 eller produksjon av statistikk innebærer at det er statistikk eller tabelldata som etterspørres. Etterspørreren kan være en kommune, en fylkeskommune eller en region som skal bruke dataene i planleggingsøyemed, eller etterspørreren kan være en forsker. Hvorvidt tabelldataene eller statistikken er tilstrekkelig anonymisert, må vurderes i hvert enkelt tilfelle. Ved publisering av tabeller på lokalt og regionalt nivå har det i praksis vært lagt til grunn 4 eller 5 enheter. Det innebærer at en ikke sammenstiller materiale hvor færre enn 4 eller 5 personer inngår.

Annet ledd gir en tidsfrist for hvor raskt en bestilling på statistiske data skal effektueres. Bestemmelsen er en oppfølging av NOU 1997:26 Tilgang til helseregistre. Det er departementets ønske at dataene i sentrale helseregistre skal brukes mer aktivt som planleggingsgrunnlag av helsetjenesten.

Tredje ledd fastslår at helseopplysninger som mottas for fremstilling av statistikk etter første ledd, skal slettes så snart sammenstillingen er tilfredsstillende gjennomført. Bestemmelsen følger naturlig av helseregisterloven § 27 første ledd om at helseopplysninger ikke skal lagres lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen av helseopplysningene.

Til § 3–2 Sammenstilling av opplysninger fra registrene med opplysninger i andre registre for forskning m.v.

Bestemmelsen gir regler for forskning på sammenstilte helseopplysninger internt i de to registrene, dvs. der opplysninger i registrene er sammenstilt med hverandre eller med opplysninger i andre sentrale helseregistre som er oppregnet i paragrafen ovenfor. Hjemmelen for utlevering av helseopplysninger fra de nevnte helseregistrene til MSIS og/eller Tuberkuloseregisteret i sammenstillingsøyemed er helseregisterloven § 14 første punktum, jf. § 12 annet punktum.

Behandling av opplysninger i henhold til denne bestemmelsen krever ikke konsesjon fra Datatilsynet, men det skal sendes melding til Datatilsynet, jf. helseregisterloven § 29.

Første ledd oppstiller tre vilkår for at en behandling (sammenstilling/kobling og tilrettelegging) av opplysninger for bruk i et bestemt forskningsprosjekt skal kunne skje etter denne bestemmelsen.

Det éne vilkåret er at prosjektet har et uttrykkelig angitt formål innenfor registerets formål, jf. § 1–3.

Det andre vilkåret er at databehandleren (forskeren, prosjektansvarlig etc.) bare skal behandle eller forske på avidentifiserte opplysninger. Den behandlingsansvarlige for registeret må sørge for og vil være ansvarlig for selve prosessen med å sammenstille og å kvalitetssikre og tilrettelegge dataene. Først etter denne prosessen vil dataene være avidentifisert. Denne prosessen må foregå i nært samarbeid mellom sammenstilleren/kvalitetskontrolløren og forskeren.

Det tredje vilkåret er at sammenstillingen blir vurdert som ubetenkelig ut fra etiske hensyn. Ubetenkelig kan for eksempel referere til om et forskningsprosjekt blir vurdert som berettiget og forsvarlig. Det er den databehandlingsansvarlige for registeret som er ansvarlig for at behandlingen av opplysningene er ubetenkelig.

I annet ledd første punktum heter det at sammenstilte helseopplysninger ikke kan lagres før navn, fødselsdag og personnummer er slettet eller kryptert. Bestemmelsen forbyr den databehandlingsansvarlige å lagre koblede opplysninger på navn og fødselsnummer. I annet ledd annet punktum heter det at direkte identifiserende opplysninger, dvs. navn og fødselsnummer som mottas for behandlingen, skal slettes så snart sammenstillingen er tilfredsstillende gjennomført. Bestemmelsen vil hindre at det lagres kopier av direkte identifiserende helseopplysninger utenfor databasen i registeret.

I tredje ledd heter det at alle opplysninger som inngår i behandlingen etter første og annet ledd, skal slettes ved prosjektavslutning. Kravet om sletting av alle direkte og indirekte personidentifiserende opplysninger refererer seg både til de avidentifiserte opplysningene som forskeren og eventuelt andre har behandlet, jf. første ledd, og til de helseopplysningene som eventuelt er kryptert, jf. annet ledd.

Til § 3–3 Utlevering av sammenstilte datafiler til forskning m.v.

Første ledd gir eksterne forskere og eventuelt andre som har oppgaver innen helsetjenesten og helseforvaltningen, adgang til sammenstilte og tilrettelagte avidentifiserte opplysninger fra flere sentrale helseregistre, dersom opplysningene skal brukes til et uttrykkelig angitt formål innenfor registerets formål, jf. forskriften § 1–3. Helseregistre som kan sammenstilles i dette øyemed, er positivt oppregnet i forskriften § 3–1. Bestemmelsen er en oppfølging av NOU 1997:26 Tilgang til helseregistre, og gir økt tilgang til registerdata.

Det er tre kumulative vilkår som må være tilstede for at sammenstilling og utlevering av data til et uttrykkelig angitt formål kan skje.

For det første er det et vilkår at mottakeren bare skal behandle avidentifiserte data. Avidentifiserte data er definert som helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysninger som tidligere ble fjernet. Oppfyllelse av dette vilkåret forutsetter at mottakeren (for eksempel forskeren) som skal behandle opplysningene, ikke selv sitter inne med egne opplysninger eller individdata som skal kobles til og behandles sammen med de utleverte opplysningene.

Sammenstillings- og tilretteleggingsinstansen vil forestå selve prosessen med å sammenstille og å kvalitetssikre dataene. Først etter denne prosessen vil dataene være avidentifisert. Denne prosessen må foregå i nært samarbeid mellom sammenstilleren/kvalitetskontrolløren og forskeren. Dataene skal ikke utleveres til eksterne forskere før de er tilstrekkelig avidentifisert. Hvorvidt dataene er avidentifisert eller ikke, må vurderes konkret i forhold til hvert enkelt prosjekt.

Mottakeren av de avidentifiserte opplysningene skal sende melding til Datatilsynet etter helseregisterloven § 29.

Dersom mottakeren har egne data, og ber om å få koblet data fra et eller flere av de nevnte helseregistrene til data (identiteter) mottakeren selv sitter inne med, gjelder forskriften § 3–5.

Utlevering av avidentifiserte data til forskere, eventuelt andre berettigede mottakere – slik avidentifiserte data defineres i helseregisterloven – anses ikke å være i strid med helsepersonellovens eller forvaltningslovens bestemmelser om taushetsplikt. De avidentifiserte dataene vil ikke være anonyme fordi opplysningene vil kunne tilbakeføres indirekte, dvs. sammenstillings- og tilretteleggingsinstansen vil kunne tilbakeføre opplysningene. Mottakeren skal ikke kunne tilbakeføre opplysningene.

Dersom en står foran et forskningsprosjekt hvor behovet for data er stort og forutsetter bruk av mange variabler, herunder data som kjønn, fødselsmåned, år etc., og opplysningene kan tilbakeføres til et bestemt individ, vil forskriften § 3–3 ikke være det rette hjemmelsgrunnlaget. I slike tilfeller vil forskriften § 3–5 være det rette hjemmelsgrunnlag.

Det andre vilkåret er at behandlingen av opplysningene blir vurdert som ubetenkelig ut fra etiske hensyn. Ubetenkelig henspiller blant annet på om forskningsprosjektet er berettiget og forsvarlig. Det er den ansvarlige for prosjektet som er ansvarlig for at behandlingen av opplysningene og bruken av dem er ubetenkelig. Dersom regional etisk komite vurderer et prosjekt som positivt, kan databehandlingsansvarlig ikke avslå å utlevere avidentifiserte data med den begrunnelse at prosjektet ikke er forsvarlig eller berettiget.

Det tredje vilkåret er at sammenstillingen og tilretteleggingen av dataene gjøres av databehandlingsansvarlig for et av de registrene hvis opplysninger behandles (sammenstilles). En virksomhet som departementet eventuelt bestemmer skal sammenstille og tilrettelegge data for eksterne forskere, vil være databehandler for Nasjonalt folkehelseinstitutt, og det må inngås skriftlig avtale etter helseregisterloven § 18, jf. forskriften § 1–6.

Annet ledd viser til forskriften § 3–2 annet ledd. Det følger av denne bestemmelsen at virksomheten ikke kan lagre de sammenstilte helseopplysninger før navn, fødselsdag og personnummer er slettet eller kryptert. Videre forutsettes det at direkte personidentifiserende opplysninger (navn og fødselsnummer) som mottas for behandlingen, skal slettes så snart sammenstillingen er tilfredsstillende gjennomført.

Tredje ledd sier at den databehandlingsansvarlige skal utlevere eller overføre nødvendige og relevante data til den ansvarlige for det angitte prosjektet innen 60 dager fra den dagen søknaden kom inn. Rettsgrunnlaget for den angitte behandlingen av opplysningene skal fremgå av søknaden, som nevnt i første ledd. Dersom departementet beslutter at en bestemt virksomhet skal sammenstille og tilrettelegge forskningsdata for eksterne mottakere, må frister og prosedyrer for hvordan dette skal skje nedfelles i en skriftlig avtale mellom institusjonen Nasjonalt folkehelseinstitutt og vedkommende virksomhet, slik at tidsfristen på 60 dager overholdes.

En forutsetning for at fristen på 60 dager kan overholdes er at det foreligger en presis søknad. Departementet er kjent med at søknadene om forskningsdata kan være ufullstendige, og at det må gås flere runder før innholdet i en søknad er tilstrekkelig detaljert slik av data kan leveres. I sistnevnte tilfeller vil det være vanskelig å levere data innen en frist på 60 dager. I slike tilfeller kan leveringen av data utsettes, inntil det er mulig å oppfylle den. Dette følger av fjerde ledd. Den databehandlingsansvarlige skal i så fall gi søkeren et foreløpig svar om grunnen til forsinkelsen. Dersom grunnen til at data vanskelig kan leveres, er at søknaden er ufullstendig, skal dette avhjelpes ved kommunikasjon, råd og veiledning fra registerets side. Det skal foreligge spesielle og midlertidige forhold ved registeret for å kunne påberope seg en utsatt levering etter fjerde ledd. Lengre saksbehandlingstid enn 60 dager skal ikke være rutine. Kravet om å overholde fristen må imidlertid ikke gå på bekostning av kvalitet.

Til § 3–4 Plikt til å utlevere ikke koblede data til forskning m.v.

Bestemmelsen regulerer tilgang til ikke-koblede data fra MSIS og Tuberkuloseregisteret. Prosjekter som gjør bruk av ikke-koblede data, reguleres på samme måte som prosjekter som gjør bruk av koblede data. Bruk av denne bestemmelsen forutsetter at den eksterne mottakeren ikke har egne data som kan kobles på data som utleveres.

Til § 3–5 Utlevering og annen behandling av opplysninger i registrene

Bestemmelsen regulerer utlevering og annen behandling av opplysninger i registrene enn det som følger av bestemmelsene foran. Første ledd krever at slik behandling har konsesjon fra Datatilsynet og skjer i samsvar med de alminnelige regler om taushetsplikt, dvs. reglene om taushetsplikt i forvaltningsloven og helsepersonelloven, jf. forskriften § 4–1.

Vilkårene for utlevering av opplysninger fra registrene til forskningsformål er at Sosial- og helsedirektoratet har bestemt at opplysningene kan brukes til det formulerte formålet uten hensyn til taushetsplikt, og at mottaker av opplysningene har tillatelse fra Datatilsynet til å behandle opplysningene til angitte formål. Forskning på identifiserbart humant materiale eller identifiserbare data skal også fremlegges for en regional forskningsetisk komite for medisin til vurdering.

Forskningsprosjekter som innebærer en kobling av data fra registrene med forskerens egne data, reguleres også av denne bestemmelsen.

Det følger av annet ledd første punktum at Sosial- og helsedirektoratet skal svare på forespørsler om utlevering av personidentifiserende opplysninger for bruk i uttrykkelig angitte forskningsprosjekter innen 30 dager fra den dagen forespørselen kom inn. Tidsfristen på 30 dager anses viktig for å kunne øke bruken av data fra registrene i konkrete forskningsprosjekter.

Det heter i annet punktum at dersom særlige forhold gjør det umulig å svare på forespørselen innen den angitte fristen, kan svaret utsettes inntil det er mulig å gi svar. Sosial- og helsedirektoratet skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når søknaden kan effektueres. I et slikt foreløpig svar må Sosial- og helsedirektoratet også informere om det er behov for ytterligere opplysninger, dersom det er nødvendig for å gi et positivt svar. Det skal foreligge spesielle og midlertidige forhold i Sosial- og helsedirektoratet for å kunne påberope seg en utsatt levering etter denne bestemmelsen. Lengre saksbehandlingstid enn 30 dager skal ikke være rutine.

Til § 3–6 Informasjonsstrategi rettet mot brukergrupper

Bestemmelsen fastslår at Nasjonalt folkehelseinstitutt skal ha en aktiv informasjonsstrategi og -plan rettet mot brukergrupper. Forskriften krever ikke at denne planen skal være skriftlig. Innholdet i kravet går på å ha et bevisst åpent og positivt forhold til å samhandle med ulike forskningsmiljøer og andre brukergrupper. Det er et selvstendig mål at dataene blir brukt i forskningsprosjekter utenfor registrene og til planlegging av helsetjenesten. En effektiv bruk av data fra registrene kan best gjennomføres ved at Nasjonalt folkhelseinstitutt informerer kommuneleger, helseplanleggere, helseadministratorer, forskere m.v. om hvilke muligheter registrene gir til kunnskapsoppbygging og -utvikling.

Til § 3–7 Kostnader

Bestemmelsen gir adgang til å kreve betaling for utførte tjenester med bearbeidede data fra registrene. Bestemmelsen innebærer ikke at en skal kreve kostnadsdekning av alle datautleveringer fra registrene. Kostnader forbundet med utlevering av statistikk og avidentifiserte data til forskningsformål bør som hovedregel dekkes av ordinære driftsmidler. Større prosjekter bør det kunne kreves betaling for. Det fremgår av annet punktum at betalingen ikke skal overstige de faktiske utgiftene ved behandlingen av opplysningene.

Til § 3–8 Oversikt over utleveringer

Bestemmelsen pålegger Nasjonalt folkehelseinstitutt å føre oversikt over hvem som får utlevert opplysninger fra registrene og hjemmelsgrunnlaget for utleveringene. Nasjonalt folkehelseinstitutt plikter å holde oversikt både over utleveringer av helseopplysninger til en eventuell koblingsinstans, jf. §§ 3–1 og 3–3 første ledd tredje strekpunkt, utlevering av avidentifiserte helseopplysninger etter § 3–4 og annen utlevering etter § 3–5. Opplysningene skal oppbevares i minst 5 år etter at utlevering har funnet sted.

Til § 4–1 Taushetsplikt

Bestemmelsen fastslår at både forvaltningslovens regler og helsepersonellovens regler om taushetsplikt kommer til anvendelse på helseopplysninger som behandles etter forskriften. Dette innebærer blant annet at eventuelle unntak fra taushetsplikten må ha hjemmel i begge lover før utlevering av opplysninger fra registeret kan skje.

Taushetsplikten er ikke bare en passiv plikt til å tie, men også en aktiv plikt til å hindre uvedkommende i å få tilgang til taushetsbelagt informasjon. Forsvarlig håndtering og oppbevaring av helseopplysninger er derfor en forutsetning for å etterleve lovbestemt taushetsplikt.

Til § 4–2 Informasjonssikkerhet

Første ledd viser til helseregisterloven § 16 flg. Bestemmelsen pålegger Nasjonalt folkehelseinstitutt og databehandleren å sørge for tilfredsstillende informasjonssikkerhet ved behandling av helseopplysninger. Dette omfatter blant annet et ansvar for å sørge for at tilstrekkelig sikkerhetsfaglig kompetanse er tilgjengelig. I tillegg til ansvar for sikkerheten i egen organisasjon må Nasjonalt folkehelseinstitutt også forsikre seg om at informasjonssikkerheten er tilfredsstillende hos kommunikasjonspartnere og leverandører. Begrepet informasjonssikkerhet omfatter:

• sikring av konfidensialitet, dvs. beskyttelse mot at uvedkommende får innsyn i opplysningene, herunder sikkerhet for at reglene om taushetsplikt overholdes,
• sikring av integritet, dvs. beskyttelse mot utilsiktet endring av opplysningene,
• sikring av tilgjengelighet, dvs. sørge for at tilstrekkelige og relevante opplysninger er til stede,
• sikring av kvalitet, dvs. sørge for at opplysningene er riktige.

Tilfredsstillende informasjonssikkerhet skal oppnås ved hjelp av planlagte og systematiske tiltak. Dette innebærer at anerkjente teknikker og standarder for kvalitetsstyring, internkontroll og informasjonssikkerhet skal legges til grunn ved sikkerhetsarbeidet. De tiltak som etableres, skal være både organisatoriske og tekniske. Sikkerhetstiltakene og selve informasjonssystemet skal kunne dokumenteres.

Annet ledd gjelder ved helt eller delvis elektronisk behandling av helseopplysningene. I slike tilfeller gjelder personopplysningsforskriften §§ 2–1 til 2–16. Bestemmelsene er en videreføring av dagens sikkerhetskrav.

Til § 4–3 Plikt til internkontroll

Bestemmelsen pålegger Nasjonalt folkehelseinstitutt en plikt til å innføre og utøve internkontroll i samsvar med helseregisterloven § 17. Tiltakene skal ifølge § 17 annet ledd dokumenteres, og dokumentasjonen skal være tilgjengelig for medarbeidere og tilsynsmyndighetene.

Databehandlere skal behandle opplysninger i samsvar med rutiner Nasjonalt folkehelseinstitutt har oppstilt.

Forsettelig eller grovt uaktsomt overtredelse av denne bestemmelsen straffes med hjemmel i § 8-1.

Til § 4–4 Internkontrollens innhold

Bestemmelsen gir regler om internkontrollens innhold. Formuleringen av bestemmelsen har tatt mønster av internkontrollbestemmelsen i personopplysningsforskriften.

Forsettelig eller grovt uaktsomt overtredelse av denne bestemmelsen straffes med hjemmel i § 8-1.

Til § 5-1 Den meldende leges plikt til å informere

Det følger av bestemmelsen at legen har plikt til å informere den meldingen angår, om hvem som skal få meldingen og hva meldingen skal brukes til. Slik informasjonsplikt følger også av helsepersonelloven og lov om pasientrettigheter.

Til § 5–2 Den registrertes rett til informasjon og innsyn

Første ledd viser til helseregisterloven §§ 22 til 25. Bestemmelsene gir den registrerte rett til informasjon om helseregistre og rett til innsyn i behandling av helseopplysninger om seg selv.

Helseregisterlovens bestemmelser om allmennhetens rett til informasjon og enhver sin rett til informasjon (helseregisterloven §§ 20 og 21) er ikke inntatt i forskriften. Helseregisterlovens bestemmelser om den databehandlingsansvarliges informasjonsplikt til den registrerte (helseregisterloven §§ 23 og 24) er heller ikke inntatt i forskriften. Dette er allmenne og generelle regler som gjelder uansett om de inntas i forskriften eller ikke.

Innsyn skal som hovedregel gis uten vederlag. Det er ikke adgang til å kreve kostnadsdekning, dersom det ikke positivt er fastsatt i forskrift. Dette er i samsvar med gjeldende regelverk. Det er i denne forskriften ikke gitt bestemmelser om kostnadsdekning av utgifter ved å praktisere innsynsretten.

Til § 5–3 Informasjon og innsyn når den registrerte er mindreårig

Det går fram av bestemmelsen at foreldre eller andre med foreldreansvar har rett til innsyn etter regler tilsvarende dem i pasientrettighetsloven § 3–4. Det følger av dette at så lenge den registrerte er under 16 år, har både den registrerte og foreldrene eller andre med foreldreansvar innsynsrett. Er den registrerte mellom 12 og 16 år, skal opplysninger ikke gis til foreldrene eller andre med foreldreansvar, når den registrerte av grunner som bør respekteres, ikke ønsker det. Det bør legges til grunn at barn mellom 12 og 16 år ikke har noe imot at foreldrene eller andre med foreldreansvar gis innsynsrett i opplysninger om barnet. Barn mellom 12 og 16 år bør imidlertid informeres om at foreldrene eller andre med foreldreansvar gis innsyn.

Innsyn skal skje uten vederlag, se ovenfor under merknad til § 5-1.

Til § 5–4 Frist for å svare på henvendelser om innsyn

Bestemmelsen setter en frist på 30 dager for å svare på henvendelser om innsyn.

Til § 6–1 Bevaring av helseopplysninger

Det går fram av bestemmelsen at opplysninger i registrene skal bevares i ubegrenset tid, med mindre annet følger av helseregisterloven § 26 eller § 28.

Helseregisterloven § 26 regulerer retting av mangelfulle opplysninger. Bestemmelsen pålegger den databehandlingsansvarlige et ansvar for å rette opplysninger som er uriktige eller ufullstendige. Dette samme gjelder dersom det er behandlet helseopplysninger etter forskriften som det ikke er adgang til å behandle. Den databehandlingsansvarlige kan foreta opprettingen av eget tiltak eller etter begjæring fra den registrerte. Den databehandlingsansvarlige skal om mulig sørge for at feilen ikke får betydning for den registrerte. Dersom helseopplysningene er utlevert, skal den databehandlingsansvarlige varsle mottakere av utleverte opplysninger om dette. Helseregisterloven § 28 gir regler om sletting eller sperring av helseopplysninger som føles belastende for den registrerte. Bestemmelsen fastslår at den registrerte kan kreve at helseopplysninger som behandles etter denne forskriften, skal slettes eller sperres, dersom behandling av opplysningene føles sterkt belastende for den registrerte og det ikke finnes sterke allmenne hensyn som tilsier at opplysningene behandles. Krav om sletting eller sperring av slike opplysninger rettes til den databehandlingsansvarlige for opplysningene. Datatilsynet kan, etter at Riksarkivaren er hørt, treffe vedtak om at retten til sletting etter første ledd går foran reglene i arkivloven 4. desember 1992 nr. 126 §§ 9 og 18. Hvis dokumentet som inneholdt de slettede opplysningene, gir et åpenbart misvisende bilde etter slettingen, skal hele dokumentet slettes.

For øvrig vil arkivloven og forskrifter i medhold av arkivloven komme til anvendelse.

Til kapittel 7 Varsling om smittsomme sykdommer

Med varsling menes en umiddelbart formidlet beskjed om visse enkelttilfeller eller utbrudd av smittsom sykdom på en slik måte at varsleren umiddelbart kan forvisse seg om at mottakeren har mottatt varslet.

Det er varslingsplikt for enkelttilfeller av visse sykdommer og for visse typer utbrudd av smittsomme sykdommer. Med utbrudd menes enten flere tilfeller enn forventet av en bestemt sykdom innenfor et område i et gitt tidsrom eller to eller flere tilfeller med antatt felles kilde. Det følger av dette at enkelttilfeller av sykdommer som normalt ikke forventes å forekomme i Norge, er utbrudd som skal varsles.

Varsling skal bidra til at:

• enkelttilfeller eller utbrudd raskt kan sees i sammenheng slik at større utbrudd oppdages tidlig og smitteverntiltak kan iverksettes,
• varsleren får bistand til håndtering av situasjonen, om nødvendig på stedet,
• myndigheter som har ansvar for håndteringen, blir brakt inn i saken,
• omfanget av utbrudd i landet kartlegges, og
• utenlandske myndigheter blir orientert gjennom Norges deltakelse i internasjonale varslingssystemer.

Det arbeides med å etablere en døgnåpen sentral for mottak av varsler på Nasjonalt folkehelseinstitutt. Personidentifiserende opplysninger skal ikke sendes på telefaks eller e-post. Nasjonalt folkehelseinstitutt vil utarbeide et skjema til hjelp for dem som skal varsle utbrudd av smittsom sykdom .

Nasjonalt folkehelseinstitutt vil ved mottak av varsler tilby assistanse til oppklaring og håndtering av hendelsen, jf. smittevernloven § 7-9. Instituttet vil også ivareta eventuell varsling til Sosial- og helsedirektoratet, Statens helsetilsyn og eventuelle internasjonale varslingssystemer i regi av Verdens helseorganisasjon eller EU-kommisjonen.

§ 7-1 Varsling om smittsomme sykdommer

Varsling av enkelttilfeller eller utbrudd kommer i tillegg til meldingen til MSIS og Tuberkuloseregisteret, jf. kapittel 1 og 2, men varslingen inngår ikke i registrene.

Varsler om enkelttilfeller av smittsom sykdom eller om utbrudd av sykdommer som er meldingspliktige til registrene, jf. § 1-11, kan inneholde de opplysninger som går fram av § 1-7. Varsler om andre utbrudd til kommunelegen kan inneholde personidentifiserende opplysninger, men disse kan ikke bringes videre ved varsling til Nasjonalt folkehelseinstitutt. Varsler til instituttet kan inneholde opplysninger som ved gruppe B-sykdommer, dvs. ikke-personidentifiserbare opplysninger.

Det er departementet som gir nærmere bestemmelser om hvilke smittsomme sykdommer som det skal varsles om. Det foreslås at dette skal gjelde for følgende sykdommer:

botulisme

difteri

flekktyfus

hemoragisk feber

kopper

legionellose

meningokokksykdom

meslinger

miltbrann

pest

poliomyelitt

rabies

røde hunder

trikinose

Til § 7-2 Helsepersonellets varslingsplikt

Som tidligere har sykepleiere, jordmødre eller helsesøstre varslingsplikt ved mistenkt eller påvist tilfelle av smittsom sykdom. Bestemmelsen slår også fast at leger skal varsle, og dette erstatter den plikten kommunelegen tidligere hadde til muntlig å melde om mistenkte eller påviste tilfeller av nærmere bestemte smittsomme sykdommer.

Til § 7-3 Varsling om utbrudd av smittsom sykdom

Utbrudd av fire typer skal varsles til kommunelegen og deretter til Nasjonalt folkehelseinstitutt:

• utbrudd av de sykdommer som er meldingspliktige i MSIS, jf. § 1-11.
• utbrudd av særlig alvorlige sykdommer (andre enn dem som omfattes av MSIS), dvs. sykdommer med høy dødelighet, alvorlig sykdomsbilde eller høy komplikasjonsrate.
• utbrudd som mistenkes å være næringsmiddelbårne.
• særlig omfattende utbrudd.

De tre siste kategoriene gjelder også utbrudd av smittsomme sykdommer som ikke er meldingspliktige til MSIS, jf. § 1-11.

Folkehelseinstituttet skal i samarbeid med kommunelegen gjøre en bedømmelse av utbruddets alvorlighet blant annet i forhold til dødelighet, sykelighet og spredningsfare. Folkehelseinstituttet skal varsle Sosial- og helsedirektoratet og Statens helsetilsyn om alvorlige utbrudd.

Til § 7-4 Varsling om utbrudd i helseinstitusjon av smittsom sykdom

Bestemmelsen omhandler utbrudd av smittsom sykdom i helseinstitusjoner og refererer seg til bestemmelsen om dette i forskrift av 5. juli 1996 om smittevern i helseinstitusjoner – sykehusinfeksjoner. Forskriften § 7-4 utvider imidlertid virkeområdet for varslingsplikten da den inkluderer alle kommunale helseinstitusjoner i varslingsplikten, og ikke bare sykehjem eller annen boform for heldøgns omsorg og pleie.

Med utbrudd i helseinstitusjon menes enten opptreden av klart flere tilfeller av en smittsom sykdom enn forventet i institusjonen eller deler av den innenfor et gitt tidsrom, eller to eller flere tilfeller av smittsom sykdom med mistenkt felles kilde. Mistenkte utbrudd skal varsles så tidlig som mulig. Formålet med slik varsling er blant annet at utbrudd som omfatter flere institusjoner, kan avdekkes, at helseinstitusjonen kan få råd og bistand, at det kan lages en nasjonal oversikt over omfanget av utbrudd i helseinstitusjoner og at det samles erfaring om hvilke forhold som disponerer for utbrudd i helseinstitusjoner.

Helseinstitusjoner må etablere rutiner som sikrer at varslingsplikten overholdes. I spesialisthelsetjenesten kan varslingen ivaretas av for eksempel den lege som har ansvaret for å koordinere smittevernet i institusjonen, jf. forskrift om smittevern i helseinstitusjoner – sykehusinfeksjoner § 2-3, eller annet sykehushygienisk personell.

Folkehelseinstituttet skal gjøre en bedømmelse av utbruddets alvorlighet blant annet i forhold til dødelighet, sykelighet og spredningsfare. Folkehelseinstituttet skal varsle Sosial- og helsedirektoratet og Statens helsetilsyn om alvorlige utbrudd.

I tillegg til varslingen nevnt her, skal helseinstitusjoner skriftlig melde til fylkeslegen utbrudd som har ført til eller kunne ha ført til betydelig personskade hos pasient som følge av ytelse av helsetjeneste, jf. spesialisthelsetjenesteloven § 3-3.

Til § 7-5 Varsling om overlagt spredning av smittestoffer

Overlagt spredning av smittestoffer i terrorhensikt (bioterrorisme) eller annen hensikt vil, dersom spredningen ikke blir annonsert av gjerningspersonen, først kunne oppdages når personer blir syke. Oppdagelsen vil dermed skje hos allmennleger, ved legevakter eller på sykehus. Pasientene kan ha søkt helsehjelp ulike steder. Det er derfor avgjørende for tidlig oppdaging at slike tilfeller sees i sammenheng.

Tidlig oppdaging er viktig for å 1) kunne gi riktig behandling av de diagnostiserte pasientene, 2) kunne veilede diagnostikken av andre personer som er under utredning for uvanlige sykdomsbilder og 3) kunne finne andre personer som er eksponert og i inkubasjonsfasen, og tilby dem behandling som forebygger at sykdommen bryter ut.

Et godt varslingssystem forutsetter årvåkne leger. Indikasjoner på at smittsom sykdom skyldes overlagt spredning av smittestoffer kan være:

- sykdommen eller smittestoffet er uvanlig på stedet.

- smittestoffet har uvanlige karakteristika, f.eks. resistensmønster og genetisk mønster.

- et visst smittestoff gir et uvanlig sykdomsbilde, f.eks. høyere sykelighet eller
dødelighet.

- tilfellene fordeler seg uvanlig over tid, sted og person, f.eks. bare hos personer som
har oppholdt seg utendørs.

Overlagt spredning av smittestoffer behøver ikke være begrenset til smittestoffer som vanligvis forbindes med biologiske stridsmidler.

Til § 7-6 Varsling om smitte fra utstyr mv.

Det finnes eksempler på at medisinsk utstyr, kosmetika, legemidler, blod, blodprodukter, vev og organer har forårsaket smitte til mange personer før forholdet er blitt oppdaget. Dersom disse produktene er forurenset ved fremstillingen, kan de ha potensial for å spre smitte til tusener av personer. Det er derfor viktig at den minste mistanke fører til varsling til en sentral instans. Der kan mistanker fra flere hold sees i sammenheng. Varslingsplikten er dermed ikke tenkt å gjelde situasjoner der utstyret forurenses under bruk, for eksempel at et termometer under bruk blir forurenset av en pasient og smitten overføres til neste. Slike forhold er en sak for det enkelte legekontor eller den enkelte helseinstitusjon, og sentral varsling er ikke nødvendig.

Til § 7-7 Varsling om mulig smitte fra helseinstitusjon

Det hender at pasienter flyttes fra en helseinstitusjon til en annen mens de er i inkubasjonsfasen eller i en asymptomatisk fase av en smittsom sykdom. Den første helseinstitusjonen vil derfor ikke vite om smitten og kan dermed ikke iverksette eventuelle smitteverntiltak. Dette kan ha uheldige konsekvenser ved enkelte tilstander, for eksempel infeksjon med meticillinresistente gule stafylokokker (MRSA). Behandlingsansvarlige leger som oppdager smittsom sykdom hos en nylig overflyttet pasient, skal derfor vurdere om smitten kan ha skjedd i den første helseinstitusjonen, og om det er smittevernmessige grunner for å varsle denne institusjonen.

Til § 7-8 Varsling om mulig smitte fra næringsmidler

Kommuneleger vil få varsler om mulig næringsmiddelbårne utbrudd etter § 7-3, samt få kjennskap til slike utbrudd på andre måter. Det er viktig for oppklaringen av utbruddene at kommunelegen varsler og inngår samarbeid med det lokale næringsmiddeltilsynet. I dette arbeidet kan næringsmiddeltilsynet ivareta blant annet inspeksjon av forhold rundt produksjon, tilberedning og frambud av næringsmidler, inkludert eventuell prøvetaking for smittestoffer. Videre kan det bli aktuelt å intervjue pasientene nøyere om hva og hvor de har spist. Uten pasientens samtykke kan ikke kommunelegen gi næringsmiddeltilsynet personidentifiserbare opplysninger.

Til § 7-9 Varsling om mulig smitte fra dyr

Distriktsveterinæren kan iverksette tiltak, inkludert avliving av dyr, for å hindre smitte til mennesker av zoonoser (sykdommer som kan smitte fra dyr til mennesker). Kommunelegen og distriktsveterinæren kan samarbeide om å oppklare smitteforholdene. Uten pasientens samtykke kan ikke kommunelegen gi distriktsveterinæren personidentifiserbare opplysninger .

Til § 7-10 Varsling om mulig smitte fra blodgiver

Leger som finner at en pasient har en sykdom som kan overføres med blod eller blodprodukter, skal som del av den personlige smittevernveiledningen, jf. smittevernloven § 2-1, forklare pasienten at han eller hun ikke kan gi blod. Blodgivere blir også før blodgivning spurt om de har sykdommer som kan overføres med blod. Som et ytterligere sikkerhetstiltak skal laboratoriene og legene også selv varsle den aktuelle blodbank. Et slikt varsel har betydning for pasientens framtidige mulighet for å gi blod, men også for vurdering av tidligere blodgivning. Blodbanker som mottar slike varsler, skal varsle Statens legemiddelverk og samtidig vurdere om pasienten tidligere kan ha gitt smittefarlig blod. I så fall skal blodbanken iverksette nødvendige tiltak.

Til § 8-1 Straff

Bestemmelsen er en straffebestemmelse og gir adgang til å idømme straff ved overtredelse av bestemmelsene i §§ 2-1, 2-3, 2-4, 2-5 og §§ 4–2 til 4–4.

Helseregisterloven gir også andre sanksjonsmuligheter ved overtredelse av loven eller forskrift i medhold av loven. Det er adgang til å gi pålegg og å ilegge tvangsmulkt. Videre kan den registrerte i visse tilfeller kreve erstatning, dersom det er behandlet helseopplysninger i strid med forskriften. Disse bestemmelsene er allmenne og generelle, og gjelder uavhengig av om de er inntatt i forskriften eller ikke. Det vises til helseregisterloven §§ 32, 33 og 35.

Til § 9–1 Ikraftsetting

Bestemmelsen fastslår at denne forskriften trer i kraft …...

Utkast til forskrift om innsamling og behandling av helseopplysninger i system for vaksinasjonskontroll (SYSVAK-registerforskriften)

Fastsatt ved kgl. res……. 2003 med hjemmel i lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger §§ 8 fjerde ledd jf tredje ledd, 9 annet ledd, 16 fjerde ledd, 17 tredje ledd, 22 femte ledd, 27 annet ledd, lov 2. juli 1999 nr. 64 om helsepersonell mv § 37 og lov 5. august 1994 nr. 55 om vern mot smittsomme sykdommer §§ 2-3 fjerde ledd, 3-8 femte ledd.

Fremmet av Helsedepartementet.

Kapittel 1 Generelle bestemmelser

§ 1-1 (Etablering av system for vaksinasjonskontroll, SYSVAK)

Denne forskriften etablerer et landsomfattende vaksinasjonsregister, SYSVAK. Forskriften gir regler for innsamling og behandling av helseopplysninger i registeret.

Innsamling og behandling av helseopplysninger i vaksinasjonsregisteret kan skje manuelt og ved hjelp av elektroniske hjelpemidler.

§ 1-2 (Innholdet i SYSVAK)

SYSVAK inneholder personidentifiserbare opplysninger om vaksinasjoner og personer som er omfattet av departementets vaksinasjonsprogram, jf. smittevernloven

§ 3-8 og forskrift om kommunens helsefremmende og forebyggende arbeid i helsestasjons- og skolehelsetjenesten.

§ 1-3 (Registerets formål)

Formålet med SYSVAK er å

1. innsamle opplysninger til vaksinasjonsregisteret og innenfor forskriftens rammer behandle dem for å:

• holde oversikt over vaksinasjonsstatus hos den enkelte,
• holde oversikt over eventuelle komplikasjoner etter vaksinasjon eller mistanke om slike,
• fremskaffe informasjon til sentrale og lokale helsemyndigheter som grunnlag for å sikre en tilfredsstillende vaksinasjonsdekning på landsbasis,
• gi norske myndigheter grunnlag for å bidra til internasjonal statistikk på nærmere avgrensede områder.

2. fremme og legge grunnlag for forskning med sikte på å utvikle og fremme kvaliteten på vaksinasjonen som tilbys.

Opplysninger i SYSVAK kan foruten til formål som nevnt i første ledd, behandles til styring, planlegging og kvalitetssikring av helsetjenesten og helseforvaltningen samt til utarbeiding av statistikk og til forskning.

§ 1-4 (Forbud mot bruk)

Opplysningene i SYSVAK kan ikke anvendes til formål som er uforenlig med formål som nevnt i § 1-3.

Opplysninger om enkeltindivider som er fremkommet ved behandling av helseopplysninger etter forskriften, kan ikke brukes i forsikringsøyemed selv om den registrerte samtykker.

§ 1-5 (Databehandlingsansvarlig)

Nasjonalt folkehelseinstitutt er databehandlingsansvarlig for innsamling og behandling av helseopplysninger i SYSVAK.

§ 1-6 (Databehandler)

Nasjonalt folkehelseinstitutt kan inngå skriftlig avtale med en databehandler om innsamling og behandling av opplysninger i SYSVAK, herunder om overvåkning og forskning, jf. § 1-3, drift og kvalitetssikring av registeret, samt utlevering av data til brukere.

§ 1-7 (Opplysninger om vaksinasjoner i SYSVAK)

SYSVAK kan uten samtykke fra den registrerte eller den registrertes pårørende inneholde følgende opplysninger om personer som er omfattet av eller vaksinert i henhold til departementets vaksinasjonsprogram, i den utstrekning det er nødvendig for å nå formålet med registeret:

1. personopplysninger:

1.1 navn og fødselsnummer,

1.2 adresse og bostedskommune,

2. administrative opplysninger:
3. 1. virksomhetsnummer
4. medisinske opplysninger:

3.3 andre årsaker til manglende gjennomføring av hele eller deler av

vaksinasjonsprogrammet,

3.4 eventuelle komplikasjoner eller bivirkninger etter vaksinasjoneller mistanke om
slike.

Registeret kan inneholde personopplysninger om den eller de som har den daglige omsorgen for barnet, dersom barnet ikke er tildelt eget fødselsnummer.

Registeret kan inneholde annen personentydig identifikasjon for personer uten norsk fødselsnummer. Tidligere vaksinasjonsstatus som ikke er registrert i SYSVAK, skal etterregistreres.

§ 1-8 (Koding og klassifisering av opplysningene i SYSVAK, krav til dokumentasjon)

Nasjonalt folkehelseinstitutt skal ved enhver registrering i registeret kunne dokumentere hvilke kodeverk og klassifikasjoner som er benyttet.

Departementet kan gi nærmere bestemmelser om hvilke nasjonale eller internasjonale kodeverk og klassifikasjoner som skal benyttes ved registrering av opplysninger i SYSVAK.

Kapittel 2 Melding av helseopplysninger til SYSVAK, kvalitetskontroll m.v.

§ 2-1 (Helsepersonells dokumentasjons- og meldeplikt)

Helsepersonell som gir vaksinasjoner i henhold til departementets vaksinasjonsprogram, skal uten hensyn til taushetsplikt registrere og melde opplysninger som nevnt i forskriften § 1-7 til SYSVAK.

Helsepersonell skal ved vaksinasjonen opplyse om at vaksinasjonsstatus vil bli registrert i SYSVAK, og at det ikke er anledning til å reservere seg mot registrering.

Melding sendes til SYSVAK senest en uke etter at vaksinasjonen er gjennomført. Melding om vaksinekomplikasjon eller bivirkning eller mistanke om slike skal meldes så snart den blir kjent for helsepersonellet.

§ 2-2 (Meldingsskjema, formkrav)

Melding om opplysninger som nevnt i § 2-1 og § 2-2, skal skje på skjema eller på annen måte fastsatt av departementet.

Departementet kan gi pålegg om bruk av bestemte klassifikasjoner og kodeverk ved registrering av opplysningene, samt pålegg om bruk av standardiserte meldingsformater ved forsendelsen av opplysningene.

§ 2-3 (Virksomhetens plikter)

Helseinstitusjon, helsesenter og annen virksomhet som er ansvarlig for registrering av opplysninger som skal meldes til SYSVAK, jf. § 1-7, har ansvar for at pliktene som nevnt i § 2-1 og § 2-2 oppfylles, og skal sørge for at det finnes rutiner som sikrer dette jf. § 4-2 og § 4-3.

§ 2-4 (Innhenting av tilleggsopplysninger)

Nasjonalt folkehelseinstitutt kan, dersom det er nødvendig, innhente tilleggsopplysninger ved melding om komplikasjon eller bivirkning etter vaksinasjon eller mistanke om slik for å få klarlagt hva komplikasjonene består i, måten vaksinene har vært gitt på og nærmere informasjon om det produkt som har vært brukt.

§ 2-5 (Mottakers ansvar for kvalitetskontroll)

Nasjonalt folkehelseinstitutt skal sørge for at helseopplysninger som behandles i SYSVAK, er korrekte, relevante og nødvendige for de formål de innsamles for, jf. § 1-3. Som ledd i kvalitetskontrollen kan det gjøres rutinemessige samkjøringer mot Det sentrale folkeregister.

Dersom meldingsskjema er mangelfullt utfylt, skal avsenderen av skjema varsles, jf. helseregisterloven § 9 annet ledd annet punktum. Ved fortsatt mangelfull utfylling av skjema skal Statens helsetilsyn varsles.

Kapittel 3 Behandling av helseopplysninger i SYSVAK.

§ 3-1 (Sammenstilling av opplysninger for fremstilling av statistikk)

Opplysninger i SYSVAK kan sammenstilles (kobles) med opplysninger i Kreftregisteret, Dødsårsaksregisteret, Meldesystemet for smittsomme sykdommer, Tuberkuloseregisteret og Medisinsk fødselsregister, dersom det gjøres av den databehandlingsansvarlige for ett av de nevnte registrene eller en virksomhet departementet bestemmer, og resultatet av sammenstillingen fremkommer i anonymisert form.

Den databehandlingsansvarlige skal normalt effektuere forespørsler om statistiske opplysninger fra forvaltningen og forskere innen 60 dager fra den dagen bestillingen kom inn. Dersom særlige forhold gjør det umulig å effektuere forespørselen innen fristen, kan effektueringen utsettes inntil det er mulig å oppfylle den. Den databehandlingsansvarlige skal i så fall gi et foreløpig svar med opplysninger om forespørselen kan effektueres, om grunnen til forsinkelsen og sannsynlig tidspunkt for når bestillingen kan effektueres.

Helseopplysninger som mottas for fremstilling av statistikk etter første ledd, skal slettes så snart statistikkfremstillingen er tilfredsstillende gjennomført.

§ 3-2 (Sammenstilling av opplysninger i SYSVAK med opplysninger i andre registre for forskning m.v.)

Nasjonalt folkehelseinstitutt kan sammenstille opplysninger i registeret med opplysninger i helseregistre som nevnt i § 3-1 første ledd, for uttrykkelig angitte formål innen registerets formål, jf. forskriften § 1-3, dersom det er ubetenkelig ut fra etiske hensyn og databehandleren (forskeren) bare skal behandle avidentifiserte opplysninger.

Sammenstilte helseopplysninger kan ikke lagres før navn, fødselsdag og personnummer er slettet eller kryptert. Direkte personidentifiserende opplysninger (navn og fødselsnummer) som mottas for behandlingen, skal slettes så snart sammenstillingen (koblingen) er tilfredsstillende gjennomført.

Alle opplysninger som inngår i behandlingen etter første og annet ledd, skal slettes ved prosjektavslutning.

§ 3-3 (Utlevering av sammenstilte datafiler til forskning m.v.)

Avidentifiserte opplysninger som nevnt i § 3-2 første ledd skal etter søknad gjøres tilgjengelig for og utleveres til forskning, eventuelt annet uttrykkelig angitt formål innenfor registerets formål, jf. forskriften § 1-3, dersom:

• mottakeren bare skal behandle avidentifiserte opplysninger,
• behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn, og
• sammenstillingen og tilretteleggingen av dataene gjøres av databehandlingsansvarlig for et av de registrene hvis opplysninger behandles, eller i en virksomhet departementet bestemmer.

Forskriften § 3-2 annet ledd gjelder tilsvarende.

Den databehandlingsansvarlige skal utlevere eller overføre nødvendige og relevante data til den ansvarlige for det angitte prosjektet innen 60 dager fra den dagen søknaden kom inn. Rettsgrunnlaget for behandlingen av opplysningene skal fremgå av søknaden, jf. første ledd.

Dersom særlige forhold gjør det umulig å effektuere søknaden innen den angitte fristen, kan effektueringen utsettes inntil det er mulig å oppfylle den. Den databehandlingsansvarlige skal i så fall gi et foreløpig svar med opplysninger om forespørselen kan effektueres, om grunnen til forsinkelsen og sannsynlig tidspunkt for når søknaden kan effektueres.

Alle opplysninger som inngår i behandlingen etter denne paragrafen, skal slettes eller tilbakeleveres ved prosjektavslutning.

§ 3-4 (Plikt til å utlevere ikke koblede data til forskning m.v.)

Nasjonalt folkehelseinstitutt skal etter forespørsel fra forvaltningen og forskere utlevere statistiske opplysninger fra SYSVAK innen 30 dager fra den dagen forespørselen kom inn.

Nasjonalt folkehelseinstitutt skal etter søknad utlevere avidentifiserte opplysninger fra SYSVAK dersom

- opplysningene skal brukes til et uttrykkelig angitt formål innenfor registerets
formål,

- mottakeren bare skal behandle avidentifiserte opplysninger og

- behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn.

Nasjonalt folkehelseinstitutt skal utlevere eller overføre nødvendige og relevante data til den databehandlingsansvarlige for det angitte prosjektet innen 30 dager fra den dagen søknaden kom inn. Rettsgrunnlaget for behandlingen av opplysningene skal fremgå av søknaden.

Forskriften § 3-3 fjerde og femte ledd gjelder tilsvarende.

§ 3-5 (Utlevering og annen behandling av opplysninger i SYSVAK)

Personidentifiserbare opplysninger fra SYSVAK kan, med mindre annet følger av denne forskriften, bare behandles (sammenstilles, utleveres etc.) etter tillatelse fra Datatilsynet og i samsvar med de alminnelige regler om taushetsplikt.

Sosial- og helsedirektoratet skal svare på forespørsler om utlevering av personidentifiserende opplysninger for bruk i uttrykkelig angitte forskningsprosjekter innen 30 dager fra den dagen forespørselen kom inn. Dersom særlige forhold gjør det umulig å svare på forespørselen innen den angitte fristen, kan svaret utsettes inntil det er mulig å gi svar. Sosial- og helsedirektoratet skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis.

§ 3-6 (Informasjonsstrategi rettet mot brukergrupper)

For å fremme bruk av data fra SYSVAK og for å bygge opp informasjon og kunnskap, jf. forskriften § 1-3, skal Nasjonalt folkehelseinstitutt ha en aktiv informasjonsstrategi og -plan rettet mot så vel helsetjenesten, helseforvaltningen og øvrig forvaltning, som mot forskere innen medisinsk forskning, helsetjenesteforskning og samfunnsforskning.

§ 3-7 (Kostnader)

Nasjonalt folkehelseinstitutt kan kreve betaling for behandling og tilrettelegging av opplysninger etter § 3-1 til § 3-5. Betalingen skal ikke overstige de faktiske utgiftene ved slik behandling og tilrettelegging av opplysningene.

§ 3-8 (Oversikt over utleveringer)

Nasjonalt folkehelseinstitutt skal føre oversikt over hvem som får utlevert opplysninger fra SYSVAK og hjemmelsgrunnlaget for utleveringene. Opplysningene skal oppbevares i minst fem år etter at utlevering har funnet sted.

Kapittel 4 Taushetsplikt, informasjonssikkerhet og internkontroll

§ 4-1 (Taushetsplikt)

Enhver som behandler helseopplysninger etter denne forskriften, har taushetsplikt etter forvaltningsloven §§ 13 til 13e, samt etter helsepersonelloven.

Taushetsplikten etter første ledd gjelder også pasientens fødested, fødselsdato, personnummer, statsborgerforhold, sivilstand, yrke, bopel og arbeidssted eller andre personentydige opplysninger jf. forskriften § 1-7 annet ledd.

Opplysninger til andre forvaltningsorganer etter forvaltningsloven § 13 b nr. 5 og 6 kan bare gis når det er nødvendig for å bidra til løsning av oppgaver etter forskriften her, eller for å forebygge vesentlig fare for liv eller alvorlig skade for noens helse.

§ 4-2 (Informasjonssikkerhet)

Nasjonalt folkehelseinstitutt og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, kvalitet og tilgjengelighet ved behandling av helseopplysninger etter forskriften, jf helseregisterloven § 16 flg.

Der behandling av helseopplysningene skjer helt eller delvis med elektroniske hjelpemidler, gjelder bestemmelsene om informasjonssikkerhet i forskrift til personopplysningsloven §§ 2-1 til 2-16.

§ 4-3 (Plikt til internkontroll)

Nasjonalt folkehelseinstitutt skal etablere internkontroll i samsvar med helseregisterloven § 17. De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang som er nødvendig for å etterleve krav gitt i eller i medhold av helseregisterloven, med særlig vekt på bestemmelser gitt i medhold av helseregisterloven § 16.

Databehandlere som behandler helseopplysninger på vegne av Nasjonalt folkehelseinstitutt, skal behandle opplysninger i samsvar med rutiner Nasjonalt folkehelseinstitutt har oppstilt.

§ 4-4 (Internkontrollens innhold)

Internkontrollen innebærer at den databehandlingsansvarlige skal ha kunnskap om gjeldende regler om behandling av helseopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av rutiner, samt ha denne dokumentasjonen tilgjengelig for dem den måtte angå. Internkontrollen skal blant annet inneholde:

1. oversikt over hvordan virksomheten er organisert,

2. oversikt over ansvars- og myndighetsforhold,

3. oversikt over de krav i og i medhold av helseregisterloven som gjelder for
virksomheten,

4. rutiner virksomheten følger for å sikre overholdelse av kravene, herunder rutiner
for:

4.1. oppfyllelse av krav om at personidentifiserende opplysninger bare behandles når
dette er nødvendig for å fremme formålet med behandlingen av opplysningene,
og i tråd med gjeldende bestemmelser om taushetsplikt, jf. helseregisterloven
§ 11 og § 15,

4.2. dokumentasjon og kvalitetskontroll av helseopplysningene, jf. forskriften § 1-8
og § 2-5,

4.3. oppfyllelse av begjæringer om informasjon og innsyn, jf. helseregisterloven § 21
til § 25, samt forskriften § 5-1,

4.4. hvordan virksomheten oppfyller bestemmelsene om tilgang til helseregistre,
jf. § 3-1, § 3-3, § 3-4 og § 3-5,

4.5. oppfyllelse av reglene om meldeplikt til Datatilsynet, jf. helseregisterloven § 29,

5. rutiner virksomheten følger dersom avvik oppstår, og opplysninger om hvem som er
ansvarlig,

6. rutiner virksomheten følger for å hindre gjentakelse av avvik, og opplysninger om
hvem som er ansvarlig,

7. rutiner for hvordan virksomheten systematisk og regelmessig gjennomgår sin
internkontroll for å kontrollere at aktivitetene og resultatene av dem stemmer
overens med det system virksomheten har fastlagt, og om det medfører oppfyllelse
av helseregisterlovgivningen,

8. rutiner for hvordan virksomheten sikrer seg at alle aktuelle og kun gjeldende rutiner
blir benyttet, og

9. rutiner for hvordan virksomheten sikrer at de ansatte har tilstrekkelig kompetanse til
å overholde forskriftens krav.

Skriftlig dokumentasjon skal minst omfatte dokumentasjon av rutiner som nevnt i første ledd nr. 1 til 8. Tilsynsmyndighetene kan gi pålegg om skriftlig dokumentasjon ut over dette, dersom det anses påkrevet. Tilsynsmyndighetene kan dispensere fra hele eller deler av dette kapittel når særlige forhold foreligger.

Kapittel 5 Den registrertes rett til informasjon og innsyn

§ 5-1 (Den registrertes rett til informasjon og innsyn)

Registrerte har rett til informasjon om SYSVAK og innsyn i behandling av helseopplysninger om seg selv i samsvar med helseregisterloven § 22 til § 25. Informasjonen skal gis i en forståelig form.

§ 5-2 (Informasjon og innsyn når den registrerte er mindreårig)

Foreldre eller andre med foreldreansvar har rett til innsyn etter regler tilsvarende dem i pasientrettighetsloven § 3-4.

§ 5-3 (Frist for å svare på henvendelser om innsyn)

Begjæringer om innsyn etter § 5-1 skal besvares uten ugrunnet opphold og senest innen 30 dager fra den dagen henvendelsen kom inn, jf. helseregisterloven § 19.

Dersom særlige forhold gjør det umulig å svare på henvendelsen innen 30 dager, kan gjennomføringen utsettes inntil det er mulig å gi svar. Den databehandlingsansvarlige skal i såfall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis.

Kapittel 6 Bevaring av helseopplysninger i SYSVAK

§ 6-1 (Bevaring av helseopplysninger)

Opplysninger i SYSVAK skal oppbevares i ubegrenset tid, med mindre annet følger av denne forskriften eller helseregisterloven § 26 eller § 28.

Kapittel 7 Straff

§ 7-1 (Straff)

Den som forsettelig eller grovt uaktsomt overtrer bestemmelser fastsatt i denne forskriften § 2-1, § 2-4, § 4-2 til § 4-4, straffes med bøter eller fengsel inntil ett år eller begge deler.

Medvirkning straffes på samme måte.

Kapittel 8 Avsluttende bestemmelser

§ 8-1 (Ikraftsetting)

Forskriften trer i kraft . Fra samme tidspunkt oppheves forskrift av 21. desember 2000 nr. 1317 om meldinger til system for vaksinasjonskontroll.

Merknader til de enkelte kapitler og paragrafer i utkast til forskrift

Merknadene er en veiledning som utdyper innholdet i de enkelte bestemmelsene i forskriften. Merknadene er i seg selv ikke bindende. Forskriften og veiledningen må ses i sammenheng for å få en best mulig forståelse av forskriftens bestemmelser.

Til § 1–1 Etablering av SYSVAK

Bestemmelsen gir hjemmel for etablering av SYSVAK, og gir regler for innsamling og behandling av helseopplysninger i registeret. Hjemmelsgrunnlaget er helseregisterloven § 8 fjerde ledd, jf. tredje ledd.

Det heter i annet ledd at innsamling og behandling av helseopplysninger i SYSVAK kan skje manuelt og ved hjelp av elektroniske hjelpemidler. Forutsetningen for bruk av elektroniske hjelpemidler er at tilstrekkelig informasjonssikkerhet kan opprettholdes ved bruk av slike hjelpemidler. Tilstrekkelig informasjonssikkerhet henspiller på integritet, konfidensialitet, tilgjengelighet og kvalitet. Kravet til konfidensialitet innebærer at bestemmelsene om taushetsplikt må kunne overholdes. Taushetsplikt innebærer ikke bare en passiv plikt til å tie, men er også en aktiv plikt til å hindre uvedkommende i å få tilgang til taushetsbelagt informasjon. Dersom bestemmelsene om taushetsplikt ikke kan overholdes ved bruk av elektroniske hjelpemidler, kan slike hjelpemidler ikke benyttes.

Til § 1–2 Innholdet i SYSVAK

Bestemmelsen angir innholdet i SYSVAK. Registeret skal omfatte opplysninger om alle vaksinasjoner som foretas i henhold til departementets nasjonale vaksinasjonsprogram jf smittevernloven § 3-8. Dette er Barnevaksinasjonsprogrammet som tilbys alle førskolebarn og barn i grunnskolealder på helsestasjonen og i skolehelsetjenesten. Barnevaksinasjonsprogrammet er nærmere omtalt i utkast til ny forskrift om kommunens helsefremmende og forebyggende arbeid i helsestasjons- og skolehelsetjenesten som har vært ute på høring.

Registeret skal også omfatte opplysninger om personer som er omfattet av Barnevaksinasjonsprogrammet, men som av ulike årsaker ikke er vaksinert eller ikke har fullført programmet. I henhold til forskriften § 1-7 kan registeret på dette punkt inneholde opplysninger om den manglende vaksineringen skyldes medisinske kontraindikasjoner eller andre årsaker (uten å spesifisere årsakene nærmere).

Til § 1–3 SYSVAKs formål

Bestemmelsen angir formålene med SYSVAK. Formålene som nevnt i bestemmelsens første ledd, tar dels sikte på å dekke formål som i dag fremgår av gjeldende forskrift om meldinger til system for vaksinasjonskontroll, og er dels en utvidelse av formålene. I forskriftens § 1-3 presiseres det nå at ett av formålene er å holde oversikt over eventuelle komplikasjoner eller bivirkninger etter vaksinasjon eller mistanke om slike. Eventuelle komplikasjoner eller bivirkninger er også meldingspliktig etter nåværende SYSVAKforskrift, men nytt i forslaget er at også mistanke om komplikasjoner skal meldes. Begrunnelsen for dette er at det er viktig at den norske befolkningen har tiltro til de vaksiner som tilbys. Helsemyndighetene er avhengige av at immuniteten blant befolkningen holdes så høy at bakterier/virus ikke får anledning til å sirkulere. For å sikre dette er det ønskelig at helsemyndighetene også får oversikt over mistenkte vaksinekomplikasjoner. Det presiseres også i bestemmelsens første ledd at et av formålene er å fremme og legge grunnlag for forskning for å fremme kvaliteten på vaksinene, samt å bidra til internasjonal statistikk.

Annet ledd angir hvilke andre formål opplysningene i SYSVAK kan brukes til. Det tenkes her særlig på tiltak som kan styrke helsetjenesten og helseforvaltningen. Også ved bruk av opplysninger fra SYSVAK til statistikk og forskning, som ikke fremgår av første ledd, er det et overordnet krav om at bruken skjer for å fremme helsemessige formål.

Til § 1–4 Forbud mot bruk

Bestemmelsen forbyr bruk av opplysninger i SYSVAK til visse formål.

Det heter i første ledd at opplysningene i SYSVAK ikke kan anvendes til formål som er uforenelig med formålet til SYSVAK, slik dette er nevnt i § 1-3. Bestemmelsen følger naturlig av helseregisterloven § 11 tredje ledd. Spørsmålet om bruk av opplysningene er uforenlig med formål som nevnt i § 1-3, må avgjøres konkret.

I annet ledd følger det at opplysninger om enkeltindivider som er fremkommet ved behandling av helseopplysninger etter forskriften, ikke kan brukes i forsikringsøyemed selv om den registrerte samtykker.

Til § 1–5 Databehandlingsansvarlig

Bestemmelsen fastslår at Nasjonalt folkehelseinstitutt er databehandlingsansvarlig for innsamling og behandling av opplysninger i SYSVAK. Ansvarsplasseringen ivaretar samtidig hensynet til en samlet og overordnet styring av landets sentrale epidemiologiske helseregistre.

Til § 1–6 Databehandler

I følge bestemmelsen kan Nasjonalt folkehelseinstitutt inngå skriftlig avtale med en databehandler om innsamling og behandling av helseopplysninger i SYSVAK.

Databehandler er i helseregisterloven § 2 nr. 9 definert som den som behandler helseopplysninger på vegne av den databehandlingsansvarlige. Det følger av helseregisterloven § 18 at en databehandler ikke kan behandle helseopplysninger på annen måte enn det som er skriftlig avtalt med den databehandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til andre for lagring eller bearbeidelse.

Det følger av helseregisterloven §§ 29 og 30 at Datatilsynet skal informeres om navn og adresse til eventuell databehandler, og om hvem som har det daglige ansvaret for å oppfylle den databehandlingsansvarliges plikter etter forskriften.

Til § 1–7 Opplysninger om vaksinasjoner i SYSVAK

Det følger av helseregisterloven § 8 tredje ledd at SYSVAK kan inneholde personidentifiserbare opplysninger uten at den registrerte har samtykket, i den utstrekning det er nødvendig for å nå målet med registeret. Forskriften § 1-7 spesifiserer hvilke typer opplysninger som kan registeres og behandles i SYSVAK uten samtykke fra verken den registrerte eller dennes pårørende.

Bestemmelsens nr. 1 refererer seg til personlige opplysninger som skal registreres, herunder navn og fødselsnummer. Bestemmelsens nr. 2 refererer seg til administrative opplysninger som virksomhetsnummer. Bestemmelsens nr. 3 refererer seg til medisinske opplysninger. Eksempler på slike data ved siden av dato og typekode er dosestørrelse og batch nummer på vaksinen. Dersom vedkommende ikke har gjennomført hele eller deler av barnevaksinasjonsprogrammet, skal dette registreres i SYSVAK. Det skilles mellom medisinske kontraindikasjoner og andre årsaker til at hele eller deler av vaksinasjonsprogrammet ikke er fulgt. Av personvernhensyn skal det ikke registreres nærmere hvilke årsaker som er grunnen til manglende vaksinering. Begrunnelsen for å registrere om det er medisinske årsaker eller andre årsaker til manglende vaksinering er å få kunnskap om årsakene til eventuell manglende vaksinering og å kartlegge behovet for tiltak for å høyne vaksinasjonsdekningen i Norge.

I henhold til bestemmelsen skal eventuelle komplikasjoner etter vaksinasjon meldes. Det er viktig ved melding om vaksinasjonskomplikasjon å få detaljert klarlagt hva komplikasjonen består i, om måten vaksinen har vært gitt på og om det produkt som har vært brukt. Det er en slik bestemmelse i gjeldende forskrift. Det nye er at også mistanke om komplikasjon skal meldes. Dersom det er tvil eller uklarhet om det foreligger årsakssammenheng mellom vaksinen og en bestemt sykdom eller sykdomstilstand, skal tilfellet meldes og fremgå av SYSVAK. Bestemmelsen er gitt for å sikre at helsemyndighetene får en bedre oversikt også over mistenkte vaksinasjonskomplikasjoner. Se merknad til forskriften § 1-3.

Registeret kan inneholde annen identifikasjon for personer uten norsk fødselsnummer. Eksempel på annen identifikasjon er passnummer. I de tilfeller hvor barn ikke har fullstendig personnummer, skal det opplyses enten om mors/omsorgspersons fødselsnummer eller mors/omsorgspersons fødselsdato sammen med dennes for- og etternavn.

Til § 1–8 Koding og klassifisering av opplysningene i SYSVAK, krav til dokumentasjon

Bestemmelsen omhandler koding og klassifisering av opplysninger i SYSVAK og setter krav til dokumentasjon.

Det slås fast i første ledd at Nasjonalt folkhelseinstitutt ved enhver registrering i SYSVAK skal kunne dokumentere hvilke kodeverk eller klassifikasjoner som er brukt. Hensikten med bestemmelsen er å lette tilgjengeligheten på opplysningene i SYSVAK. Opplysningene som sendes inn til SYSVAK, registreres der i kodet form. For at innholdet i registeret, de medisinske opplysninger, skal bli tilgjengelig og forståelig for dem som skal bruke opplysningene i konkrete forskningsprosjekter m.v., må brukerne vite hva de ulike kodene betyr, dvs. den kodete informasjonen må oversettes til norsk språk eller medisinsk terminologi.

Til § 2–1 Helsepersonells dokumentasjons- og meldeplikt til SYSVAK

Helsepersonell som gir vaksine, yter helsehjelp, jf helsepersonelloven § 3 tredje ledd, og plikter etter helsepersonellloven § 39 å føre journal i samsvar med helsepersonelloven § 40 og journalforskriften. I tillegg følger det av helseregisterloven § 9 og denne forskriften § 2-1 at helsepersonellet har plikt til å melde opplysninger som nevnt i § 1-7 til SYSVAK.

Taushetsplikten etter helsepersonelloven og forvaltningsloven er ikke til hinder for at opplysningene meldes til SYSVAK.

Det følger av bestemmelsen annet ledd at helsepersonellet har informasjonsplikt om at vaksinasjonsstatus vil bli registeret i SYSVAK, og at man ikke kan reservere seg mot registrering. Slik informasjonsplikt følger også av helsepersonelloven og lov om pasientrettigheter.

Det går fram av bestemmelsens tredje ledd at melding om vaksinasjon skal meldes til SYSVAK senest en uke etter at vaksinasjonen er gjennomført. Bivirkninger og komplikasjoner som opptrer i umiddelbar sammenheng med gjennomføringen av vaksinasjonen, skal meldes innen en uke. Bivirkninger og komplikasjoner eller mistanke om slike som kommer i ettertid, skal i henhold til siste punktum meldes så snart den blir kjent for helsepersonellet. Melding til SYSVAK vil i slike tilfeller skje i to omganger; først ved selve vaksineringen og deretter ved eventuelle bivirkninger og komplikasjoner eller mistanke om slike som opptrer i ettertid.

Til § 2–2 Meldingsskjema, formkrav m.v.

Det følger av bestemmelsen at opplysninger til SYSVAK skal meldes på skjema eller på annen måte fastsatt av departementet. Meldingsskjema som brukes ved forskriftens ikrafttredelse, benyttes inntil nye skjema er fastsatt.

Det heter i annet ledd at departementet kan sette krav om bruk av bestemte klassifikasjoner og kodeverk ved registrering av opplysningene, og gi pålegg om bruk av standardiserte meldingsformater ved forsendelsen av opplysningene. Krav om bruk av bestemt meldingsformat kan særlig være aktuelt ved elektronisk meldingsformidling.

Til § 2-3 Virksomhetens plikter

Det følger av bestemmelsen at helseinstitusjon og annen virksomhet som er ansvarlig for opplysninger som skal registreres og meldes etter § 2–1, jf. § 2–2, har ansvar for at pliktene oppfylles, og skal sørge for at det finnes rutiner som sikrer dette. I praksis vil det være slik at helsepersonell som vaksinerer, som en del av dokumentasjonsplikten i helsepersonelloven § 39, fyller ut skjema elektronisk eller på papir. Virksomheter som yter vaksinasjon, plikter i følge helseregisterloven § 9 å utlevere og overføre opplysninger i samsvar med SYSVAKforskriften. Virksomheten må ha utarbeidet systemer som sikrer at skjemaet sendes videre til SYSVAK, slik at helsepersonellet får overholdt sine plikter jf. helsepersonelloven § 16. Elektronisk formidling av opplysningene forutsetter at tilstrekkelig informasjonssikkerhet er ivaretatt, blant annet at personidentifiserende kjennetegn (navn og fødselsnummer) og andre helseopplysninger er kryptert under forsendelsen. Videre må den meldepliktige virksomhet ha programmer og systemer for elektronisk kommunikasjon der navn og fødselsnummer ikke automatisk overføres sammen med de øvrige opplysningene.

Til § 2-4 Innhenting av tilleggsopplysninger

Bestemmelsen er gitt for å sikre at Nasjonalt folkehelseinstitutt kan innhente nødvendig tilleggsinformasjon, der vaksinereaksjoner har ført til legekontakt eller sykehusinnleggelse for å få klarhet i hendelsesforløpet.

Til § 2–5 Mottakers ansvar for kvalitetskontroll

Bestemmelsen fastslår at Nasjonalt folkehelseinstitutt som databehandlingsansvarlig for SYSVAK skal sørge for at helseopplysninger som registreres i registeret, er korrekte, relevante og nødvendige for de formål de innsamles for, jf. § 1–3. Annet punktum fastslår at som ledd i kvalitetskontrollen kan det gjøres rutinemessige samkjøringer mot Det sentrale folkeregister. En slik kvalitetskontroll gjøres også i dag. Bestemmelsen er således en forskriftsfastsettelse av etablert praksis.

Annet ledd i forskriften fastslår at dersom meldingsskjema er mangelfullt utfylt, skal avsenderen av skjema varsles. Bestemmelsen er en presisering av helseregisterloven § 9 annet ledd annet punktum. Mangelfullt utfylt skjema omfatter også ikke utfylt skjema. Ved fortsatt mangelfull utfylling av skjema skal Statens helsetilsyn varsles. Dersom det må gjøres gjentatte purringer (mer enn to), anses dette å være mangelfull utfylling av skjema.

Til § 3–1 Sammenstilling av opplysninger for fremstilling av statistikk

Bestemmelsen gir rettsgrunnlag for utarbeidelse av statistikk. Et vilkår er at statistikkfremstillingen gjøres av den databehandlingsansvarlige for ett av de nevnte registrene eller i en virksomhet departementet bestemmer. Databehandlingsansvarlig for de nevnte registrene er Nasjonalt folkehelseinstitutt og institusjonen Kreftregisteret.

En sammenstilling av opplysninger etter § 3–1 eller produksjon av statistikk innebærer at det er statistikk eller tabelldata som etterspørres. Etterspørreren kan være en kommune, en fylkeskommune eller en region som skal bruke dataene i planleggingsøyemed, eller etterspørreren kan være en forsker. Hvorvidt tabelldataene eller statistikken er tilstrekkelig anonymisert, må vurderes i hvert enkelt tilfelle. Ved publisering av tabeller på lokalt og regionalt nivå har det i praksis vært lagt til grunn 4 eller 5 enheter. Det innebærer at en ikke sammenstiller materiale hvor færre enn 4 eller 5 personer inngår.

Annet ledd gir en tidsfrist for hvor raskt en bestilling på statistiske data skal effektueres. Bestemmelsen er en oppfølging av NOU 1997: 26 Tilgang til helseregistre. Det er departementets ønske at dataene i sentrale helseregistre skal brukes mer aktivt som planleggingsgrunnlag av helsetjenesten.

Tredje ledd fastslår at helseopplysninger som mottas for fremstilling av statistikk etter første ledd, skal slettes så snart sammenstillingen er tilfredsstillende gjennomført. Bestemmelsen følger naturlig av helseregisterloven § 27 første ledd om at helseopplysninger ikke skal lagres lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen av helseopplysningene.

Til § 3–2 Sammenstilling av opplysninger fra SYSVAK med opplysninger i andre registre for forskning m.v.

Bestemmelsen gir regler for forskning på sammenstilte helseopplysninger internt i SYSVAK, dvs. der opplysninger i SYSVAK er sammenstilt med opplysninger i andre sentrale helseregistre som er oppregnet i paragrafen ovenfor. Hjemmelen for utlevering av helseopplysninger fra de nevnte helseregistrene til SYSVAK i sammenstillingsøyemed er helseregisterloven § 14 første punktum, jf. § 12 annet punktum.

Behandling av opplysninger i henhold til denne bestemmelsen krever ikke konsesjon fra Datatilsynet, men det skal sendes melding til Datatilsynet, jf. helseregisterloven § 29.

Første ledd oppstiller tre vilkår for at en behandling (sammenstilling/kobling og tilrettelegging) av opplysninger for bruk i et bestemt forskningsprosjekt skal kunne skje etter denne bestemmelsen.

Det éne vilkåret er at prosjektet har et uttrykkelig angitt formål innenfor registerets formål, jf. § 1–3.

Det andre vilkåret er at databehandleren (forskeren, prosjektansvarlig etc.) bare skal behandle eller forske på avidentifiserte opplysninger. Den behandlingsansvarlige for SYSVAK må sørge for og vil være ansvarlig for selve prosessen med å sammenstille og å kvalitetssikre og tilrettelegge dataene. Først etter denne prosessen vil dataene være avidentifisert. Denne prosessen må foregå i nært samarbeid mellom sammenstilleren/kvalitetskontrolløren og forskeren.

Det tredje vilkåret er at sammenstillingen blir vurdert som ubetenkelig ut fra etiske hensyn. Ubetenkelig kan for eksempel referere til om et forskningsprosjekt blir vurdert som berettiget og forsvarlig. Det er den databehandlingsansvarlige for SYSVAK som er ansvarlig for at behandlingen av opplysningene er ubetenkelig.

I annet ledd første punktum heter det at sammenstilte helseopplysninger ikke kan lagres før navn, fødselsdag og personnummer er slettet eller kryptert. Bestemmelsen forbyr den databehandlingsansvarlige å lagre koblede opplysninger på navn og fødselsnummer. I annet ledd annet punktum heter det at direkte identifiserende opplysninger, dvs. navn og fødselsnummer som mottas for behandlingen, skal slettes så snart sammenstillingen er tilfredsstillende gjennomført. Bestemmelsen vil hindre at det lagres kopier av direkte identifiserende helseopplysninger utenfor databasen i SYSVAK.

I tredje ledd heter det at alle opplysninger som inngår i behandlingen etter første og annet ledd, skal slettes ved prosjektavslutning. Kravet om sletting av alle direkte og indirekte personidentifiserende opplysninger refererer seg både til de avidentifiserte opplysningene som forskeren og eventuelt andre har behandlet, jf. første ledd, og til de helseopplysningene som eventuelt er kryptert, jf. annet ledd.

Til § 3–3 Utlevering av sammenstilte datafiler til forskning m.v.

Første ledd gir eksterne forskere og eventuelt andre som har oppgaver innen helsetjenesten og helseforvaltningen, adgang til sammenstilte og tilrettelagte avidentifiserte opplysninger fra flere sentrale helseregistre, dersom opplysningene skal brukes til et uttrykkelig angitt formål innenfor registerets formål, jf. forskriften § 1–3. Helseregistre som kan sammenstilles i dette øyemed, er positivt oppregnet i forskriften § 3–1. Bestemmelsen er en oppfølging av NOU 1997: 26 Tilgang til helseregistre, og gir økt tilgang til registerdata.

Det er tre kumulative vilkår som må være tilstede for at sammenstilling og utlevering av data til et uttrykkelig angitt formål kan skje.

For det første er det et vilkår at mottakeren bare skal behandle avidentifiserte data. Avidentifiserte data er definert som helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysninger som tidligere ble fjernet. Oppfyllelse av dette vilkåret forutsetter at mottakeren (for eksempel forskeren) som skal behandle opplysningene, ikke selv sitter inne med egne opplysninger eller individdata som skal kobles til og behandles sammen med de utleverte opplysningene.

Sammenstillings- og tilretteleggingsinstansen vil forestå selve prosessen med å sammenstille og å kvalitetssikre dataene. Først etter denne prosessen vil dataene være avidentifisert. Denne prosessen må foregå i nært samarbeid mellom sammenstilleren/kvalitetskontrolløren og forskeren. Dataene skal ikke utleveres til eksterne forskere før de er tilstrekkelig avidentifisert. Hvorvidt dataene er avidentifisert eller ikke, må vurderes konkret i forhold til hvert enkelt prosjekt.

Mottakeren av de avidentifiserte opplysningene skal sende melding til Datatilsynet etter helseregisterloven § 29.

Dersom mottakeren har egne data, og ber om å få koblet data fra et eller flere av de nevnte helseregistrene til data (identiteter) mottakeren selv sitter inne med, gjelder forskriften § 3–5.

Utlevering av avidentifiserte data til forskere, eventuelt andre berettigede mottakere – slik avidentifiserte data defineres i helseregisterloven – anses ikke å være i strid med helsepersonellovens eller forvaltningslovens bestemmelser om taushetsplikt. De avidentifiserte dataene vil ikke være anonyme fordi opplysningene vil kunne tilbakeføres indirekte, dvs. sammenstillings- og tilretteleggingsinstansen vil kunne tilbakeføre opplysningene. Mottakeren skal ikke kunne tilbakeføre opplysningene.

Dersom en står foran et forskningsprosjekt hvor behovet for data er stort og forutsetter bruk av mange variabler, herunder data som kjønn, fødselsmåned, år etc., og opplysningene kan tilbakeføres til et bestemt individ, vil forskriften § 3–3 ikke være det rette hjemmelsgrunnlaget. I slike tilfeller vil forskriften § 3–5 være det rette hjemmelsgrunnlag.

Det andre vilkåret er at behandlingen av opplysningene blir vurdert som ubetenkelig ut fra etiske hensyn. Ubetenkelig henspiller blant annet på om forskningsprosjektet er berettiget og forsvarlig. Det er den ansvarlige for prosjektet som er ansvarlig for at behandlingen av opplysningene og bruken av dem er ubetenkelig. Dersom regional etisk komite vurderer et prosjekt som positivt, kan databehandlingsansvarlig ikke avslå å utlevere avidentifiserte data med den begrunnelse at prosjektet ikke er forsvarlig eller berettiget.

Det tredje vilkåret er at sammenstillingen og tilretteleggingen av dataene gjøres av databehandlingsansvarlig for et av de registrene hvis opplysninger behandles (sammenstilles). En virksomhet som departementet eventuelt bestemmer skal sammenstille og tilrettelegge data for eksterne forskere, vil være databehandler for Nasjonalt folkehelseinstitutt, og det må inngås skriftlig avtale etter helseregisterloven § 18, jf. forskriften § 1–6.

Annet ledd viser til forskriften § 3–2 annet ledd. Det følger av denne bestemmelsen at virksomheten ikke kan lagre de sammenstilte helseopplysninger før navn, fødselsdag og personnummer er slettet eller kryptert. Videre forutsettes det at direkte personidentifiserende opplysninger (navn og fødselsnummer) som mottas for behandlingen, skal slettes så snart sammenstillingen er tilfredsstillende gjennomført.

Tredje ledd sier at den databehandlingsansvarlige skal utlevere eller overføre nødvendige og relevante data til den ansvarlige for det angitte prosjektet innen 60 dager fra den dagen søknaden kom inn. Rettsgrunnlaget for den angitte behandlingen av opplysningene skal fremgå av søknaden, som nevnt i første ledd. Dersom departementet beslutter at en bestemt virksomhet skal sammenstille og tilrettelegge forskningsdata for eksterne mottakere, må frister og prosedyrer for hvordan dette skal skje nedfelles i en skriftlig avtale mellom institusjonen Nasjonalt folkehelseinstitutt og vedkommende virksomhet, slik at tidsfristen på 60 dager overholdes.

En forutsetning for at fristen på 60 dager kan overholdes er at det foreligger en presis søknad. Departementet er kjent med at søknadene om forskningsdata kan være ufullstendige, og at det må gås flere runder før innholdet i en søknad er tilstrekkelig detaljert slik av data kan leveres. I sistnevnte tilfeller vil det være vanskelig å levere data innen en frist på 60 dager. I slike tilfeller kan leveringen av data utsettes, inntil det er mulig å oppfylle den. Dette følger av fjerde ledd. Den databehandlingsansvarlige skal i så fall gi søkeren et foreløpig svar om grunnen til forsinkelsen. Dersom grunnen til at data vanskelig kan leveres, er at søknaden er ufullstendig, skal dette avhjelpes ved kommunikasjon, råd og veiledning fra registerets side. Det skal foreligge spesielle og midlertidige forhold ved registeret for å kunne påberope seg en utsatt levering etter fjerde ledd. Lengre saksbehandlingstid enn 60 dager skal ikke være rutine. Kravet om å overholde fristen må imidlertid ikke gå på bekostning av kvalitet.

Til § 3–4 Plikt til å utlevere ikke koblede data til forskning m.v.

Bestemmelsen regulerer tilgang til ikke-koblede data fra SYSVAK. Prosjekter som gjør bruk av ikke-koblede data, reguleres på samme måte som prosjekter som gjør bruk av koblede data. Bruk av denne bestemmelsen forutsetter at den eksterne mottakeren ikke har egne data som kan kobles på data som utleveres.

Til § 3–5 Utlevering og annen behandling av opplysninger i SYSVAK

Bestemmelsen regulerer utlevering og annen behandling av opplysninger i SYSVAK enn det som følger av bestemmelsene foran. Første ledd krever at slik behandling har konsesjon fra Datatilsynet og skjer i samsvar med de alminnelige regler om taushetsplikt, dvs. reglene om taushetsplikt i forvaltningsloven og helsepersonelloven, jf. forskriften § 4–1.

Vilkårene for utlevering av opplysninger fra SYSVAK til forskningsformål er at Sosial- og helsedirektoratet har bestemt at opplysningene kan brukes til det formulerte formålet uten hensyn til taushetsplikt, og at mottaker av opplysningene har tillatelse fra Datatilsynet til å behandle opplysningene til angitte formål. Forskning på identifiserbart humant materiale eller identifiserbare data skal også fremlegges for en regional forskningsetisk komite for medisin til vurdering.

Forskningsprosjekter som innebærer en kobling av data fra SYSVAK med forskerens egne data, reguleres også av denne bestemmelsen.

Det følger av annet ledd første punktum at Sosial- og helsedirektoratet skal svare på forespørsler om utlevering av personidentifiserende opplysninger for bruk i uttrykkelig angitte forskningsprosjekter innen 30 dager fra den dagen forespørselen kom inn. Tidsfristen på 30 dager anses viktig for å kunne øke bruken av data fra SYSVAK i konkrete forskningsprosjekter.

Det heter i annet punktum at dersom særlige forhold gjør det umulig å svare på forespørselen innen den angitte fristen, kan svaret utsettes inntil det er mulig å gi svar. Sosial- og helsedirektoratet skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når søknaden kan effektueres. I et slikt foreløpig svar må Sosial- og helsedirektoratet også informere om det er behov for ytterligere opplysninger, dersom det er nødvendig for å gi et positivt svar. Det skal foreligge spesielle og midlertidige forhold i Sosial- og helsedirektoratet for å kunne påberope seg en utsatt levering etter denne bestemmelsen. Lengre saksbehandlingstid enn 30 dager skal ikke være rutine.

Til § 3–6 Informasjonsstrategi rettet mot brukergrupper

Bestemmelsen fastslår at Nasjonalt folkehelseinstitutt skal ha en aktiv informasjonsstrategi og -plan rettet mot brukergrupper. Forskriften krever ikke at denne planen skal være skriftlig. Innholdet i kravet går på å ha et bevisst åpent og positivt forhold til å samhandle med ulike forskningsmiljøer og andre brukergrupper. Det er et selvstendig mål at dataene blir brukt i forskningsprosjekter utenfor SYSVAK og til planlegging av helsetjenesten. En effektiv bruk av data fra SYSVAK kan best gjennomføres ved at Nasjonalt folkhelseinstitutt informerer kommuneleger, helseplanleggere, helseadministratorer, forskere m.v. om hvilke muligheter SYSVAK gir til kunnskapsoppbygging og -utvikling.

Til § 3–7 Kostnader

Bestemmelsen gir adgang til å kreve betaling for utførte tjenester med bearbeidede data fra SYSVAK. Bestemmelsen innebærer ikke at en skal kreve kostnadsdekning av alle datautleveringer fra SYSVAK. Kostnader forbundet med utlevering av statistikk og avidentifiserte data til forskningsformål bør som hovedregel dekkes av ordinære driftsmidler. Større prosjekter bør det kunne kreves betaling for. Det fremgår av annet punktum at betalingen ikke skal overstige de faktiske utgiftene ved behandlingen av opplysningene.

Til § 3–8 Oversikt over utleveringer

Bestemmelsen pålegger Nasjonalt folkehelseinstitutt å føre oversikt over hvem som får utlevert opplysninger fra SYSVAK og hjemmelsgrunnlaget for utleveringene. Nasjonalt folkehelseinstitutt plikter å holde oversikt både over utleveringer av helseopplysninger til en eventuell koblingsinstans, jf. §§ 3–1 og 3–3 første ledd tredje strekpunkt, utlevering av avidentifiserte helseopplysninger etter § 3–4 og annen utlevering etter § 3–5. Opplysningene skal oppbevares i minst 5 år etter at utlevering har funnet sted.

Til § 4–1 Taushetsplikt

Bestemmelsen fastslår at både forvaltningslovens regler og helsepersonellovens regler om taushetsplikt kommer til anvendelse på helseopplysninger som behandles etter forskriften. Dette innebærer blant annet at eventuelle unntak fra taushetsplikten må ha hjemmel i begge lover før utlevering av opplysninger fra registeret kan skje.

Taushetsplikten er ikke bare en passiv plikt til å tie, men også en aktiv plikt til å hindre uvedkommende i å få tilgang til taushetsbelagt informasjon. Forsvarlig håndtering og oppbevaring av helseopplysninger er derfor en forutsetning for å etterleve lovbestemt taushetsplikt.

Til § 4–2 Informasjonssikkerhet

Første ledd viser til helseregisterloven § 16 flg. Bestemmelsen pålegger Nasjonalt folkehelseinstitutt og databehandleren å sørge for tilfredsstillende informasjonssikkerhet ved behandling av helseopplysninger. Dette omfatter blant annet et ansvar for å sørge for at tilstrekkelig sikkerhetsfaglig kompetanse er tilgjengelig. I tillegg til ansvar for sikkerheten i egen organisasjon må Nasjonalt folkehelseinstitutt også forsikre seg om at informasjonssikkerheten er tilfredsstillende hos kommunikasjonspartnere og leverandører. Begrepet informasjonssikkerhet omfatter:

sikring av konfidensialitet, dvs. beskyttelse mot at uvedkommende får innsyn i opplysningene, herunder sikkerhet for at reglene om taushetsplikt overholdes,

• sikring av integritet, dvs. beskyttelse mot utilsiktet endring av opplysningene,
• sikring av tilgjengelighet, dvs. sørge for at tilstrekkelige og relevante opplysninger er til stede,
• sikring av kvalitet, dvs. sørge for at opplysningene er riktige.

Tilfredsstillende informasjonssikkerhet skal oppnås ved hjelp av planlagte og systematiske tiltak. Dette innebærer at anerkjente teknikker og standarder for kvalitetsstyring, internkontroll og informasjonssikkerhet skal legges til grunn ved sikkerhetsarbeidet. De tiltak som etableres, skal være både organisatoriske og tekniske. Sikkerhetstiltakene og selve informasjonssystemet skal kunne dokumenteres.

Annet ledd gjelder ved helt eller delvis elektronisk behandling av helseopplysningene. I slike tilfeller gjelder personopplysningsforskriften §§ 2–1 til 2–16. Bestemmelsene er en videreføring av dagens sikkerhetskrav.

Til § 4–3 Plikt til internkontroll

Bestemmelsen pålegger Nasjonalt folkehelseinstitutt en plikt til å innføre og utøve internkontroll i samsvar med helseregisterloven § 17. Tiltakene skal ifølge § 17 annet ledd dokumenteres, og dokumentasjonen skal være tilgjengelig for medarbeidere og tilsynsmyndighetene.

Databehandlere skal behandle opplysninger i samsvar med rutiner Nasjonalt folkehelseinstitutt har oppstilt.

Forsettelig eller grovt uaktsomt overtredelse av denne bestemmelsen straffes med hjemmel i § 7-1.

Til § 4–4 Internkontrollens innhold

Bestemmelsen gir regler om internkontrollens innhold. Formuleringen av bestemmelsen har tatt mønster av internkontrollbestemmelsen i personopplysningsforskriften.

Forsettelig eller grovt uaktsomt overtredelse av denne bestemmelsen straffes med hjemmel i § 7-1.

Til § 5–1 Den registrertes rett til informasjon og innsyn

Første ledd viser til helseregisterloven §§ 22 til 25. Bestemmelsene gir den registrerte rett til informasjon om helseregistre og rett til innsyn i behandling av helseopplysninger om seg selv.

Helseregisterlovens bestemmelser om allmennhetens rett til informasjon og enhver sin rett til informasjon (helseregisterloven §§ 20 og 21) er ikke inntatt i forskriften. Helseregisterlovens bestemmelser om den databehandlingsansvarliges informasjonsplikt til den registrerte (helseregisterloven §§ 23 og 24) er heller ikke inntatt i forskriften. Dette er allmenne og generelle regler som gjelder uansett om de inntas i forskriften eller ikke. Det vises imidlertid til forskriften § 2-1, annet ledd som blant annet omtaler helsepersonellets informasjonsplikt.

Innsyn skal som hovedregel gis uten vederlag. Det er ikke adgang til å kreve kostnadsdekning, dersom det ikke positivt er fastsatt i forskrift. Dette er i samsvar med gjeldende regelverk. Det er i denne forskriften ikke gitt bestemmelser om kostnadsdekning av utgifter ved å praktisere innsynsretten.

Til § 5–2 Informasjon og innsyn når den registrerte er mindreårig

Det går fram av bestemmelsen at foreldre eller andre med foreldreansvar har rett til innsyn etter regler tilsvarende dem i pasientrettighetsloven § 3–4. Det følger av dette at så lenge den registrerte er under 16 år, har både den registrerte og foreldrene eller andre med foreldreansvar innsynsrett. Er den registrerte mellom 12 og 16 år, skal opplysninger ikke gis til foreldrene eller andre med foreldreansvar, når den registrerte av grunner som bør respekteres, ikke ønsker det. Det bør legges til grunn at barn mellom 12 og 16 år ikke har noe imot at foreldrene eller andre med foreldreansvar gis innsynsrett i opplysninger om barnet. Barn mellom 12 og 16 år bør imidlertid informeres om at foreldrene eller andre med foreldreansvar gis innsyn.

Innsyn skal skje uten vederlag, se ovenfor under merknad til § 5-1.

Til § 5–3 Frist for å svare på henvendelser om innsyn

Bestemmelsen setter en frist på 30 dager for å svare på henvendelser om innsyn.

Til § 6–1 Bevaring av helseopplysninger

Det går fram av bestemmelsen at opplysninger i SYSVAK skal bevares i ubegrenset tid, med mindre annet følger av helseregisterloven § 26 eller § 28.

Helseregisterloven § 26 regulerer retting av mangelfulle opplysninger. Bestemmelsen pålegger den databehandlingsansvarlige et ansvar for å rette opplysninger som er uriktige eller ufullstendige. Det samme gjelder dersom det er behandlet helseopplysninger etter forskriften som det ikke er adgang til å behandle. Den databehandlingsansvarlige kan foreta opprettingen av eget tiltak eller etter begjæring fra den registrerte. Den databehandlingsansvarlige skal om mulig sørge for at feilen ikke får betydning for den registrerte. Dersom helseopplysningene er utlevert, skal den databehandlingsansvarlige varsle mottakere av utleverte opplysninger om dette.

Helseregisterloven § 28 gir regler om sletting eller sperring av helseopplysninger som føles belastende for den registrerte. Bestemmelsen fastslår at den registrerte kan kreve at helseopplysninger som behandles etter denne forskriften, skal slettes eller sperres, dersom behandling av opplysningene føles sterkt belastende for den registrerte og det ikke finnes sterke allmenne hensyn som tilsier at opplysningene behandles. Krav om sletting eller sperring av slike opplysninger rettes til den databehandlingsansvarlige for opplysningene. Datatilsynet kan, etter at Riksarkivaren er hørt, treffe vedtak om at retten til sletting etter første ledd går foran reglene i arkivloven 4. desember 1992 nr. 126 §§ 9 og 18. Hvis dokumentet som inneholdt de slettede opplysningene, gir et åpenbart misvisende bilde etter slettingen, skal hele dokumentet slettes.

For øvrig vil arkivloven og forskrifter i medhold av arkivloven komme til anvendelse.

Til § 7–1 Straff

Bestemmelsen er en straffebestemmelse og gir adgang til å idømme straff ved overtredelse av bestemmelsene i § 2–1, § 2–4 og §§ 4–2 til 4–4.

Helseregisterloven gir også andre sanksjonsmuligheter ved overtredelse av loven eller forskrift i medhold av loven. Det er adgang til å gi pålegg og å ilegge tvangsmulkt. Videre kan den registrerte i visse tilfeller kreve erstatning, dersom det er behandlet helseopplysninger i strid med forskriften. Disse bestemmelsene er allmenne og generelle, og gjelder uavhengig av om de er inntatt i forskriften eller ikke. Det vises til helseregisterloven §§ 32, 33 og 35.

Til § 8–1 Ikraftsetting

Bestemmelsen fastslår at denne forskriften trer i kraft …...

Utkast til forskrift om innsamling og behandling av opplysninger i Norsk overvåkingssystem for antibiotikaresistens hos mikrober (NORM-registerforskriften)

Fastsatt ved kgl.res. ……2003 med hjemmel i lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger §§ 8 fjerde ledd, jf. annet ledd, 9 annet ledd, 16 fjerde ledd, 17 tredje ledd, lov 2. juli 1999 nr. 64 om helsepersonell mv § 37 og lov 5. august 1994 nr 55 om vern mot smittsomme sykdommer §§ 2- 3 fjerde ledd og 3- 7 femte ledd.

Fremmet av Helsedepartementet.

Kapittel 1 Generelle bestemmelser

§ 1- 1 ( Etablering av NORM)

Denne forskriften etablerer et landsomfattende Norsk overvåkingssystem for antibiotikaresistens hos mikrober (NORM). Forskriften gir regler for innsamling og behandling av helseopplysninger i overvåkingssystemet.

Innsamling og behandling av helseopplysninger i NORM kan skje manuelt og ved hjelp av elektroniske hjelpemidler.

§ 1- 2 ( Innholdet i NORM)

NORM inneholder avidentifiserte helseopplysninger om personer som har avgitt prøve med nærmere bestemte mikrober, opplysninger om disse mikrobene og om antibiotika (antimikrobielle midler).

Den databehandlingsansvarlige bestemmer i samråd med fagmiljøene hvilke mikrober og antibiotika, jf. første ledd, som skal inkluderes i NORM. Ved valg av mikrober skal det blant annet tas hensyn til:

klinisk viktige mikrober, for eksempel mikrober som ofte fører til sykdom, som gir særlig alvorlig sykdom eller som man har få antibiotika mot,

mikrober som man frykter vil bli resistente i nær fremtid, eller som har utviklet resistens i andre land,

mikrober som kan forekomme i næringsmidler eller som ofte er importert,

mikrober som lett erverver resistens og dermed tidlig signaliserer at det foreligger et uheldig seleksjonspress, men som ikke nødvendigvis er sykdomsfremkallende (indikatormikrober).

Ved valg av antibiotika, skal det blant annet tas hensyn til:

klinisk viktige antibiotika, dvs antibiotika som vanligvis benyttes i empirisk behandling av infeksjoner med de aktuelle mikrobene, og som er representative for de aktuelle gruppene av antibiotika, og

antibiotika som det ofte utvikles resistens mot tidlig, eller som indikerer prinsipielt viktige resistensmekanismer (indikatorantibiotika).

§ 1- 3 ( Formålet med NORM)

Formålet med NORM er å

1. innsamle og behandle data om mikrobeisolaters resistens mot antibiotika (antimikrobielle midler) for å kartlegge forekomst og utbredelse av resistens mot antibiotika (antimikrobielle midler) og belyse endringer over tid,
2. legge grunnlag for forskning for å utvikle ny viten om årsaker til mikrobers utvikling av resistens mot antibiotika (antimikrobielle midler), med den hensikt å fremme og utvikle kvaliteten på forebyggende tiltak mot antibiotikaresistens og helsehjelp som tilbys og ytes mot infeksjonssykdommer,
3. bidra til å skaffe grunnlag for å gi befolkningen generelt og lokalt, regional og sentral helseforvaltning og helsetjeneste råd og informasjon om tiltak som kan forebygge utvikling av resistens mot antimikrobielle midler,
4. gi norske myndigheter grunnlag for å bidra til internasjonal statistikk på nærmere avgrensede områder.

§ 1- 4( Forbud mot bruk)

Opplysningene i NORM kan ikke anvendes til formål som er uforenelig med formål som nevnt i § 1- 3.

§ 1- 5( Databehandlingsansvarlig)

Nasjonalt folkehelseinstitutt er databehandingsansvarlig for NORM.

§ 1- 6( Databehandler)

Universitetssykehuset i Nord-Norge HF er databehandler for NORM. Nasjonalt folkehelseinstitutt skal inngå skriftlig avtale med databehandler om innsamling og behandling av opplysninger i NORM, herunder om overvåking og forskning, jf. forskriften § 1- 3, drift og kvalitetssikring av registeret, samt utlevering av data til brukere.

§ 1- 7( Opplysninger i NORM)

NORM kan inneholde følgende opplysninger om personer som har avgitt prøve med mikrober, som er bestemt inkludert i NORM, jf. § 1- 2 annet ledd:

1. avidentifiserte personopplysninger:

2. 1. mikrobiologisk laboratoriums løpenummer til mikrobeisolatet,
   2. pasientens bostedskommune,
   3. pasientens alder og kjønn,
3. administrative opplysninger:

3. 1. institusjon/virksomhet som har innsendt opplysningene om prøven som inneholdt mikrobeisolatet,
   2. mikrobiologisk laboratorium som har isolert mikroben og undersøkt den med hensyn til resistens mot antimikrobielle midler, samt tidspunkt for slik isolasjon og undersøkelse,
4. om mikrobeisolatet:

§ 1- 8 ( Koding og klassifisering av opplysningen i NORM, krav til dokumentasjon, kvalitetskontroll)

Nasjonalt folkehelseinstitutt skal sørge for at opplysninger som behandles i NORM er korrekte, relevante og nødvendige for de formål de innsamles for, jf. § 1- 3. Nasjonalt folkehelseinstitutt skal ved enhver registrering i NORM kunne dokumentere hvilke klassifikasjoner eller kodeverk som er benyttet og hvilke mikrobiologiske metoder som er brukt for å frembringe de registrerte opplysningene, jf. § 2- 2 annet ledd.

Dersom meldingsskjema er mangelfullt utfylt, skal avsenderen av opplysningene varsles, jf. helseregisterloven § 9 annet ledd annet punktum.

Kapittel 2 Melding av opplysninger til NORM m.v.

§ 2- 1 (Deltagelse i NORM)

NORM er basert på frivillig deltagelse fra medisinsk mikrobiologiske laboratorier eller annen virksomhet.

§ 2- 2 (Melding av opplysninger til NORM)

Helsepersonell ved deltakende virksomheter som isolerer og undersøker mikrober, jf. forskriften § 1- 2 annet ledd, skal melde opplysninger som nevnt i § 1- 7 til NORM.

§ 2- 3 ( Metoder, meldingsskjema, formkrav,)

Melding av opplysninger som nevnt i § 2- 1 skal skje på skjema eller på annen måte fastsatt av departementet.

Departementet kan gi pålegg om bruk av bestemte metoder for fremskaffing av opplysningene i NORM, gi pålegg om bruk av bestemte klassifikasjoner og kodeverk ved registrering av opplysningene, samt gi pålegg om bruk av bestemte standardiserte meldingsformater ved forsendelsen av opplysningene.

§ 2- 4 ( Virksomhetens plikter)

Medisinsk mikrobiologiske laboratorier eller annen virksomhet som deltar i NORM har ansvar for at pliktene som nevnt i §§ 2- 2 og 2- 3 oppfylles, og skal sørge for at det finnes rutiner og standarder som sikrer dette.

Kapittel 3 Behandling av opplysninger i NORM, utlevering til forskning m.v.

§ 3- 1( Plikt til å utlevere NORM-data)

Nasjonalt folkehelseinstitutt skal etter forespørsel fra forvaltningen og forskere utlevere statistikk fra NORM innen 30 dager fra den dagen forespørselen kom inn.Nasjonalt folkehelseinstitutt skal etter søknad utlevere avidentifiserte opplysninger fra NORM dersom opplysningene skal brukes i ett uttrykkelig angitt formål innenfor registerets formål,

• mottakeren bare skal behandle avidentifiserte opplysninger, og
• behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn.

Nasjonalt folkehelseinstitutt skal utlevere eller overføre nødvendige og relevante data til den ansvarlige for det angitte prosjektet innen 30 dager fra den dagen søknaden kom inn. Rettsgrunnlaget for behandlingen av opplysningene skal fremgå av søknaden.

Dersom særlige forhold gjør det umulig å effektuere forespørselen innen fristen i første og annet ledd, kan effektueringen utsettes inntil det er mulig å oppfylle den. Den databehandlingsansvarlige skal i så fall gi et foreløpig svar med opplysninger om forespørselen kan effektueres, om grunnen til en eventuell forsinkelse og sannsynlig tidspunkt for når bestillingen kan effektueres.

§ 3- 2 ( Annen behandling av data fra NORM )

Behandling av opplysninger som nevnt i § 1- 7, kan med mindre annet følger av denne forskriften, bare behandles etter tillatelse fra Datatilsynet og i samsvar med de alminnelige regler om taushetsplikt.

§ 3- 3( Informasjonsstrategi rettet motbrukergrupper)

For å fremme bruken av data fra NORM og for å bygge opp informasjon og kunnskap for formål som nevnt i § 1- 3, skal Nasjonalt folkehelseinstitutt ha en aktiv informasjonsstrategi og –plan rettet mot så vel helseforvaltningen, helsetjenesten og øvrig forvaltning, som mot forskere innen medisinsk forskning, helsetjenesteforskning og samfunnsforskning.

§ 3- 4 ( Kostnader)

Nasjonalt folkehelseinstitutt kan kreve betaling for utlevering av data etter forskriften § 3- 1, og eventuelt etter § 3- 2. Betalingen kan ikke overstige de faktiske utgiftene ved innsamlingen og behandlingen av opplysningene.

§ 3- 5 (Oversikt over utleveringer)

Nasjonalt folkehelseinstitutt skal føre oversikt over hvem som får utlevert opplysninger fra NORM og hjemmelsgrunnlaget for utleveringene. Oversikten skal oppbevares i minst fem år etter at utlevering har funnet sted.

Kapittel 4 Informasjonssikkerhet, internkontroll

§ 4- 1( Informasjonssikkerhet)

Nasjonalt folkehelseinstitutt og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, kvalitet og tilgjengelighet ved behandling av opplysninger etter forskriften, jf. helseregisterloven § 16 flg.

Der behandling av opplysningene skjer helt eller delvis med elektroniske hjelpemidler, gjelder bestemmelsene om informasjonssikkerhet i personopplysningsforskriften §§ 2- 1 til 2- 16.

§ 4- 2( Plikt til internkontroll)

Nasjonalt folkehelseinstitutt skal etablere internkontroll i samsvar med helseregisterloven § 17. De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang det er nødvendig for å etterleve krav gitt i eller i medhold av helseregisterloven, med særlig vekt på bestemmelser gitt i medhold av helseregisterloven § 16.

Databehandlere som behandler helseopplysninger på vegne av Nasjonalt folkehelseinstitutt, skal behandle opplysninger i samsvar med rutiner Nasjonalt folkehelseinstitutt har oppstilt.

§ 4-3 (Internkontrollens innhold)

Internkontrollen innebærer at Nasjonalt folkehelseinstitutt skal ha kunnskap om gjeldende regler om behandling av helseopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av rutiner, samt ha denne dokumentasjonen tilgjengelig for dem det måtte angå.

Internkontrollen skal blant annet inneholde:

1. oversikt over hvordan virksomheten er organisert,

2. oversikt over ansvars- og myndighetsforhold,

3. oversikt over de krav i og i medhold av helseregisterloven som gjelder for
virksomheten,

4. rutiner virksomheten følger for å sikre overholdelse av kravene, herunder rutiner for:

4.1. dokumentasjon og kvalitetskontroll av helseopplysningene, jf. forskriften
§ 1-8,

4.2. hvordan virksomheten oppfyller bestemmelsene om tilgang til helseregistre,
jf. forskriften §§ 3-1 og 3-2,

4.3. oppfyllelse av reglene om meldeplikt til Datatilsynet, jf. helseregisterloven
§ 29,

5. rutiner virksomheten følger dersom avvik oppstår, og opplysninger om hvem som er
ansvarlig,

6. rutiner virksomheten følger for å hindre gjentakelse av avvik, og opplysninger om
hvem som er ansvarlig,

7. rutiner for hvordan virksomheten systematisk og regelmessig gjennomgår sin
internkontroll for å kontrollere at aktivitetene og resultatene av dem stemmer
overens med det system virksomheten har fastlagt, og om det medfører oppfyllelse
av helseregisterlovgivningen,

8. rutiner for hvordan virksomheten sikrer seg at alle aktuelle og kun gjeldende rutiner
blir benyttet, og

9. rutiner for hvordan virksomheten sikrer at de ansatte har tilstrekkelig kompetanse til
å overholde forskriftens krav.

Skriftlig dokumentasjon skal minst omfatte dokumentasjon av rutiner som nevnt i annet ledd nr. 1 til 8. Tilsynsmyndighetene kan gi pålegg om skriftlig dokumentasjon ut over dette, dersom det anses påkrevet. Tilsynsmyndigheten kan dispensere fra hele eller deler av dette kapittel når særlige forhold foreligger.

Kapittel 5 Bevaring av opplysninger i NORM

§ 5- 1( Bevaring av helseopplysninger)

Opplysninger i NORM kan i den utstrekning det er nødvendig for å nå formålet med registeret, bevares i ubegrenset tid, med mindre annet følger av helseregisterloven § 26 eller § 28.

Kapittel 6 Straff

§ 6- 1 ( Straff)

Den som forsettelig eller grovt uaktsomt overtrer bestemmelser fastsatt i denne forskriften §§ 4- 1 og 4- 3, straffes med bøter eller fengsel inntil ett år eller begge deler.

Medvirkning straffes på samme måte.

Kapittel 7 Avsluttende bestemmelser

§ 7- 1 ( Ikraftsetting)

Forskriften trer i kraft…..

Merknader til de enkelte kapitler og paragrafer i utkast til forskrift

Merknadene er en veiledning som utdyper innholdet i de enkelte bestemmelsene i forskriften. Merknadene er i seg selv ikke bindende. Forskriften og veiledningen må ses i sammenheng for å få en best mulig forståelse av forskriftens bestemmelser.

Til § 1- 1 Etablering av NORM

Bestemmelsen gir hjemmel for etablering av Norsk overvåkingssystem for antibiotikaresistens hos mikrober (NORM), og gir regler for innsamling og behandling av helseopplysninger i registeret. Hjemmelsgrunnlaget er helseregisterloven § 8 annet ledd, jf. fjerde ledd.

Til § 1- 2 Innholdet i NORM

Det heter i bestemmelsen at NORM inneholder avidentifiserte helseopplysninger om mikrobeisolater som er inkludert i systemet. Forskriften angir ikke konkret hvilke mikrober som inngår i NORM, men angir noen hensyn som skal tillegges vekt i utvelgelsen av mikrobene.

Hva som menes med avidentifiserte helseopplysninger er definert i helseregisterloven § 2 nr. 2. Avidentifiserte helseopplysninger er helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysninger som tidligere ble fjernet. Hvilke avidentifiserte helseopplysninger som kan inngå i NORM, fremgår av forskriften § 1- 7.

For bedre å kunne sikre kvaliteten på NORM-data har det vært et uttalt ønske fra fagmiljøene å kunne registrere personentydige data i NORM. Det uttales at dersom en avidentifiserer dataene er det nødvendig å legge inn en annen form for identifikator som kan muliggjøre kvalitetssikring av registeret, slik at man unngår dobbeltregistreringer osv. Enkelte laboratorier har funnet opptil 10 % dubletter når de analyserer sine registreringer nærmere.

Pseudonymisering av personopplysningene i NORM krever en viss infrastruktur, tiltrodd tredjepart (pseudonymforvalter) etc. Slik vi ser det bør regelverket/ kravene til pseudonymiseringen og en nærmere utredning om hva dette krever av ressurser etc., utredes før en tar stilling til om det kan være aktuelt med pseudonyme helseopplysninger i NORM.

Til § 1-3 Formålet med NORM

Bestemmelsen angir formålene med NORM. Bestemmelsen punkt 1 omfatter løpende nasjonal kartlegging av resistens. NORM bør kunne gi solid informasjon om hovedtendenser i utviklingen av resistente mikrober.

Bestemmelsen punkt 2 sikter blant annet til ulike prosjekter som bygger på NORM-data, metodeutprøvinger og lignende.

Til § 1-4 Forbud mot bruk

Bestemmelsen forbyr bruk av opplysninger i NORM til visse formål. Det heter i bestemmelsen at opplysningene i NORM ikke kan anvendes til formål som er uforenelig med formålet som er nevnt i§ 1-3. Bestemmelsen følger naturlig av helseregisterloven § 11 tredje ledd. Spørsmålet om bruk av opplysningene er uforenlig med formål som nevnt i § 1-3 må avgjøres konkret.

Til § 5-1 Databehandlingsansvarlig

Forslaget til forskrift legger databehandlingsansvaret for NORM til Nasjonalt folkehelseinstitutt.

Til § 1-6 Databehandler

Bestemmelsen legger databehandlerfunksjonen for NORM til Universitetssykehuset i Nord-Norge HF. Nasjonalt folkehelseinstitutt skal inngå skriftlig avtale med databehandler om innsamling og behandling av opplysninger i Norsk overvåkingssystem for antibiotikakontroll hos mikrober.

Databehandler er i helseregisterloven § 2 nr. 9 definert som den som behandler helseopplysninger på vegne av den databehandlingsansvarlige. Det følger av helseregisterloven § 18 at en databehandler ikke kan behandle helseopplysninger på annen måte enn det som er skriftlig avtalt med den databehandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse.

Det følger av helseregisterloven §§ 29 og 30 at Datatilsynet skal informeres om navn og adresse til eventuell databehandler og om hvem som har det daglige ansvaret for å oppfylle den databehandlingsansvarliges plikter etter forskriften.

Til § 1- 7 Opplysninger i NORM

NORM inneholder ikke direkte personidentifiserende opplysninger eller andre personentydige data. NORM inneholder avidentifiserte data. Dette er en videreføring av dagens praksis. Det vises til merknadene til § 1- 2.

Til § 1–8 Koding og klassifisering av opplysningene i NORM, krav til dokumentasjon, kvalitetskontroll

Bestemmelsen omhandler koding og klassifisering av opplysninger i NORM og setter krav til dokumentasjon og kvalitetskontroll.

Til § 2- 1 Deltagelse i NORM

Det heter i bestemmelsen at Norsk overvåkingssystem for antibiotikaresistens hos mikrober (NORM) er basert på frivillig deltagelse. NORM baserer seg ikke på data fra rutinediagnostikk. Innmelding til NORM er lagt opp slik at de deltakende medisinsk-mikrobiologiske avdelingene i gitte perioder av året tar ut visse bakterieisolater og undersøker disse på ny for resistens mot visse antibiotika, med felles metoder. Deltakelse i NORM har hele tiden vært basert på frivillighet. Deltakelse er ressurskrevende for et laboratorium, og de får i dag vederlag for deltakelse.

Spørsmål om frivillig versus pliktmessig deltakelse vurderes på nytt etter noen år, dersom det viser seg at frivillig deltakelse ikke gir god nok overvåking i alle deler av landet.

Til § 2-2 Melding av opplysninger til NORM

Det er helsepersonell ved de virksomheter som er inkludert i NORM som skal melde opplysninger til NORM. Helsepersonellet har plikt til å melde opplysningene.

Til § 2- 3 Metoder, meldingsskjema, formkrav

En har hittil valgt å sette strenge krav til metode i NORM. Bruk av bestemte metoder i annet ledd første setning refererer til metoder for fremskaffing av opplysningene. God kvalitetssikring skal sørge for pålitelighet i undersøkelsene slik at resultatene kan sammenlignes over tid. Systemet er ressurskrevende, men gir mange positive sideeffekter som for eksempel bedret kvalitet ved de medisinsk mikrobiologiske laboratoriene i daglig rutine, bruk av mer standardiserte metoder ved flere laboratorier, mer systematisk kvalitetssikring etc.

Til § 2-4 Virksomhetens plikter

Det følger av bestemmelsen at virksomhet som deltar i NORM som er ansvarlig for opplysninger som skal registeres og meldes etter §§ 2-2 og 2-3, har ansvar for at pliktene oppfylles, og skal sørge for at det finnes rutiner og standarder for dette. Virksomheten må ha utarbeidet systemer som sikrer at skjemaet sendes videre til NORM. Elektronisk formidling av opplysningene forutsetter at tilstrekkelig informasjonssikkerhet er ivaretatt.

Til 3- 1 Plikt til å utlevere data

Første ledd gir en tidsfrist for hvor raskt en bestilling av data fra NORM skal effektueres.

Til § 3- 2 Annen behandling av data fra NORM

Bestemmelsen åpner for at opplysninger fra NORM kan sammenstilles med f. eks. opplysninger om eksponering for antimikrobielle midler. Siden NORM ikke inneholder personentydige data, må virksomheten som skal sammenstille dataene, få persondataene fra de mikrobiologiske laboratoriene. Utlevering av navn og fødselsnummer fra et mikrobiologisk laboratorium til koblingsvirksomheten forutsetter at Sosial- og helsedirektoratet gir tillatelse til dette eller den opplysningene kan knyttes til samtykker. I tillegg kreves konsesjon fra Datatilsynet.

Til § 3- 3 Informasjonsstrategi rettet mot brukergrupper

Bestemmelsen fastslår at den databehandlingsansvarlige for NORM skal ha en aktiv informasjonsstrategi og -plan rettet mot brukergrupper. Forskriften krever ikke at denne planen skal være skriftlig. Innholdet i kravet går på å ha et bevisst åpent og positivt forhold til å samhandle med ulike forskningsmiljøer og andre brukergrupper. Det er et selvstendig mål at dataene blir brukt i forskningsprosjekter utenfor NORM, til kvalitetssikring av behandlingsresultater i og utenfor sykehus, som grunnlag for bruk av antibiotika etc. En effektiv bruk av data fra NORM kan best gjennomføres ved at den databehandlingsansvarlige for registeret informerer kommuneleger, forskere m.v. om hvilke muligheter NORM gir til kunnskapsoppbygging og forskning.

Til § 3- 4 Kostnader

Bestemmelsen gir adgang til å kreve betaling for bearbeiding av data fra NORM. Bestemmelsen innebærer ikke at en skal kreve kostnadsdekning av alle datautleveringer fra NORM. Kostnader forbundet med utlevering av statistikk bør kunne dekkes av ordinære driftsmidler. Det fremgår av annet punktum at betalingen ikke kan overstige de faktiske utgiftene ved behandlingen av opplysningene.

Til § 3- 5 Oversikt over utleveringer

Bestemmelsen pålegger den databehandlingsansvarlige for NORM å føre oversikt over hvem som får utlevert opplysninger fra NORM og hjemmelsgrunnlaget for utleveringene.

Til § 4–1 Informasjonssikkerhet

Første ledd viser til helseregisterloven § 16 flg. Bestemmelsen pålegger Nasjonalt folkehelseinstitutt og databehandleren å sørge for tilfredsstillende informasjonssikkerhet ved behandling av helseopplysninger. Dette omfatter blant annet et ansvar for å sørge for at tilstrekkelig sikkerhetsfaglig kompetanse er tilgjengelig. I tillegg til ansvar for sikkerheten i egen organisasjon må Nasjonalt folkehelseinstitutt også forsikre seg om at informasjonssikkerheten er tilfredsstillende hos kommunikasjonspartnere og leverandører. Begrepet informasjonssikkerhet omfatter:

sikring av konfidensialitet, dvs. beskyttelse mot at uvedkommende får innsyn i opplysningene, herunder sikkerhet for at reglene om taushetsplikt overholdes,

• sikring av integritet, dvs. beskyttelse mot utilsiktet endring av opplysningene,
• sikring av tilgjengelighet, dvs. sørge for at tilstrekkelige og relevante opplysninger er til stede,
• sikring av kvalitet, dvs. sørge for at opplysningene er riktige.

Tilfredsstillende informasjonssikkerhet skal oppnås ved hjelp av planlagte og systematiske tiltak. Dette innebærer at anerkjente teknikker og standarder for kvalitetsstyring, internkontroll og informasjonssikkerhet skal legges til grunn ved sikkerhetsarbeidet. De tiltak som etableres, skal være både organisatoriske og tekniske. Sikkerhetstiltakene og selve informasjonssystemet skal kunne dokumenteres.

Annet ledd gjelder ved helt eller delvis elektronisk behandling av helseopplysningene. I slike tilfeller gjelder personopplysningsforskriften §§ 2–1 til 2–16. Bestemmelsene er en videreføring av dagens sikkerhetskrav.

Til § 4–2 Plikt til internkontroll

Bestemmelsen pålegger Nasjonalt folkehelseinstitutt en plikt til å innføre og utøve internkontroll i samsvar med helseregisterloven § 17. Tiltakene skal ifølge § 17 annet ledd dokumenteres, og dokumentasjonen skal være tilgjengelig for medarbeidere og tilsynsmyndighetene.

Databehandlere skal behandle opplysninger i samsvar med rutiner Nasjonalt folkehelseinstitutt har oppstilt.

Forsettelig eller grovt uaktsomt overtredelse av denne bestemmelsen straffes med hjemmel i § 7-1.

Til § 4–3 Internkontrollens innhold

Bestemmelsen gir regler om internkontrollens innhold. Formuleringen av bestemmelsen har tatt mønster av internkontrollbestemmelsen i personopplysningsforskriften.

Forsettelig eller grovt uaktsomt overtredelse av denne bestemmelsen straffes med hjemmel i forskriften § 6-1.

Til § 5–1 Bevaring av helseopplysninger

Det går fram av bestemmelsen at opplysninger i NORM skal bevares i ubegrenset tid, med mindre annet følger av helseregisterloven § 26 eller § 28.

Helseregisterloven § 26 regulerer retting av mangelfulle opplysninger. Bestemmelsen pålegger den databehandlingsansvarlige et ansvar for å rette opplysninger som er uriktige eller ufullstendige. Det samme gjelder dersom det er behandlet helseopplysninger etter forskriften som det ikke er adgang til å behandle. Den databehandlingsansvarlige kan foreta opprettingen av eget tiltak eller etter begjæring fra den registrerte. Den databehandlingsansvarlige skal om mulig sørge for at feilen ikke får betydning for den registrerte. Dersom opplysningene er utlevert, skal den databehandlingsansvarlige varsle mottakere av utleverte opplysninger om dette.

Helseregisterloven § 28 gir regler om sletting eller sperring av helseopplysninger som føles belastende for den registrerte. Bestemmelsen fastslår at den registrerte kan kreve at helseopplysninger som behandles etter denne forskriften, skal slettes eller sperres, dersom behandling av opplysningene føles sterkt belastende for den registrerte og det ikke finnes sterke allmenne hensyn som tilsier at opplysningene behandles. Krav om sletting eller sperring av slike opplysninger rettes til den databehandlingsansvarlige for opplysningene. Datatilsynet kan, etter at Riksarkivaren er hørt, treffe vedtak om at retten til sletting etter første ledd går foran reglene i arkivloven 4. desember 1992 nr. 126 §§ 9 og 18. Hvis dokumentet som inneholdt de slettede opplysningene, gir et åpenbart misvisende bilde etter slettingen, skal hele dokumentet slettes.

For øvrig vil arkivloven og forskrifter i medhold av arkivloven komme til anvendelse.

Til § 6–1 Straff

Bestemmelsen er en straffebestemmelse og gir adgang til å idømme straff ved overtredelse av bestemmelsene i §§ 4–1 til 4–3.

Helseregisterloven gir også andre sanksjonsmuligheter ved overtredelse av loven eller forskrift i medhold av loven. Det er adgang til å gi pålegg og å ilegge tvangsmulkt. Videre kan den registrerte i visse tilfeller kreve erstatning, dersom det er behandlet helseopplysninger i strid med forskriften. Disse bestemmelsene er allmenne og generelle, og gjelder uavhengig av om de er inntatt i forskriften eller ikke. Det vises til helseregisterloven §§ 32, 33 og 35.

Til § 7–1 Ikraftsetting

Bestemmelsen fastslår at denne forskriften trer i kraft …...

Utkast til forskrift om endringer i Dødsårsaksregisterforskriften, Kreftregisterforskriften og Medisinsk fødselsregisterforskriften

Fastsatt ved kgl.res. ……2003 med hjemmel i lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger §§ 8 fjerde ledd, jf. tredje ledd, 9 annet ledd, 16 fjerde ledd, 17 tredje ledd, 22 femte ledd, 27 annet ledd og lov 2. juli 1999 nr. 64 om helsepersonell mv § 37.

Fremmet av Helsedepartementet.

Dødsårsaksregisterforskriften § 2-6 første ledd, annet punktum foreslås endret til: Som ledd i kvalitetskontrollen kan det gjøres rutinemessige samkjøringer mot Det sentrale folkeregister, Medisinsk fødselsregister, Kreftregisteret, Meldingssystem for smittsomme sykdommer og Tuberkuloseregisteret.

Dødsårsaksregisterforskriften, Kreftregisterforskriften og Medisinsk fødselsregisterforskriften § 3-8 annet punktum foreslås endret til: Oversikten skal oppbevares i minst fem år etter at utlevering har funnet sted.

Forskriften trer i kraft…..