11 Endringer av helsepersonelloven og helseregisterloven – forbud mot urettmessig tilegnelse av pasient- og helseopplysninger
11.1 Gjeldende rett
Helsepersonelloven
Helsepersonellovens hovedregel om taushetsplikt følger av § 21 hvor det heter:
«Helsepersonell skal hindre at andre får adgang eller kjennskap til opplysninger om folks legems- eller sykdomsforhold eller andre personlige forhold som de får vite om i egenskap av å være helsepersonell.»
Det følger av bestemmelsens ordlyd at taushetsplikt ikke bare er en plikt til å tie, men også en plikt til å hindre at andre får tilgang til taushetsbelagte opplysninger. Forsvarlig håndtering og oppbevaring av taushetsbelagte opplysninger er således en forutsetning for å etterleve den lovbestemte taushetsplikten.
Bestemmelsen innebærer at taushetsbelagte opplysninger bare kan gis eller utleveres til andre når det i lov, eller i medhold av lov, uttrykkelig er fastsatt eller klart forutsatt at taushetsplikt ikke skal gjelde. For eksempel vil samtykke fra den som har krav på taushet oppheve taushetsplikten i den utstrekning samtykket er gitt.
Den som gis tilgang til taushetsbelagte opplysninger etter helsepersonelloven, har som hovedregel samme taushetsplikt som helsepersonellet som gir tilgang til opplysningene, jf. helsepersonelloven § 25 tredje ledd og § 26 tredje ledd.
Etter helsepersonelloven § 56 kan Statens helsetilsyn gi advarsel til helsepersonell som forsettlig eller uaktsomt overtrer plikter i henhold til loven, hvis pliktbruddet er egnet til å medføre fare for sikkerheten i helsetjenesten eller til å påføre pasienter en betydelig belastning. Autorisasjon, lisens eller spesialistgodkjenning kan tilbakekalles etter nærmere bestemte vilkår fastsatt i helsepersonelloven § 57, dersom innehaveren er uegnet til å utøve sitt yrke forsvarlig. Det vises til departementets nærmere omtale av bestemmelsen under punkt 9.5.
Den som forsettlig eller grovt uaktsomt overtrer eller medvirker til overtredelse av taushetsplikten, straffes med bøter eller fengsel i inntil tre måneder, jf. helsepersonelloven § 67.
Helseregisterloven
Helseregisterloven utvider virkeområdet for taushetspliktsbestemmelsene i helsepersonelloven, jf. helseregisterloven § 15. Det følger av første ledd i bestemmelsen at enhver som behandler helseopplysninger etter loven, har taushetsplikt etter forvaltningsloven §§ 13 til 13e og helsepersonelloven. Dette innebærer at også helsepersonell som utfører pasientadministrative oppgaver, men ikke utøver sin profesjon som for eksempel lege eller sykepleier, er underlagt helsepersonellovens regler om taushetsplikt. De spesielle merknadene til helsepersonelloven § 21 i Ot.prp. nr. 13 (1998–1999) side 227 annen spalte, som unntar slikt personell fra helsepersonellovens regler om taushetsplikt, har derfor ingen relevans etter at helseregisterloven trådte i kraft. Helseregisterloven § 15 innebærer at databehandlingsansvarlige etter loven, samt databehandlere og personell som arbeider under den databehandlingsansvarliges instruksjonsmyndighet, vil ha samme taushetsplikt som helsepersonell har etter helsepersonelloven.
Databehandlingsansvarlige og databehandlere har i følge helseregisterloven § 16 ansvar for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, kvalitet og tilgjengelighet ved behandling av helseopplysninger. Kravet om tilstrekkelig konfidensialitet pålegger databehandlingsansvarlige og databehandlere å sørge for at de elektroniske journalsystemene de tar i bruk, er bygget opp eller innrettet slik at reglene om taushetsplikt i helsepersonelloven kan overholdes. Videre innebærer det en plikt til å sørge for at reglene om tilgang til og utlevering av helseopplysninger etter helseregisterloven § 13 og § 14 overholdes.
Helseregisterloven § 13 regulerer hvem som kan få tilgang til helseopplysninger som behandles elektronisk, herunder pasientjournaler og pasientadministrative systemer. Bestemmelsen har til hensikt å sikre pasientopplysninger og andre helseopplysninger tilstrekkelig konfidensialitet. Første punktum i bestemmelsen fastslår at det bare er den databehandlingsansvarlige, databehandlere og den som arbeider under den databehandlingsansvarliges eller databehandlers instruksjonsmyndighet, som kan gis tilgang til helseopplysninger som behandles etter loven. I merknadene til bestemmelsen (Ot.prp. nr. 5 (1999–2000) side 192) er det uttalt at dersom en eller flere andre personer enn dem det refereres til i bestemmelsen har tilgang til helseopplysninger, har ikke databehandlingsansvarlige for opplysningene eller databehandler oppfylt sine plikter etter § 16 om sikring av helseopplysningenes konfidensialitet.
Andre punktum i bestemmelsen presiserer nærmere hvilke opplysninger det kan gis tilgang til. Bestemmelsen fastslår at tilgang bare kan gis i den grad dette er nødvendig for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt. I følge merknadene begrenser bestemmelsen tilgangen til helseopplysninger ut over fysiske og tekniske tilgangssperrer. Nødvendige tiltak fra den databehandlingsansvarliges side for etterlevelse av bestemmelsen, kan være informasjon og oppbygging av kompetanse og holdninger, eventuelt også tiltak av organisatorisk art. At tilgang til helseopplysninger bare kan gis i den grad det er nødvendig for vedkommendes arbeid, er et grunnleggende prinsipp som også kan utledes av helseregisterloven § 11. Det følger av bestemmelsen at det kun skal behandles opplysninger som er relevante og nødvendige for det aktuelle formålet. Av § 13 følger det en plikt for databehandlingsansvarlig og databehandler å sørge for blant annet klare retningslinjer og systemer for tilgangskontroll, for å sikre at det ikke gis tilgang til helseopplysninger utover hva som er relevant og nødvendig for den enkeltes arbeid. Bestemmelsen er ikke til hinder for at opplysninger kan utleveres der det er hjemmel for utlevering.
Dersom den databehandlingsansvarlige ikke sørger for tilfredsstillende informasjonssikkerhet i henhold til helseregisterloven § 16, kan vedkommende staffes etter lovens § 34.
Personopplysningsloven
Personopplysningsloven med forskrifter regulerer behandling av helseopplysninger i den utrekning ikke annet følger av helseregisterloven. Dette innebærer at reglene om informasjonssikkerhet i personopplysningsforskriften kapittel 2 også gjelder for behandling av helseopplysninger. Den som har den daglige ledelsen av virksomheten har ansvaret for at reglene om informasjonssikkerhet følges.
Det følger av personopplysningsforskriften § 2–14 at ledelsen av virksomheten har ansvar for sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet, herunder gjøre det mulig å oppdage forsøk på slik bruk. Forsøk på uautorisert bruk av informasjonssystemet skal registreres.
Brudd på reglene om informasjonssikkerhet etter helseregisterloven straffes med bøter eller fengsel inntil ett år eller begge deler, jf. helseregisterloven § 34 og personopplysningsforskriften § 9–3. Både forsettlig og grov uaktsom overtredelse straffes. Medvirkning straffes på samme måte.
11.2 Nærmere om forslaget i høringsnotatet
I høringsnotatet ble det foreslått et nytt annet ledd i helsepersonelloven § 21 som klart setter forbud mot ulegitimert innsyn i og besittelse av pasientopplysninger. Forslaget hadde følgende formulering:
«Det er forbudt å lese, motta, søke etter eller på annen måte tilegne seg, bruke eller besitte opplysninger som nevnt i første ledd uten at det har et nærmere bestemt formål begrunnet i tjenestelig behov og er i samsvar med lovens bestemmelser om taushetsplikt.»
Departementet uttaler i høringsnotatet at det må være klinkende klart at « snikkikking» eller « snoking» i taushetsbelagte opplysninger er ulovlig. Formålet med taushetsplikten er å verne pasienters integritet og sikre befolkningens tillit til helsetjenesten og helsepersonell. Bestemmelsen om taushetsplikt skal sikre at pasienter oppsøker helsetjenesten ved behov for helsehjelp uten at de trenger å frykte at uvedkommende får tilgang til opplysningene. Det vil ikke være mulig å drive en forsvarlig helsetjeneste dersom det skulle være slik at helsepersonell i enkelttilfeller ikke fører nødvendige opplysninger inn i journalen til en pasient fordi en frykter at noen kan få urettmessig kunnskap om opplysningene.
Det fremgår av høringsnotatet at bestemmelsen også gir helseopplysninger som behandles etter helseregisterloven vern mot ulegitimert innsyn og besittelse, jf. helseregisterloven § 15. Det vil si at det foreslåtte forbudet retter seg mot alle som uten at det foreligger tjenestelige behov leser, mottar, søker etter eller på annen måte tilegner seg, bruker eller besitter taushetsbelagte opplysninger.
Departementet påpeker at behovet for en slik bestemmelse er viktig med hensyn til bruk av elektronisk registrering og kommunikasjon av pasientopplysninger (elektroniske pasientjournaler og andre behandlingsrettede helseregistre) der tilgangen til opplysningene ofte er rolle- (lege, sykepleier, sekretær etc.) og/eller beslutningsstyrt. Videre er det viktig med en slik bestemmelse av hensyn til tilgangsstyring og utlevering av helseopplysninger fra lokale, regionale og sentrale helseregistre, som for eksempel Meldingssystemet for smittsomme sykdommer, Kreftregisteret, Norsk pasientregister, Nasjonal database for elektroniske resepter etc.
11.3 Høringen
Det er innkommet merknader fra 55 høringsinstanser, jf. punkt 4.2. 46 høringsinstanser uttaler positivt at de støtter lovforslaget. Noen av disse høringsinstansene har merknader, og det blir gjort nærmere rede for disse nedenfor. Åtte høringsinstanser har ikke merknader til lovforslaget.
Det er bare Nasjonaltfolkehelseinstitutt som sier at de ikke er enige i et lovforbud. Folkehelseinstituttet har uttalt at de er enig i at det er uheldig dersom helsepersonell bryter «need to know»-prinsippet ved å skaffe seg tilgang til informasjon man ikke har behov for, men er ikke enig i at lovforbud er et egnet virkemiddel. Folkehelseinstituttet uttaler:
«Det er imidlertid ikke åpenbart at lovregulering er hensiktsmessig, og forslaget berører ikke hvordan et forbud mot snoking skal følges opp. Dersom forslaget skal ha realitet, må det omfatte omfattende logging og overvåking. Dette er ikke uproblematisk, verken juridisk, teknisk eller økonomisk. Den enkelte medarbeider har også krav på personvern, logging krever omfattende tekniske tiltak og gjennomgang av logger er ressurskrevende.»
Som nevnt har det ellers vært bred oppslutning om lovforslaget blant høringsinstansene. Flere høringsinstanser har imidlertid hatt mindre merknader eller spørsmål knyttet til ordlyden i lovforslaget. Disse knytter seg først og fremst til forbudet mot å « motta opplysninger» og det nærmere innholdet i uttrykket « tjenestelige behov». Flere høringsinstanser mener at det kan synes for strengt å straffesanksjonere det å passivt « motta» opplysninger.
Handels- og Servicenæringens hovedorganisasjon uttaler at fra deres synsvinkel som arbeidsgiverorganisasjon, vil bestemmelsen gi bedre hjemmelsgrunnlag for å reagere på denne type overtredelser fra virksomhetens ansatte.
Arbeidsgiverforeningen SPEKTERmener at bestemmelsen vil gi arbeidsgiver et tydelig hjemmelsgrunnlag for arbeidsrettslige reaksjoner i de tilfeller snoking i pasientjournaler forekommer. Foreningen sier at de legger til grunn at det er arbeidsgiver i kraft av sin styringsrett som avgjør hva som er « tjenestelige behov.»
Universitetet i Tromsø har begrunnet sin støtte til lovforslaget slik:
«Overgangen fra papirdata til elektroniske data i helseinstitusjoner har medført at det er blitt meget enkelt å «snoke» i elektroniske datajournaler. Selv om slik snoking kan spores er det ikke alltid at dette gjøres i praksis. I starten av innføringen av elektroniske journaler har det vært en del usikkerhet blant helsepersonell når det gjelder dette. Videre fremgår det som anført i høringsnotatet ikke klart at slik snoking ikke er tillatt. Det som står er at kunnskap ikke skal bringes videre til andre, men det står ikke at man ikke har adgang til å skaffe seg slik kunnskap selv. Det foreslåtte tillegg gjør dette klart.»
Fylkesmannen i Vestfold har påpekt at flere store helseinstitusjoner i dag mangler muligheten for å loggføre aktivitet i en pasientjournal, og at det derfor vil være vanskelig å avdekke brudd på et nytt annet ledd i helsepersonelloven § 21. Fylkemannen ser det derfor som ønskelig at departementet også vurderer behovet for regler som stiller krav til loggføring. Helse Nord har også tatt opp spørsmålet om det bør settes krav til loggføring.
Akershus universitetssykehusmener at den foreslåtte bestemmelsen vil kunne favne for vidt, og har foreslått at forbudet mot å « motta» opplysninger fjernes. Sykehuset mener at uttrykket « besitte opplysninger» er tilstrekkelig dekkende for utrettmessig mottak av opplysninger. Sykehuset har også foreslått at uttrykket « forbudt» tas ut og erstattes av en aktsomhetsnorm, slik at det klargjøres at rene uhell ikke vil gi grunnlag for administrative reaksjoner eller straff.
Den norske tannlegeforening har støttet forslaget og har i den forbindelse uttalt:
«Samtidig vil foreningen påpeke betydningen av at bestemmelsen utformes og praktiseres slik at den blir anvendelig. Med andre ord må bestemmelsen ramme aktiv «sniklesing» samtidig som den ikke må fremstå som så begrensende at det skaper praktiske vansker. Vi går ut fra at det ikke er meningen å ramme for eksempel det å tilfeldig lese eller motta opplysninger som det viser seg at man ikke strengt tatt har tjenestelige behov for, eller å gi innsyn til personer som er under opplæring. Det bør vurderes å omtale dette i forarbeidene.»
Helsetilsynet i Nordland har i hovedsak sagt seg enig i de foreslåtte lovendringene. Helsetilsynet «ser likevel at forbudet mot å motta taushetsbelagte opplysninger kan virke strengt, da helsepersonell synes objektivt å ha brutt loven ved i god tro få tilsendt taushetsbelagte pasientopplysninger som ikke var ment for vedkommende. Selv om bestemmelsen åpenbart ikke er ment å ramme denne type tilfeller, bør departementet vurdere å endre ordlyden. Sekundært bør man presisere dette i et rundskriv til bestemmelsen.»
Helse Sør-Øst RHF mener at det å misbruke tilgangen til en pasientjournal og eventuelt gi videre noe helsepersonellet urettmessig har skaffet til veie, på mange måter er noe annet enn at helsepersonell skal bevare taushet og aktivt hindre at andre får tilgang til taushetsbelagte opplysninger helsepersonellet lovlig har mottatt i sitt virke. Helse Sør-Øst sier imidlertid at de støtter en lovendring som tydeliggjør at det ikke er lov å misbruke den tilgangen, for eksempel til EPJ, som helsepersonell har, for å få tilgang til andre opplysninger enn det som er nødvendig for å yte helsehjelp.
Den norske legeforening mener det bør vurderes om det er behov for en presisering av hva som nærmere ligger i begrepet « tjenestelige behov», for dermed å avklare hva som anses som legitimt innsyn kontra ulegitimert innsyn. Legeforeningen uttaler videre:
«Legeforeningen antar at begrepet «tjenestelige behov» knytter seg til utredning og behandling av pasienter, og at begrepet må avgrenses mot innsyn i opplysninger ut fra andre formål. For eksempel bør det ikke være mulig å påberope seg «tjenestelige behov» for å få opplysninger om egne ansatte, selv om formålet med dette er planlegging av virksomheten eller tilrettelegging av arbeidsplassen, altså isolert sett legitime formål. Rekkevidden av begrepet tjenestelige behov bør også presiseres i forhold til bruk av opplysninger til undervisningsformål, forskning m.v.
På den annen side vil Legeforeningen bemerke at det kan forekomme situasjoner der forbudet ikke vil gjelde fordi det foreligger et gyldig rettsgrunnlag for å tilegne seg pasientopplysninger, også utover behandlingssituasjonen. Typisk kan den som opplysningen gjelder ha samtykket til at andre gis tilgang til eller bruker opplysninger. Legeforeningen ber departementet vurdere om bestemmelsens ordlyd bør ta høyde for at tilegnelsen av informasjon kan være akseptabelt ikke bare når det har et nærmere bestemt formål begrunnet i tjenestelige behov, men også når det foreligger et slikt annet rettsgrunnlag.»
St. Olavs hospital sier at sykehuset ser et klart behov for og imøteser en lovhjemmel om forbud mot urettmessig tilegnelse av pasientopplysninger. Sykehuset har imidlertid «store betenkeligheter med hensyn til forbudet mot å motta pasientopplysninger.»
Diakonhjemmet sykehus uttaler:
«Det er maktpåliggende at begrepet «tjenestelig behov blir klart definert i kommentarene til lovteksten for å unngå ulik fortolkningspraksis. Dette gjelder særlig i forhold til helsepersonell som tidligere har deltatt i behandlingen av en pasient og i læringsøyemed ser behov for å følge det videre forløpet.»
Seksjon for medisinsk etikk, UiO (SME) påpeker at termen « tjenestelige behov» er svært sentral, uten at termen er nærmere definert. Videre uttales:
«For eksempel kan det hevdes at kvalitetssikring og økonomistyring i noen situasjoner kan betegnes tjenestelige behov uten at dette nødvendigvis sammenfaller med pasientens behov for personvern. Etter SMEs oppfatning burde pasientens rett til medvirkning og kontroll i forhold til hvem som skal få tilgang til pasientjournalen gjøres mer eksplisitt enn kun å henvise til tjenestelig behov og lovens bestemmelser om taushetsplikt.»
11.4 Departementets vurderinger og forslag
Erfaringer fra blant annet straffesaken mot helseforetaket som det er redegjort for i punkt 4.1, viser at det er et hull i helselovgivningens regler om vern av pasientopplysninger. Departementet viser til at det etter gjeldende rett ikke kan innfortolkes at det i henhold til helsepersonelloven § 21 er forbudt å gjøre seg kjent med taushetsbelagte opplysninger slik at det kan straffesanksjoneres.
Etter departementets vurdering må det være helt klart at « snikkikking» eller « snoking» i taushetsbelagte opplysninger er ulovlig. Dette er spesielt viktig ved elektronisk behandling av pasientopplysninger hvor slike opplysninger i langt større grad enn tidligere kan være tilgjengelig i et elektronisk journalsystem. Formålet med taushetsplikten er å verne pasienters integritet og sikre befolkningens tillit til helsetjenesten og helsepersonell. Bestemmelsene om taushetsplikt skal sikre at pasienter oppsøker helsetjenesten ved behov for helsehjelp uten at de trenger å frykte at uvedkommende får tilgang til opplysninger om dem. Det vil ikke være mulig å drive en forsvarlig helsetjeneste dersom det skulle være slik at helsepersonell i enkelttilfeller ikke fører nødvendig opplysninger inn i journalen til en pasient fordi vedkommende frykter at noen urettmessig kan tilegne seg opplysningene.
Som nevnt i punkt 4.1 må det presiseres at departementets inntrykk er at helsepersonell flest er av den oppfatning at « snoking» i taushetsbelagte opplysninger er ulovlig. Det vises blant annet til Norm for informasjonssikkerhet i helsesektorensom er utarbeidet av representanter for sektoren, herunder Den norske legeforening, Norsk Sykepleierforbund, Norges Apotekerforening, representanter for de regionale helseforetak og Kommunenes Sentralforbud. Normen ble utgitt 7. august 2006 med støtte av Sosial- og helsedirektoratet. Normen synes å legge til grunn at det å tilegne seg eller forsøke å tilegne seg opplysninger man ikke har behov for, er et brudd på taushetsplikten, jf. normen punkt 5.1 side 15, samt faktaark vedrørende tilgangsstyring (vedlegg til normen).
Etter departementets vurdering er det likevel en mangel i helsepersonelloven at den ikke eksplisitt forbyr det forhold at personell eller andre gjør seg kjent med taushetsbelagte pasientopplysninger uten at det har grunnlag i tjenestelige behov. Erfaringer viser at « snoking» i journaler forekommer. Etter departementets syn er det urovekkende og uakseptabelt om dette får forstette uten at det kan reageres med administrativ reaksjon eller straff. Det er grunn til å anta at en utvetydig trussel om straff vil heve terskelen for « snoking». Administrative reaksjoner, for eksempel i form av advarsel etter helsepersonelloven § 56, kan også være en aktuell reaksjon. Det vises til punkt 9.5.
Etter departementets mening bør det være et klart lovforbud mot det å tilegne seg pasientopplyninger uten at man har tjenestelige behov for det. Departementet foreslår derfor at forslaget i høringsnotatet opprettholdes. På bakgrunn av merknader fra flere høringsinstanser vil departementet, i den hensikt å klargjøre bestemmelsen, foreslå en mindre omformulering av ordlyden i forhold til høringsnotatets forslag. Dette redegjøres det nærmere for nedenfor.
Departementet følger ikke opp forslaget fra Akershus universitetssykehus om å erstatte det klare forbudet med en aktsomhetsnorm. Departementet viser til at helsepersonelloven har en egen aktsomhetsnorm (forsvarlighetskrav) i § 4. Etter departementets vurdering vil et klart lovforbud gi bedre legitimitet for den enkelte virksomhets styring av og retningslinjer for informasjonssikkerhet. Herunder vil det kunne gi arbeidsgiver et tydeligere hjemmelsgrunnlag for arbeidsrettslige reaksjoner, jf. høringsuttalelser fra Handels- og Servicenæringens hovedorganisasjon og arbeidsgiverforeningen SPEKTER nevnt ovenfor. Et klart lovforbud vil også bedre sikre kravet til klar lovhjemmel for å kunne straffe ulegitimert innsyn. Departementet viser også til at et klart lovforbud har bred støtte blant høringsinstansene. Departementet vil gjøre oppmerksom på at en eventuell arbeidsrettslig reaksjon som følge av brudd på helsepersonelloven og helseregisterloven reguleres av henholdsvis arbeidsmiljølovens og tjenestemannslovens bestemmelser.
Departementet vil påpeke at det må foreligge forsett eller grov uaktsomhet for at brudd på den foreslåtte bestemmelsen kan straffes, jf. helsepersonelloven § 67. Forbudet vil således ikke ramme den som ved en feil mottar og leser et dokument vedkommende ikke ut fra tjenestelige behov har behov for å lese. Departementet kan vanskelig se at forbudet « forsettlig eller grov uaktsom mottakelse av opplysninger» har noen selvstendig betydning ut over det å « forsettlig eller grovt uaktsomt lese eller besitte opplysningene». Departementet mener derfor at ordet « motta» kan utgå av lovteksten, uten at det kan sies å være en lemping i forhold til høringsnotats forslag.
Departementet foreslår at den nye bestemmelsen inntas som ny § 21 a i helsepersonelloven. Det foreslåtte forbudet vil ha samme formål som taushetsplikten. Det vil si å verne pasientens integritet og hindre unødvendig spredning av pasientopplysninger. Forbudet skal bidra til at befolkningen kan ha tillit til helsetjenesten og helsepersonell, og at borgerne oppsøker helsetjenesten ved behov for helsehjelp, uten at de trenger å frykte at uvedkommende får tilgang til opplysninger om dem. Forbudet vil styrke opplysningenes konfidensialitet og har også en personvernrettslig side.
Det er den ulegitimerte tilgangen som etter departementets vurdering bør kunne straffes. Med andre ord: Dersom det ikke med hjemmel i lov eller forskrift er tillatt å gjøre seg kjent med taushetsbelagte opplysninger, så er det forbudt. Foreligger det hjemmel i lov eller forskrift for tilegnelse av opplysningene, kommer ikke bestemmelsen til anvendelse.
Typetilfelle for når tilegnelse av pasientopplysninger lovlig kan skje knytter seg først og fremt til utredning, behandling eller annen helsehjelp til en enkelt pasient eller til administrasjon av slik hjelp. I slike tilfelle vil det være tjenestelig behov for opplysningene, og det vil være i samsvar med lovens bestemmelser om taushetsplikt. Nødvendig hjemmel for lovlig tilegnelse av pasientopplysninger i disse tilfeller vil være helsepersonelloven § 25 og § 45.
Et annet typetilfelle når lovlig tilegnelse av pasientopplysninger kan skje, er at den som opplysningene er knyttet til har samtykket til at andre gis tilgang til eller bruker opplysningene til et formål det gyldig kan samtykkes til, for eksempel forskning. Et tredje typetilfelle er at Sosial- og helsedirektoratet har truffet vedtak om at opplysningene kan brukes i forskning uten hensyn til taushetsplikt, jf. helsepersonelloven § 29. Et fjerde eksempel kan være at virksomhetens ledelse har bestemt at opplysningene skal brukes til kvalitetssikring eller internkontroll i medhold av helsepersonelloven § 26. Et femte eksempel kan være at det foreligger hjemmel i forskrift i medhold av helseregisterloven § 8.
Utdanning av helsepersonell er en viktig oppgave for et sykehus, jf. spesialisthelsetjenesteloven § 3–8. For å skjøtte denne oppgaven kan det etter omstendighetene være behov for å få innsyn i pasientopplysninger. Spørsmålet om man i slike undervisningstilfeller rettsmessig har tilgang til pasientopplysninger må søkes i reglene om taushetsplikt. Relevant rettsgrunnlag for tilgang til pasientopplysninger i undervisningstilfellene kan være helsepersonelloven § 22 om samtykke eller helsepersonelloven § 23 nr. 3 som fastslår at taushetsplikt etter helsepersonelloven § 21 ikke er til hinder for at opplysninger gis videre når behovet for beskyttelse må anses ivaretatt ved at individualiserende kjennetegn er utelatt.
Planlegging og tilrettelegging av egen helsetjenestevirksomhet vil kunne innebære at det er behov for kunnskap om helseopplysninger om egne ansatte. Selv om dette er arbeidsoppgaver som er en naturlig del av virksomhetens oppgaver og er saklig begrunnet i virksomhetens behov, kan ikke arbeidsgiver gis tilgang til taushetsbelagte pasientopplysninger på dette grunnlag, fordi bestemmelsene om taushetsplikt vil være til hinder for det.
I lys av dette vil departementet foreslå at den nye bestemmelsen i helsepersonelloven § 21 a omformuleres i forhold til høringsnotatets forslag slik at det klart fremgår at det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte taushetsbelagte opplysninger uten at det er begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp eller har særskilt hjemmel i lov eller forskrift.
For å gjøre det tydelig at forbudet mot ulegitimert innsyn omfatter alle helseopplysninger som behandles etter helseregisterloven, foreslår departementet at lovforbudet, i tillegg til i helsepersonelloven § 21 a, tas inn i helseregisterloven § 13 a som en ny bestemmelse, og ikke bare innfortolkes via taushetspliktbestemmelsen i helseregisterloven § 15. Den nye bestemmelsen må ses i sammenheng med de øvrige personvernbestemmelsene i helselovgivningen, og særlig helseregisterloven § 13. Som redegjort foran under punkt 11.1, setter helseregisterloven § 13 krav til databehandlingsansvarlig. Den databehandlingsansvarlige skal sørge for at tilgang til pasientopplysninger bare gis i den grad dette er nødvendig for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt. Dette innebærer at den databehandlingsansvarlige for opplysningene må organisere og tilrettelegge virksomheten på en slik måte at urettmessige tilegnelser av pasientopplysninger, herunder « snoking», i utgangspunktet ikke skal kunne skje. Arbeidsgivers plikt innebærer å legge til rette for at helsepersonell har tilgang på de pasientopplysninger som trengs i pasientbehandlingsøyemed, og at det ikke gis tilgang når det ikke er behov for det. Dersom den databehandlingsansvarlige ikke sørger for at pasientopplysninger kan behandles under hensyntagen til tilfredsstillende informasjonssikkerhet, jf. helseregisterloven § 16, kan virksomheten straffes etter helseregisterloven § 34.
I motsetning til helsepersonelloven der brudd på samtlige av lovens bestemmelser kan straffesanksjoneres, angir straffebestemmelsen i helseregisterloven positivt de bestemmelsene som kan straffesanksjoneres. Det innebærer at det må fremgå av straffebestemmelsen i helseregisterloven at overtredelse av forbudet kan straffes. Departementet foreslår derfor at helseregisterloven § 34 endres, slik at det klart fremgår at overtredelse av den nye bestemmelsen kan straffes.
Etter helsepersonelloven vil de fleste rettmessige tilganger til pasientopplysninger knytte seg til helsehjelpsituasjoner. Helseregisterloven gjelder all elektronisk behandling av helseopplysninger i helseforvaltningen og helsetjenesten, det vil si både i helsehjelpsituasjoner og ved behandling av helseopplysninger i lokale, regionale og sentrale helseregistre. Forbudet i helseregisterloven vil derfor ha et videre virkeområde enn forbudet i helsepersonelloven. For å hindre uklarhet ved tolkning av bestemmelsen forslår departementet likevel at forbudet i helsepersonelloven og helseregisterloven blir likelydende. Det innebærer at det fremgår klart av den nye bestemmelsen i helseregisterloven at den også gjelder pasientopplysninger i journalen. Departementet viser til at det er i de elektroniske pasientjournalene erfaringer viser at det har forekommet ulegitimert innsyn i pasientopplysninger.
Da helseregisterloven som nevnt ovenfor gjelder all elektronisk behandling av helseopplysninger i helseforvaltningen og helsetjenesten, finner departementet at det ikke er nødvendig å innta korresponderende bestemmelser i spesialisthelsetjenesteloven og kommunehelsetjenesteloven.