9 Enkelte andre regler om bruk av helseopplysninger i forsikring
9.1 Personopplysningslovens regler om behandling av helseopplysninger
I likhet med forsikringsavtaleloven inneholder også lov 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) skranker for forsikringsselskapenes tilgang til helseopplysninger. Personopplysningsloven gjelder behandling av personopplysninger som skal forstås som «enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter», jf. loven § 2 nr. 2. Personopplysninger kan bare behandles dersom den det gjelder samtykker, det er fastsatt i lov at det er adgang til slik behandling, eller behandlingen er nødvendig for nærmere angitte formål, jf. personopplysningsloven § 8 og § 9. Den sistnevnte bestemmelsen gjelder sensitive personopplysninger, herunder helseopplysninger, jf. personopplysningsloven § 2 nr. 8 bokstav c. Samtykket skal være «en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv», jf. personopplysningsloven § 2 nr. 7. Personopplysningene kan bare nyttes til «uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet», jf. personopplysningsloven § 11 første ledd bokstav b. Det er dessuten en forutsetning at personopplysningene ikke brukes senere til formål som er uforenlige med det opprinnelige formålet med innsamlingen, med mindre den registrerte samtykker, jf. personopplysningsloven § 11 første ledd bokstav c. Det gjelder et selvstendig krav om at sekundærbruk forutsetter et eget behandlingsgrunnlag, jf. personopplysningsloven § 11 a, jf. §§ 8 og 9. Dette kravet kommer i tillegg til kravet om samtykke etter § 11 c. Om bruken av betalingsanmerkninger til bruk i en risikovurdering ved inngåelse av en forsikringsavtale, se foran i punkt 4.6.1.1.
Behandling av sensitive personopplysninger er konsesjonspliktig, jf. personopplysningsloven § 33 jf. § 34. I konsesjonen kan det også settes vilkår for behandlingen, jf. personopplysningsloven § 35. Datatilsynet har utarbeidet en konsesjon av juli 2005 (konsesjon 2005) til å behandle personopplysninger hos tilbydere av forsikringstjenester. I denne konsesjonen inngår også nærmere vilkår for behandlingen. Her gjentas kravet i forsikringsavtaleloven §§ 8-1 og 13-1 om at de opplysningene som etterspørres, må være relevante for risikovurderingen, jf. Datatilsynets konsesjon 2005, merknadene punkt 4.
Forsikringsselskapet kan imidlertid også være interessert i å innhente informasjon fra andre. Disse vil som oftest være forhindret fra å svare på grunn av taushetsplikt. Men dersom den opplysningene gjelder, samtykker til det, vil for eksempel helsepersonell og ansatte i trygdeetaten kunne løses fra taushetsplikten. Vedkommende lege/behandlingsinstitusjon eller offentlige etat skal selv foreta en vurdering av hvilke opplysninger som er relevante for selskapets behov, og ikke videreformidle annet enn slike opplysninger, jf. Datatilsynets konsesjon 2005, vilkårene punkt 3 og merknadene punkt 4. Så snart det er innhentet informasjon fra andre, skal forsikringsselskapet informere forsikringssøkeren om dette, jf. personopplysningsloven § 20. Fra denne plikten er det enkelte unntak, blant annet dersom det er nødvendig for å avdekke straffbare forhold, for eksempel forsikringssvindel, jf. personopplysningsloven § 23 første ledd bokstav b.
Relevanskravet gjelder også ved mottakelse av personopplysninger. Forsikringsselskapet skal slette eller returnere eventuell overskuddsinformasjon, det vil si informasjon som ikke viser seg å være relevant for formålet, jf. Datatilsynets konsesjon 2005, merknadene punkt 4 i.f.
De ansatte og tillitsvalgte i et forsikringsselskap, samt «andre som utfører oppdrag for forsikringsselskap», har taushetsplikt med hensyn til opplysninger om andres private forhold, jf. lov 10. juni 2005 nr. 44 om forsikringsselskaper, pensjonsforetak og deres virksomhet mv. (forsikringsloven) § 1-6 første ledd. Unntak herfra gjelder for meddelelser til et annet forsikringsselskap, jf. forsikringsloven § 1-6 annet ledd. Omfattes et forhold av Datatilsynets konsesjon 2005, er imidlertid ikke utlevering av slike opplysninger til et annet selskap tillatt med mindre noe annet følger av personopplysningsloven §§ 8, 9 og 11, eller den registrerte samtykker, jf. Datatilsynets konsesjon 2005, merknadene punkt 6. Utlevering av opplysninger til Nevnden for helsebedømmelse, Forsikringsklagekontoret og Forsikringsnemnda krever samtykke fra den registrerte.
Det er en viss adgang for forsikringsselskapet til å utlevere personopplysninger til Register over forsikringssøkere og forsikrede (ROFF) og Sentralt skaderegister (FOSS), jf. Datatilsynets konsesjon 2005, merknadene punkt 8. Slik utlevering er imidlertid betinget av at den opplysningene angår, er kjent med at opplysningene er registrert, og at det ikke er i strid med lovbestemt taushetsplikt. Det kan dessuten bare utleveres opplysninger som fremmer formålet med det aktuelle registeret. ROFF skal bidra til å sikre ensartet risikobedømmelse og forhindre spekulasjon, mens formålet med FOSS er å motvirke forsikringssvindel. Utvalget peker også på et tredje fellesregister – Register over søknader i Nevnden for helsebedømmelse (utredningen punkt 8.4 på side 48), men dette drives ikke lenger på konsesjon.
Utvalget finner at personopplysningsloven utgjør et «tilfredsstillende [...] rammeverk når det gjelder helseopplysninger i forsikring», jf. utredningen punkt 5.3 på side 29. Et mindretall peker imidlertid på at det er tre felles registre – ROFF, FOSS og register over søknader i Nevnden for helsebedømmelse – og mener bruken av slike fellesregistre bør utredes nærmere. De fremholder (utredningen punkt 8.4 på side 49):
«Ingen andre land det er naturlig å sammenligne seg med, har tilsvarende registre. Det er derfor grunn til å tro at man kan oppnå de samme resultatene uten en slik omfattende registrering av enkeltpersoner.»
Ved utveksling av helseopplysninger mellom kunde og selskap kan det oppstå personvernproblemer. Utvalget gir uttrykk for bekymring over muligheten for at helseopplysninger som er samlet inn eller unnlatt makulert i strid med personvernlovgivningen, likevel blir brukt av forsikringsselskapet (utredningen punkt 9.3.2 på side 56):
«I dagens lovgivning er det ikke et bindeledd mellom forsikringslovgivningen og personvernlovgivningen som hindrer at slik ulovlig oppbevart informasjon senere blir brukt. Utvalget vil derfor foreslå en uttrykkelig regel om dette.
Etter utvalgets syn bør en slik regel i alle fall gjelde informasjon som ikke ville vært tilgjengelig for selskapet dersom reglene i personvernlovgivningen var fulgt. Det kunne også vært spørsmål om selskapet bør kunne påberope seg informasjon som kunne vært oppbevart, men som er oppbevart på ulovlig måte. Dette kunne for eksempel gjelde følsomme opplysninger som er lagret elektronisk i strid med konsesjonsvilkår etter personvernlovgivningen. En har imidlertid funnet at en slik regel kunne medføre at kanskje små feil kunne få konsekvenser en ikke har oversikt over. Utvalget foreslår derfor ikke en slik regel.»
Utvalget la på denne bakgrunn frem følgende lovforslag:
«§ 13–1f. (forholdet til lovgivning om innsamling og oppbevaring av opplysninger)
Helseopplysninger som er innsamlet eller unnlatt makulert i strid med lov kan ikke påberopes av selskapet.»
I merknadene til lovforslaget heter det (utredningen punkt 15.1.2.10 på side 125):
«Poenget med bestemmelsen her er at reglene i for eksempel personopplysningsloven og helsepersonelloven (om samtykke) får direkte virkning i forsikringsforholdet (jfr. ovenfor i 9.3). Uten denne regelen kunne nok selskapet ha påberopt seg ulovlig innhentede eller oppbevarte opplysninger (jfr. ovenfor i 12.1). Selskapet kan både ha interesse av å påberope seg opplysningene i et forsikringsoppgjør og i en sak om plikt til å yte forsikring etter bestemmelsen om kontraheringsplikt (§ 13–1j).»
Oslo kommune gir uttrykk for at personopplysningsloven og konsesjonssystemet til sammen kan gi et tilfredsstillende vern når det gjelder bruk av helseopplysninger i forsikringsforhold. Ullevål sykehus er opptatt av at det stilles strenge krav til forsikringsselskapenes lagring av helseopplysninger. Buskerud sentralsykehus understreker betydningen av at «legen lage[r] et redigert utdrag av journalen til bruk i forsikringssammenheng». Den norske lægeforening uttaler følgende om praksis vedrørende legers utlevering av opplysninger til forsikringsselskaper:
«Som hovedregel skal behandlende lege redigere journalen og fjerne opplysninger som er sensitive og irrelevante for formålet.»
Utvalgets forslag om å forby bruk av opplysninger som er innhentet eller unnlatt makulert i strid med personvernlovgivningen, støttes av Datatilsynet, Rogaland fylkeskommune og Finansnæringens Hovedorganisasjon. Landsforeningen for Hjerte- og Lungesyke mener at helseopplysninger må slettes når formålet med innhentingen er oppfylt.
Datatilsynet foreslår å utvide utvalgets forbud:
«Ordlyden slik den står vil for eksempel ikke dekke en situasjon hvor en opplysning ulovlig er brukt til et annet formål. Datatilsynet foreslår at ordlyden endres til: 'Helseopplysninger som er behandlet, herunder innsamlet eller unnlatt makulert, i strid med lov, kan ikke påberopes av selskapet.»
LO støtter mindretallet som mener at bruken av fellesregistre bør utredes nærmere. Det gjør også Landsforeningen for Hjerte- og Lungesyke. De uttaler imidlertid at de er «innforstått med at det er behov for et sentralt skaderegister som skal forebygge forsikringssvindel».
Departementet deler utvalgets syn på behovet for å hindre at selskapet bruker personopplysninger som er samlet inn eller unnlatt slettet i strid med personvernlovgivningen. Riktignok er både overtredelser av personopplysningsloven og helsepersonelloven sanksjonert, jf. personopplysningsloven kapittel VIII og helsepersonelloven kapittel 11. Men for å hindre bruk av disse opplysningene i et forsikringsforhold kan det være nødvendig med et særskilt lovforbud.
Departementet foreslår en bestemmelse med samme omfang som utvalget. Datatilsynet foreslår det videre begrepet «behandling», blant annet for å hindre bruk til et annet formål. Etter departementets syn vil det imidlertid kunne lede til uheldige situasjoner om selskapet ikke skal kunne trekke veksler på opplysninger det lovlig har tilgang til på annet grunnlag. For eksempel kan det oppfattes som unødig tungvint om opplysninger selskapet sitter på i forbindelse med oppgjøret etter en ulykkesforsikring, ikke skulle kunne benyttes i forbindelse med utbetaling av en sykeforsikring. For øvrig vises det til lovforslaget § 13-1 c og merknadene til denne bestemmelsen nedenfor under punkt 12.1.
For så vidt gjelder behovet for å hindre at forsikringsselskapet påberoper seg personopplysninger det ikke kan kreve i medhold av annen lovgivning, som grunnlag for å nekte noen forsikring på vanlige vilkår, må dette anses for dekket gjennom lovforslaget § 3-10 tredje ledd og § 12-12 tredje ledd, som er omtalt nærmere ovenfor under punkt 4.6.
Et mindretall i utvalget ønsker at det ses nærmere på behovet for tre fellesregistre. Som nevnt er det imidlertid bare to fellesregistrene som i dag drives på konsesjon - FOSS og ROFF. Disse ivaretar etter departementets syn meget samfunnsnyttige formål. En er heller ikke kjent med at disse registrene har hatt uheldige konsekvenser for personvernet. Departementet ser derfor ikke grunn til å foreslå noen endringer i dagens ordning med to fellesregistre.
9.2 Innhenting av helseopplysninger fra andre
9.2.1 Gjeldende rett
Forsikringsavtaleloven regulerer hva forsikringsselskapet kan spørre forsikringssøkeren om – både ved tegning av forsikring og ved et eventuelt erstatningsoppgjør. Men forsikringsselskapet kan også være interessert i å innhente informasjon fra andre, for eksempel for å få supplert eller bekreftet informasjon gitt av forsikringssøkeren. Disse vil imidlertid som oftest være forhindret fra å svare på grunn av taushetsplikten.
For helsepersonell følger taushetsplikten av helsepersonelloven § 21, og for ansatte i arbeids- og velferdsetaten følger taushetsplikten av lov 16. juni 2006 nr. 20 om arbeids- og velferdsforvaltningen (arbeids- og velferdsforvaltningsloven) § 7, som gir reglene om taushetsplikt i forvaltningsloven §§ 13 til 13 e tilsvarende anvendelse. For begge gruppers vedkommende kan taushetsbelagte opplysninger gis ut ved samtykke fra den opplysningene gjelder, jf. henholdsvis helsepersonelloven § 22 første ledd og forvaltningsloven § 13 a nr. 1. Også ansatte i et forsikringsselskap har taushetsplikt, jf. lov 10. juni 2005 nr. 44 om forsikringsselskaper, pensjonsforetak og deres virksomhet mv. (forsikringsloven) § 1-6. Unntak herfra gjelder for meddelelse av helse- og skadeopplysninger til et annet forsikringsselskap, jf. forsikringsloven § 1-6 annet ledd.
Rikstrygdeverket opplyser følgende om sin praksis:
«Trygdeetaten har behov for en klar bestilling fra forsikringsselskapene ved ønske om utlevering. Bestillingen må harmonere med det samtykket som er gitt. Det må således foreligge en presis, tydelig og vel presisert fullmakt.»
I personopplysningsloven skal samtykke forstås som «en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling om seg selv», jf. loven § 2 nr.7. Forsikringsselskapenes adgang til innsamling av opplysninger og krav til samtykke i den forbindelse er nærmere regulert i Datatilsynets konsesjon 2005, jf. nærmere om denne ovenfor under punkt 9.1. Som hovedregel skal samtykket være skriftlig, jf. konsesjonen punkt 1. Det skal dessuten være avgitt frivillig og uttrykkelig, jf. merknadene punkt 2. Endelig er det et krav at forsikringssøkeren forut for avgivelsen av et samtykke er informert om hva samtykket innebærer. Vedkommende skal være gjort kjent med de aktuelle informasjonskildene og hvilke forhold det ønskes mer informasjon om, jf. merknadene punkt 3 bokstav b.
Det påligger forsikringsselskapet en plikt til å informere forsikringssøkeren så snart det er innhentet informasjon fra andre, jf. personopplysningsloven § 20 første ledd. Fra denne plikten er det enkelte unntak, blant annet dersom det er nødvendig for å avdekke straffbare forhold, for eksempel forsikringssvindel, jf. personopplysningsloven § 23 første ledd bokstav b.
Et samtykke har derfor etter flere lover betydning for adgangen til å innhente eller muligheten for å utlevere opplysninger til bruk for forsikringsselskapet.
9.2.2 Utvalgets forslag
Utvalget drøfter betydningen av samtykkeerklæringer ved tegning av forsikring og ved et forsikringsoppgjør. Om samtykket heter det (utredningen kapittel 12 i innledningen på side 79):
«Utvalget mener samtykket bør være skriftlig, klart, spesifisert, frivillig og ferskt, og det bør bygge på tilstrekkelig informasjon. Forsikringsselskapenes nye maler for samtykkeerklæringer tilfredsstiller disse kriteriene.»
Og videre (utredningen punkt 12.4.1 på side 81):
«Etter utvalgets syn bør hovedpunktene i de norske selskapenes nye maler forskriftsfestes dersom de ikke i det vesentlige gjennomføres innen rimelig tid. Gjennomføringen må skje såvel i alle norske selskaper som i utenlandske selskaper som konkurrerer på det norske markedet.»
For å hindre at for mye informasjon tilflyter selskapet i en oppgjørssituasjon, foreslår utvalgets flertall å lovfeste følgende begrensninger, jf. lovforslaget § 8-1 annet ledd og § 18-1 annet ledd:
«Dersom selskapet ber om samtykke til innhenting av taushetsbelagte opplysninger fra tredjemann, skal samtykket begrenses til det som trengs på hvert trinn i saken. Opplysninger som skal vurderes av en medisinsk sakkyndig utenfor selskapet, skal videresendes til denne uten å gjennomgås eller arkiveres i selskapet, med mindre selskapet selv trenger opplysningene til annet enn det den sakkyndige skal vurdere.»
Om bestemmelsen heter det (utredningen punkt 15.1.2.1 på side 120):
«Virkningen av bestemmelsen andre ledd er å hindre at for mye informasjon tilflyter selskapet. Selskapet må vurdere både om det overhodet trenger informasjonen, og om det trenger informasjonen med en gang. Det kan således være aktuelt å utsette informasjonsinnhenting som bare gjelder erstatningsutmålingen til det er klart om det foreligger ansvarsgrunnlag. Det kan også være aktuelt å avgrense forespørsler om tidligere sykehistorie til for eksempel de siste fem årene.
Den informasjonen selskapet trenger, skal kunne tilflyte det til slutt om nødvendig samtykke foreligger. Virkningen av regelen i andre ledd blir da at informasjonen forsinkes noe. Ofte vil det imidlertid også for selskapet være tilstrekkelig at for eksempel en medisinsk sakkyndig har vurdert opplysningene, slik at informasjonen aldri vil havne i selskapets arkiver.»
Om forholdet til personopplysningsloven heter det (utredningen punkt 12.4.2 på side 82):
«Regelen medfører riktignok ingen nevneverdig endring av praksis etter personvernlovgivningen, som uansett forutsetter at bare de opplysninger som trengs skal innhentes [...]. Men regelen gjør det legitimt for den som gjør krav gjeldende å nekte samtykke til utlevering av uredigert journal før sakkyndigutredning. Det vil for øvrig uansett være mulig å nekte samtykke til utlevering av uredigert journal i større utstrekning enn det denne regelen legger opp til.»
Utvalgets mindretall – medlemmene oppnevnt etter forslag fra forsikringsnæringen og Finansdepartementet – mener «at det alt i alt er lite vunnet ved en slik regel» (utredningen punkt 12.4.2 på side 82-83).
Utvalget foreslår videre å lovfeste en plikt for selskapet til å gi den som har samtykket, melding når det innhentes informasjon på grunnlag av samtykket, jf. utvalgets forslag til forsikringsavtaleloven § 8-1 tredje ledd og tilsvarende § 18-1 tredje ledd. Utvalget mener at en slik informasjonsplikt for selskapet «i noen grad [tilsvarer] forvaltningens informasjonsplikt etter forvaltningsloven, og må ses som et tillitsskapende tiltak. Når slik melding gis, kan eventuelt samtykke til innhenting av opplysninger trekkes tilbake» (utredningen punkt 15.1.2.1 på side 120).
Om forholdet til personopplysningsloven heter det (utredningen punkt 15.1.2.1 på side 120-121):
«Selskapet må gi opplysninger om informasjonsinnhenting også etter personopplysningsloven, og bestemmelsen her er noen grad overlappende med denne loven. Men når informasjon innhentes etter uttrykkelig samtykke, trengs trolig ikke varsel etter personopplysningsloven § 20. Etter bestemmelsen her er det imidlertid et poeng at forsikringskunden får informasjon om når og på hvilken måte selskapet utnytter hans eller hennes samtykke (fullmakt) til informasjonsinnhenting.»
I forlengelsen av opplysningsplikten som påhviler en som vil fremme et erstatningskrav mot forsikringsselskapet, jf. forsikringsavtaleloven § 8-1 første ledd og § 18-1 første ledd, foreslår utvalget en korresponderende informasjonsplikt for forsikringsselskapet, jf. utvalgets lovforslag § 8-1 fjerde ledd og § 18-1 fjerde ledd:
«Selskapet skal på forespørsel gi den som fremmer krav eller dennes representant innsyn i opplysninger om saken og medisinske vurderinger det måtte utarbeide eller innhente i saken, med mindre det er påkrevd å hemmeligholde opplysningene eller vurderingene av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgelse av straffbare handlinger.»
Endelig foreslår utvalget følgende nytt annet ledd i helsepersonelloven § 15 for å sikre betryggende behandling av spesielt sensitive opplysninger:
«Når helsepersonell forstår at det kan ha særlig betydning hvordan spesielt sensitive faktiske forhold beskrives i en attest, legeerklæring o.l., skal han eller hun ta dette opp med pasienten.»
Om dette lovforslaget uttaler utvalget (utredningen punkt 12.4.3 på side 83):
«Utvalget vil i denne sammenheng peke på at helsepersonelloven ikke bare krever at legeerklæringer skal være objektive og fullstendige, men at bestemmelsen også maner til varsomhet. Når legen skjønner at dette er av viktighet, bør han eller hun derfor ta opp med vedkommende person hvordan det skal refereres til særlig sensitive opplysninger.
Utvalget understreker at det ikke kan komme på tale å fravike kravet til objektivitet og fullstendighet i disse tilfellene. Kan legen og den som har samtykket ikke bli enige om passende formuleringer, vil pasienten måtte trekke samtykket tilbake og legen si fra seg oppdraget.»
9.2.3 Høringsinstansenes syn
Rogaland fylkeskommune, Buskerud sentralsykehus, Den norske lægeforening og Norsk Pasientskadeerstatning støtter utvalgets forslag til krav til samtykket (lovforslaget § 8-1 annet ledd og § 18-1 annet ledd). Aker sykehus er positiv til at samtykkeerklæringene gjøres mer begrenset. Landsforeningen for Hjerte- og Lungesyke og Landsforeningen for trafikkskadde mener utformingen av samtykkeerklæringer bør reguleres i forskrift.
Norsk Pasientskadeerstatning peker likevel på betydningen av at et samtykke ikke gjøres så spesifisert at det hindrer selskapene i å «håndtere pasientskadesaker på en forsvarlig måte». Statens Pensjonskasse har følgende bemerkning til kravet om at samtykket må være ferskt:
«Behandling av yrkesskadesaker kan strekke seg over flere år. Skadelidte vil ofte fremsette krav når deler av et tap ventes å oppstå. Endelig oppgjør vil ofte ikke kunne foretas før nødvendig attføring- og rehabiliteringstiltak er forsøkt. Underveis vil normalt kontakten mellom skadelidte og forsikringsgiver være løpende, og behovet for «ferskt» samtykke synes i disse tilfeller ikke å være så fremtredende.»
Datatilsynet tar også opp en annen side ved kravet til samtykke:
«Forsikringsselskapenes behandling av personopplysninger skjer etter samtykke fra den enkelte, men vedkommende vil som oftest stå overfor valget mellom å avgi det samtykke selskapet ber om eller å avstå fra å tegne eller kreve oppgjør for en forsikring. Enkeltindividet har derfor ikke mulighet til å ivareta sitt personvern alene.»
Buskerud sentralsykehus, Landsorganisasjonen i Norge, Finansnæringens Hovedorganisasjon,Norsk Pasientskadeerstatning og Trafikkskaddes Landsforbund er positive til forslaget om at samtykket skal begrenses til det som trengs på hvert trinn i saksbehandlingen. Finansnæringens Hovedorganisasjon legger til at det er i samsvar med dagens praksis.
Forslaget om å lovfeste en begrensning i forsikringsselskapenes adgang til å innhente uredigerte journaler før sakkyndigutredningen (utvalgets lovforslag §§ 8-1 og 18-1, begges annet ledd annet punktum) støttes av Aker sykehus, Buskerud sentralsykehus, Landsforeningen for trafikkskadde og Landsorganisasjonen i Norge. Det gjør også Datatilsynet, som legger til:
«I tillegg til denne begrensningen burde det lovfestes en relevansvurdering også for innhenting av opplysninger ved oppgjør. Regelen bør tilsvare bestemmelsen som gjelder ved tegning av forsikringsavtaler, slik at selskapet må dokumentere de ulike medisinske opplysningers vekt og relevans i forhold til fastsettelse av erstatningsansvaret. Det kan stilles spørsmål ved om det også ved oppgjør burde lovfestes rammer for hvor langt tilbake i tid selskapet kan be om å få opplysninger. Slike bestemmelser ville begrense utlevering av helseopplysninger som ikke er relevante for det konkrete erstatningstilfelle. Datatilsynet vil be departementet vurdere nærmere muligheten av å innføre bestemmelser om hvilke opplysninger som er relevante ved oppgjør av erstatning for personskade.»
Den norske lægeforening uttaler følgende om dagens praksis:
«I de meget få saker der selskapet trenger komplett journal skal dette begrunnes særskilt, og anmodning om journal skal ledsages av spesifisert samtykke fra forsikringstaker. Journalen sendes direkte til nærmere angitt lege i selskapet, som skal redigere bort opplysninger som er sensitive og irrelevante for formålet, før opplysningene går videre til ordinær saksbehandling.»
Statens Pensjonskasse peker på at en uredigert journal vil kunne være oppklarende i kompliserte saker der årsakssammenhengen er usikker eller skadefølgen synes upåregnelig. Slike opplysninger må derfor «i det minste gjøres tilgjengelige ved innhenting av spesialisterklæringer/sakkyndigvurderinger».
Kredittilsynet og Norsk Pasientskadeerstatning er enig med mindretallet som går mot utvalgets flertallsforslag til bestemmelse i forsikringsavtaleloven §§ 8-1 og 18-1, begges annet ledd annet punktum. Det gjør også Finansnæringens Hovedorganisasjon :
«Selskapene har klare og legitime behov for å gjennomgå både journal og andre opplysninger for eksempel for å avgjøre om spesialisterklæring skal innhentes, hvilken spesialitet som er mest aktuell, hvilke spørsmål som skal fremsettes i mandatet, og ikke minst for å vurdere saker hvor det foreløpig er for tidlig å si noe om spesialisterklæring skal innhentes eller ikke.»
Norsk Pasientskadeerstatning skriver:
«Det er etter vår mening ikke mulig å håndtere pasientskadesaker på en forsvarlig måte uten også å etablere solid medisinsk kompetanse innad i organisasjonen. NPE har f.eks. 10 rådgivende leger med høy faglig kompetanse og variert bakgrunn. Rent medisinsk fremstår det bortimot meningsløst dersom NPE ikke kan benytte denne kompetansen til å avklare i hvilken grad deler av en journal er relevant for saken eller ikke. Rent juridisk ser vi det betenkelige i at en lege – enten vedkommende er ansatt som intern rådgiver eller engasjert som ekstern sakkyndig – skal ha et avgjørende ord for om journalopplysninger er relevante eller ikke. I en erstatningssammenheng er dette spørsmålet til syvende og sist av bevismessig karakter, og således et juridisk og ikke et medisinsk spørsmål.»
Rikstrygdeverket bemerker:
«Vi ønsker å slippe å måtte ta del i en konflikt eller diskusjon mellom enkeltperson og selskap om hva som er relevant. Fra vår side hadde det vært ønskelig med enkle og nærmere definerte objektive kriterier. En nærmere avgrensning av hvilke opplysninger som er relevante ville være på sin plass. På denne bakgrunn etterlyser vi bedre beskrivelser av kriterier for når hele saksmappen kan innhentes og hvilke forutsetninger som da må være innfridd.»
Kredittilsynet, Rogaland fylkeskommune, Landsorganisasjonen i Norge og Diakonhjemmets sykehus mener det er viktig at selskapene informerer om innhenting av taushetsbelagte opplysninger på grunnlag av en samtykkeerklæring, jf. utvalgets forslag til bestemmelse i forsikringsavtaleloven § 8-1 tredje ledd og § 18-1 tredje ledd. Det gjør også Datatilsynet som uttaler:
«Forslaget supplerer personopplysningsloven og varetar personvernhensyn på en god måte. Å få informasjon om når og hvilke opplysninger som er innhentet, er viktig for at den registrerte skal kunne ivareta sine rettigheter etter loven ellers, for eksempel krav om retting og sletting av opplysninger som ikke er relevante for formålet osv.»
Finansnæringens Hovedorganisasjon deler ikke denne oppfatningen:
«I og med at innhenting av samtykke skjer trinnvis, og fordi samtykket inneholder navn på de personer/institusjoner som opplysningene vil bli innhentet fra, er vi av den oppfatning at skadelidte ved å underskrive på samtykkeerklæringen(e) er godt informert om at informasjon vil bli innhentet. Selskapene har i dag den praksis at det vedlegges et informasjonsskriv til samtykkeerklæringen, der det fremgår hvorfor opplysningene er nødvendige og hva de skal brukes til. [...] En særskilt melding i tillegg vil bety betydelig mer korrespondanse og kostnader uten andre fordeler for skadelidte enn det som følger av gjeldende praksis.»
Landsforeningen for trafikkskadde, Landsorganisasjonen i Norge og Finansnæringens Hovedorganisasjon støtter utvalgets forslag til § 8-1 fjerde ledd og § 18-1 fjerde ledd om rett til innsyn i selskapets opplysninger i saken. Det gjør også Datatilsynet, som legger til:
«I utgangspunktet mener Datatilsynet at skadelidte bør ha innsyn i alle opplysninger om medisinske forhold, med unntak for de tilfeller der det må anses utilrådelig at skadelidte selv får opplysningene. Videre bør selskapet bare kunne nekte innsyn i annet enn medisinske opplysninger dersom det er sterke mistanker om svik. Uaktsomhet bør ikke kunne være nok til at selskapet kan nekte innsyn.»
Landsorganisasjonen i Norge uttaler:
«Alternativet forebygging av straffbare handlinger synes unødvendig, og det er uklart hvilke situasjoner dette alternativ tar sikte på å omfatte.»
Finansnæringens Hovedorganisasjon forutsetter imidlertid at interne notater, som korrespondanse mellom advokat og skadelidt eller saksbehandler og advokat er unntatt.
Aker sykehus, Buskerud sentralsykehus og Landsforeningen for Hjerte- og Lungesyke støtter utvalgets forslag om nytt annet ledd i helsepersonelloven § 15. Buskerud sentralsykehus uttaler:
«Det fremgår av teksten [...] at utvalget i det henseende sikter til særlig sensitive opplysninger. Denne presisering gjør at vi kan støtte forslaget; en pålagt plikt til å konferere med hver enkelt pasient før utlevering av pasientopplysninger ville medføre et urimelig stort ekstraarbeide for sykehusene.»
9.2.4 Departementets vurdering
Departementet har ikke holdepunkter for annet enn at de krav utvalget stiller til samtykket, i dag følges av forsikringsselskapene i samsvar med kravene i Datatilsynets konsesjon 2005.
På den annen side støtter både utvalget og de høringsinstansene som uttaler seg om hvordan et samtykke skal forstås, innholdsmessig de kravene som følger av personopplysningsloven § 2 nr. 7 og Datatilsynets konsesjon 2005. Departementet foreslår å tydeliggjøre at kravene til samtykke i personopplysningsloven også skal gjelde i forsikringsforhold ved å innta en henvisning i forsikringsavtaleloven til personopplysningsloven § 2 nr. 7. Dermed gis kravene også direkte anvendelse i forholdet mellom et forsikringsselskap og forsikringstaker, jf. lovforslaget §§ 8-1 og 18-1, begges annet ledd annet punktum og merknadene til disse nedenfor under punkt 12.1. Riktignok vil en slik henvisning ikke dekke den ytterligere presiseringen som er nedfelt i Datatilsynets konsesjon 2005. Men konsesjonsvilkårene må på dette punktet primært ses som en utfylling av kravene i personregisterloven § 2 nr. 7. Dessuten er forsikringsselskapene uansett forpliktet til å følge kravene i Datatilsynets konsesjon 2005. Departementet mener på denne bakgrunn at en henvisning til personopplysningsloven § 2 nr. 7 er tilstrekkelig.
Samtykket foreslås begrenset til det som trengs på hvert trinn i saken, jf. lovforslaget § 8-1 annet ledd (og tilsvarende § 18-1 annet ledd). Dette er i samsvar både med utvalgets forslag og med synspunktene fra de høringsinstansene som uttaler seg på en slik regel punktet. Etter departementets syn kan en slik regel ses som et utslag av kravet om at den informasjonen som etterspørres, må være relevant for den konkrete situasjonen.
Utvalget foreslår også å begrense selskapets adgang til å innhente uredigerte journaler før sakkyndigutredningen dersom journalen skal vurderes av en medisinsk sakkyndig utenfor selskapet. Blant høringsinstansene er meningene delte. Departementet er enig i at sensitive opplysninger ikke bør spres i større grad enn det som er nødvendig i den konkrete saken. En mener likevel at den generelle bestemmelsen om trinnvis innhenting av informasjon innebærer en tilstrekkelig begrensning. Ifølge Den norske lægeforening er dessuten dagens praksis allerede restriktiv vedrørende utlevering av en komplett journal. Endelig må det også tas høyde for at bestemmelsen gjelder i en oppgjørssituasjon. Som fremholdt av Norsk Pasientskadeerstatning er det da en sammensatt, fullstendig vurdering – både juridisk og medisinsk – som skal gjøres før det kan tas endelig stilling til kravet.
Departementet deler - i likhet med noen av høringsinstansene – ikke utvalgets syn på behovet for å informere den det gjelder om at opplysninger vil bli innhentet i samsvar med samtykket. Ved å gi et samtykke må vedkommende samtidig være innforstått med at den informasjonen samtykket gjelder, faktisk kan bli innhentet. Et presist samtykke innebærer tilsvarende presis informasjon til den det gjelder om hva slags informasjon som kan bli innhentet. Om vedkommende skal ha mulighet for å angre seg og trekke samtykket tilbake, vil det også bidra til å forsinke oppgjøret.
Departementet slutter seg til forslaget om at forsikringstakeren eller andre som vil fremme et krav mot selskapet, skal ha rett til å be om innsyn i selskapets opplysninger om saken. Det kan være av stor betydning for det eventuelle kravet vedkommende ønsker å fremme. Departementet foreslår derfor å lovfeste en regel om dette, jf. lovforslaget § 8-1 tredje ledd og § 18-1 tredje ledd. Bestemmelsen er i samsvar med utvalgets forslag som fikk støtte fra samtlige høringsinstanser som uttalte seg om dette.
Et forsikringsselskap kan innhente informasjon etter samtykke fra den det gjelder. Men samtykket betyr ikke at avgiveren har full oversikt over hvilke opplysninger det i så fall dreier seg om. Det vet imidlertid den tredjepersonen som sitter med den aktuelle informasjonen. I likhet med utvalget mener derfor departementet det bør innføres en regel i helsepersonelloven som pålegger helsepersonell å drøfte dette med pasienten for så vidt gjelder opplysninger som det er grunn til å anta at pasienten oppfatter som spesielt sensitive. Samtlige høringsinstanser som uttalte seg om problemstillingen, var også positive til regelen. Buskerud sentralsykehus mener at utvalgets forslag om å begrense opplysningsplikten til «spesielt sensitive faktiske forhold» representerer en riktig balanse mellom den merbelastningen plikten kan påføre helsepersonell og pasientens informasjonsbehov. Departementet deler dette synet.