Høring om endringer i helsepersonelloven

Høringsnotat om endringer i helsepersonelloven

Helse- og omsorgsdepartementet sender med dette forslag til endringer i helsepersonellovens hovedregel om taushetsplikt på høring.

Det foreslås at helsepersonelloven § 21 gis et nytt annet ledd som setter forbud mot å lese, motta, søke etter eller på annen måte tilegne seg, bruke eller besitte taushetsbelagte pasientopplysninger uten at det har et nærmere bestemt formål begrunnet i tjenestelige behov og er i samsvar med lovens bestemmelser om taushetsplikt. 

Formålet med lovendringene er å få en klar lovhjemmel om forbud mot urettmessig tilegnelse av pasientopplysninger. Et slikt forbud vil også bedre sikkerheten ved behandling av sensitive pasientopplysninger.

Høringsnotatet kan lastes ned fra Helse- og omsorgsdepartementets internettsider på følgende adresse:

http://www.regjeringen.no/nb/dep/hod/dok/hoeringer

Departementet ber om at høringsuttalelser sendes innen 10. september 2007 til:

Helse- og omsorgsdepartementet
Postboks 8011 Dep
0030 Oslo

Høringsuttalelser kan også innen samme frist sendes elektronisk til: postmottak@hod.dep.no

Papirversjon av høringsnotatet kan bestilles per e-post rettet til elena.carreno@hod.dep.no eller telefon 22 24 87 05

Med vennlig hilsen

Elisabeth Salvesen e.f.                                    
avdelingsdirektør                                        Anne Sofie von Düring
                                                                seniorrådgiver
  

Høringsnotat
Forslag til endringer i helsepersonelloven (forbud mot urettmessig tilegnelse av pasientopplysninger)

1. Innledning 
2. Bakgrunn 
3 Gjeldende rett 
3.1 Helsepersonelloven 
3.2 Helseregisterloven 
4 Problemstilling 
5 Departementets vurderinger og forslag 
6 Økonomiske og administrative konsekvenser 
7 Merknader til bestemmelsen 
8 Forslag til endringer i helsepersonelloven 

1. Innledning

Helse- og omsorgsdepartementet sender med dette forslag til endringer i helsepersonellovens hovedregel om taushetsplikt på høring. Det foreslås at helsepersonelloven § 21 gis et nytt annet ledd som setter forbud mot å lese, motta, søke etter eller på annen måte tilegne seg, bruke eller besitte taushetsbelagte pasientopplysninger uten at det har et nærmere bestemt formål begrunnet i tjenestelige behov og er i samsvar med lovens bestemmelser om taushetsplikt.

Formålet med endringene er å få en klar lovhjemmel om forbud mot urettmessig tilegnelse av pasientopplysninger. Et slikt forbud vil også bidra til å bedre sikkerheten ved behandling av sensitive pasientopplysninger.

Høringsfrist er 10. september 2007.

2. Bakgrunn

I november 2004 anmeldte Datatilsynet et helseforetak til politiet for manglende informasjonssikkerhet. Anmeldelsen skjedde på bakgrunn av en henvendelse til Datatilsynet om en avdelingsleders ulovlig innsyn i sykejournaler til sine ansatte. Henvendelsen kom fra tillitsvalgte ved helseforetaket. 

Politiet var enig med Datatilsynet i at det forelå brudd på helseregisterloven § 16, jf. § 34 første ledd nr. 1, og ga helseforetaket et forelegg, som sykehuset har vedtatt. Det vises til at helseregisterloven § 16 pålegger den databehandlingsansvarlige og databehandleren å sikre konfidensialitet, integritet, kvalitet og tilgjengelighet ved behandling av helseopplysninger og overtredelse er straffesanksjonert i helseregisterloven § 34. 

I saken ble det også reist spørsmål om avdelingslederen for felleskontortjenesten/skrivestuen, som hadde snoket i journalene, hadde brutt sin taushetsplikt. Statsadvokaten vurderte spørsmålet i forhold til helsepersonelloven § 21, og uttalte:

”Statsadvokaten er enig med direktoratet og departementet i at avdelingslederen har taushetsplikt etter helsepersonelloven. Statsadvokaten er imidlertid ikke enig med direktoratet og departementet i at en kan innfortolke et forbud mot at personell gjør seg kjent med taushetsbelagte opplysninger i helsepersonelloven § 21. Statsadvokaten ser at det foreligger reelle hensyn som taler for en slik forståelse. Kravet til lovhjemmel i straffesaker står imidlertid sterkt, jf. Grl. § 96. Det vises til at en naturlig forståelse av ordlyden i § 21 tilsier at det er det forhold å bringe informasjon videre som er brudd på bestemmelsen. Statsadvokaten er derfor av den oppfatning at det å oppsøke eller sette seg i besittelse av taushetsbelagt informasjon ikke kan ansees som brudd på helsepersonelloven § 21. Det understrekes at vurderingen er foretatt i strafferettslig sammenheng, og at statsadvokaten ikke har noen formening om hvorvidt resultatet kunne blitt et annet i sivilrettslig sammenheng.”

Etter departementets vurdering er det en mangel at det i helsepersonelloven ikke klart fremgår at det er forbudt å oppsøke eller sette seg inn i taushetsbelagte opplysninger uten at en har tjenestelige behov for dem. 

Det er likevel departementets inntrykk at helsepersonell har en etisk og yrkesmessig forståelse av at det ikke er adgang til å uberettiget tilta seg taushetsbelagte opplysninger. Likevel har den nevnte straffesaken vist at det er behov for å tette dette lovtomme området, spesielt i forhold til strafferettslige vurderinger.

3 Gjeldende rett

3.1 Helsepersonelloven

Helsepersonellovens hovedregel om taushetsplikt følger av loven § 21. Bestemmelsen lyder:

”Helsepersonell skal hindre at andre får adgang eller kjennskap til opplysninger om folks legems- eller sykdomsforhold eller andre personlige forhold som de får vite om i egenskap av å være helsepersonell.”

Det følger av ordlyden i bestemmelsen at taushetsplikt ikke bare er en plikt til å tie, men også er en plikt til å hindre at andre får tilgang til taushetsbelagte opplysninger. Forsvarlig håndtering og oppbevaring av taushetsbelagte opplysninger er således en forutsetning for å etterleve den lovbestemte taushetsplikten.

Bestemmelsen innebærer at taushetsbelagte opplysninger bare kan gis eller utleveres til andre når det i lov, eller i medhold av lov, uttrykkelig er fastsatt eller klart forutsatt at taushetsplikt ikke skal gjelde.

Den som gis tilgang til taushetsbelagte opplysninger etter helsepersonelloven, har som hovedregel samme taushetsplikt som helsepersonellet som gir tilgang til opplysningene, jf. helsepersonelloven § 25 tredje ledd og § 26 tredje ledd.
 
Den som forsettlig eller grovt uaktsomt overtrer eller medvirker til overtredelse av taushetsplikten, straffes med bøter eller fengsel i inntil tre måneder, jf. helsepersonelloven § 67.

Etter helsepersonelloven § 56 kan Statens helsetilsyn gi advarsel til helsepersonell som fortsettlig eller uaktsomt overtrer plikter i henhold til loven, hvis pliktbruddet er egnet til å medføre fare for sikkerheten i helsetjenesten eller til å påføre pasienter stor belastning. (I høringsbrev 22. februar 2007 foreslår departementet at bestemmelsen endres slik at advarsel også kan gis ved ulike typer tillitsbrudd. Høringsfristen var 25. mai 2007.)

Videre kan autorisasjon, lisens eller spesialistgodkjenning tilbakekalles etter bestemmelser i helsepersonelloven § 57, dersom Statens helsetilsyn mener innehaveren er uegnet til å utøve sitt yrke eller på grunn av adferd som anses uforenlig med yrkesutøvelsen. 

3.2 Helseregisterloven

Helseregisterloven utvider virkeområdet for taushetspliktsbestemmelsene i helsepersonelloven, jf. helseregisterloven § 15. Det følger av første ledd i bestemmelsen at enhver som behandler helseopplysninger etter loven, har taushetsplikt etter forvaltningsloven §§ 13 til 13e og helsepersonelloven. Dette innebærer at helsepersonell som utfører pasientadministrative oppgaver, men ikke utøver sin profesjon som for eksempel lege eller sykepleier, også er underlagt helsepersonellovens regler om taushetsplikt. Merknadene til helsepersonelloven
§ 21 i Ot.prp. 13 (1998–1999) side 227 annen spalte, som unntar slikt personell fra helsepersonellovens regler om taushetsplikt, har derfor ingen relevans etter at helseregisterloven trådte i kraft.

Helseregisterloven § 15 innebærer at databehandlingsansvarlige etter helseregisterloven, samt databehandlere og personell som arbeider under den databehandlingsansvarliges instruksjonsmyndighet har samme taushetsplikt som helsepersonell har etter helsepersonelloven.

Databehandlingsansvarlige og databehandlere har i følge helseregisterloven § 16 ansvar for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, kvalitet og tilgengelighet ved behandling av helseopplysninger. Kravet om tilstrekkelig konfidensialitet pålegger databehandlingsansvarlige og databehandlere å sørge for at de elektroniske journalsystemene de tar i bruk, er bygget opp eller innrettet slik at reglene om taushetsplikt i helsepersonelloven kan overholdes. Videre innebærer det en plikt til å sørge for at reglene om tilgang til og utlevering av helseopplysninger etter helseregisterloven §§ 13 og 14 overholdes.

Kravet om integritet innebærer at informasjonen/opplysningene ikke skal endres under lagring eller transport, de skal være uendret i forhold til originalinnføringen.

Med kvalitet menes at opplysningene er korrekte og oppdaterte.

Kravet om tilgjengelighet innebærer at opplysningene faktisk er tilgjengelig når brukeren trenger dem.

Det følger av personopplysningsforskriften § 2–4 at den databehandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Resultatet av risikovurderningen skal dokumenteres. 

Brudd på reglene om informasjonssikkerhet etter helseregisterloven straffes med bøter eller fengsel inntil ett år eller begge deler, jf. § 34. Både forsettlig og grov uaktsom overtredelse straffes. 

4 Problemstilling

Det kan reises spørsmål om hovedregelen om taushetsplikt bør endres slik at det klart fremgår at det er forbudt å tilegne seg taushetsbelagte opplysninger, uten at det har grunnlag i tjenestelige behov. Dette vil blant annet innebære at det blir straffbart å overtre bestemmelsen. Også ”snoking” i pasientopplysninger vil være omfattet av et slikt forbud.

5 Departementets vurderinger og forslag

Erfaringer fra blant annet straffesaken mot helseforetaket, jf. punkt 2 ovenfor, har vist at det er et hull i helsepersonellovens regler om taushetsplikt, i hvert fall med hensyn til eventuell straffesanksjonering. Etter departementets vurdering må det være klinkende klart at snikkikking eller ”snoking” i taushetsbelagte opplysninger er ulovlig. Formålet med taushetsplikten er å verne pasienters integritet og sikre befolkningens tillit til helsetjenesten og helsepersonell. Bestemmelsene om taushetsplikt skal sikre at pasienter oppsøker helsetjenesten ved behov for helsehjelp uten at de trenger å frykte at uvedkommende får tilgang til opplysningene.

Det vil ikke være mulig å drive en forsvarlig helsetjeneste dersom det skulle være slik at helsepersonell i enkelttilfeller ikke fører nødvendig opplysninger inn i journalen til en pasient fordi en frykter at noen kan få urettmessig kunnskap om opplysningene.  

Departementets inntrykk er imidlertid at helsepersonell flest er av den oppfatning at ”snoking” i taushetsbelagte opplysninger er ulovlig. Det vises blant annet til Norm for informasjonssikkerhet i helsesektoren som er utarbeidet av representanter for sektoren, herunder Den norske legeforening, representanter for de regionale helseforetak, Norsk Sykepleierforbund, Norges Apotekerforening og Kommunenes Sentralforbud. Normen ble utgitt 7. august 2006 med støtte av Sosial- og helsedirektoratet. Normen synes å legge til grunn at det å tilegne seg eller forsøke å tilegne seg opplysninger man ikke har behov for, er et brudd på taushetsplikten, jf. normen punkt 5.1 side 15 samt faktaark (vedlegg til normen) vedrørende tilgangsstyring.

Etter departementets vurdering er det likevel en mangel i helsepersonelloven at den ikke eksplisitt forbyr det forhold at personell gjør seg kjent med taushetsbelagte pasientopplysninger i henhold til helsepersonelloven uten at det har grunnlag i tjenestelig behov. Departementet mener at det bør fremgå klart av lovteksten at det er forbudt for helsepersonell å tilegne seg helseopplyninger på denne måten. Behovet for en slik bestemmelse er for det første viktig i forhold til bruk av elektronisk registrering og kommunikasjon av pasientopplysninger (elektroniske pasientjournaler) der tilgangen til opplysningene er rolle- (lege, sykepleier, sekretær etc.) og beslutningsstyrt. Det er også viktig i forhold til tilgangsstyring og utlevering av helseopplysninger fra lokale, regionale og sentrale helseregistre, som for eksempel Meldingssystemet for smittsomme sykdommer, Kreftregisteret, Norsk pasientregister, Nasjonal database for elektroniske resepter etc. En forutsetning for å kunne tilegne seg taushetslagte opplysninger er at vedkommende skal bruke opplysningene til et nærmere bestemt formål begrunnet i tjenestelig behov. Videre må det være slik at denne tilegnelsen er i tråd med helsepersonellovens regler om taushetsplikt. Etter departementets vurdering vil en slik bestemmelse gi bedre legitimitet for den enkelte virksomhets styring av og retningslinjer for informasjonssikkerhet. Den vil også kunne bidra til økt trygghet for pasientene i forhold til sikkerheten rundt opplysningene.

På denne bakgrunn foreslår departementet at helsepersonelloven § 21 gis et nytt annet ledd som klart setter forbud mot ulegitimert innsyn i og besittelse av pasientopplysninger.

Bestemmelsen gir samtidig helseopplysninger som behandles etter helseregisterloven vern mot ulegitimert innsyn og besittelse, jf. helseregisterloven § 15. Bestemmelsen retter seg således mot alle som uten at det foreligger tjenestelige behov leser, mottar, søker etter eller på annen måte tilegner seg, bruker eller besitter taushetsbelagte opplysninger.  

 
6 Økonomiske og administrative konsekvenser

Forslaget innebærer en presisering av reglene om taushetsplikt, og innebærer regulering av et forhold som helsepersonell allerede i dag oppfatter som gjeldende rett. Departementet kan ikke se at forslaget innebærer administrative eller økonomiske konsekvenser av betydning.

7 Merknader til bestemmelsen

Nytt annet ledd
Annet ledd presiserer at det er forbudt å lese, motta, søke etter eller på annen måte tilegne seg, bruke eller besitte taushetsbelagte opplysninger, jf. første ledd, uten at det har et nærmere bestemt formål begrunnet i tjenestelig behov og er i samsvar med lovens bestemmelser om taushetsplikt.

Bestemmelsen innebærer at det blant annet er forbudt å sniklese i taushetsbelagte pasientopplysninger som er lagret i pasientjournaler så vel som i lokale, regionale og sentrale helseregistre, samt under kommunikasjon av opplysningene.  

Forslaget sikter til bestemmelser fastsatt i helsepersonelloven eller i medhold av loven. Bestemmelsen får også anvendelse på helseopplysninger som behandles etter helseregisterloven, jf. henvisningen til helsepersonelloven i helseregisterloven § 15. 

8 Forslag til endringer i helsepersonelloven

I lov 2. juli 1999 nr. 64 om helsepersonell m.v. (helsepersonelloven) foreslås følgende endringer:

§ 21 annet ledd skal lyde:
Det er forbudt å lese, motta, søke etter eller på annen måte tilegne seg, bruke eller besitte opplysninger som nevnt i første ledd uten at det har et nærmere bestemt formål begrunnet i tjenestelig behov og er i samsvar med lovens bestemmelser om taushetsplikt.  

Høringsinstanser

Akademikerne
Ambulansehelsetjenesten KFO
Apotekerforeningen
Arbeidsgiverforeningen NAVO
Bioteknologinemnda
Datatilsynet
Den Norske Advokatforening
Den norske Dommerforening
Den Norske Jordmorforening
Den norske tannlegeforening
Den norske legeforening
Den nasjonale forskningsetiske komité for medisin (NEM)
Departementene
Fagforbundet
Farmasi Forbundet
Fellesorganisasjonen for barnevernspedagoger, sosionomer og vernepleiere
Finansnæringens Hovedorganisasjon
Flerfaglig Fellesorganisasjon
Forbrukerombudet
Fylkesrådet for funksjonshemmede
Handels- og Servicenæringens Hovedorganisasjon
Helseansattes Yrkesforbund
Helsetilsynet i fylkene
Institutt for allmenn- og samfunnsmedisin
Kliniske ernæringsfysiologers forening
Kommunenes Sentralforbund (KS)
Landets fylkesmenn / Sysselmannen på Svalbard
Landets helseforetak
Landets regionale helseforetak
Landets høyskoler (m/sos.fagl. utdannelse)
Landets pasientombud
Landets universiteter
Landsorganisasjonen i Norge (LO)
Legemiddelindustriforeningen
Nasjonalforeningen for folkehelsen
Nasjonalt Folkehelseinstitutt
Norges Farmaceutiske Forening
Norges Juristforbund
Norges Optikerforbund
Norsk audiografforbund
Norsk Ergoterapeutforbund
Norsk Fysioterapeutforbund
Norsk Helsesekretærforbund
Norsk Kiropraktikerforening
Norsk Pasientforening
Norsk Pasientskadeerstatning (NPE)
Norsk Psykologforening
Norsk Radiografforbund
Norsk Sykepleierforbund
Norsk Tannpleierforening
Norsk Tjenestemannslag (NTL)
Norske Fotterapeuters Forbund
Næringslivets Hovedorganisasjon NHO
Pasientskadenemnda
Politidirektoratet
Riksadvokaten
Regjeringsadvokaten
Rikstrygdeverket (NAV)
Røntgeninstituttenes Fellesorganisasjon
Sametinget
Senter for medisinsk etikk, SME
Sosial- og helsedirektoratet
Statens autorisasjonskontor for helsepersonell
Statens Helsepersonellnemnd
Statens helsetilsyn
Statens legemiddelverk
Stortingets ombudsmann for forvaltningen
Yrkesorganisasjonenes Sentralforbund (YS)