2 Bakgrunnen for lovforslaget
2.1 Innledning – gjeldende rett
Dagens regelverk gir god adgang til utveksling av opplysninger knyttet til en aktuell pasient. Helsepersonell kan gjøre oppslag i journalen til en pasient som er til behandling, og opplysninger kan gis til samarbeidende personell når dette er nødvendig for å kunne gi forsvarlig helsehjelp.
Dagens regelverk tillater med andre ord å utveksle opplysninger om den aktuelle pasienten som skal få behandling. Det er imidlertid mer uklart hvorvidt regelverket åpner for deling av opplysninger om en pasient for andre typer samarbeid og læring i helse- og omsorgstjenesten.
Det er særlig to forhold departementet vil peke på:
Det første gjelder hensiktsmessige ordninger for å gjennomføre helsehjelp i virksomheten.
Det er uklart i hvilken grad dagens regelverk åpner for at pasientinformasjon kan diskuteres i situasjoner hvor det er flere til stede, enn de som behandler den aktuelle pasienten, når dette samlet sett er en hensiktsmessig organisering av helsehjelpen til en gruppe pasienter. Et praktisk eksempel er morgenmøter og andre vaktskiftesituasjoner, hvor flere pasienter diskuteres, men hvor helsepersonell som er til stede skal gi helsehjelp til hver sine pasienter. Helsepersonellet kan på slike møter få opplysninger om pasienter de ikke selv skal yte helsehjelp til.
Det andre forholdet gjelder adgangen til å bruke informasjon eller opplysninger om en pasient til å yte helsehjelp til en annen pasient.
Det finnes regelverk som til en viss grad tillater dette i dag.
For det første finnes det regler i helsepersonelloven § 29 c som skal sikre at helsepersonell selv kan lære av opplysninger om tidligere pasienter de har hatt til behandling. Dette vil typisk gjelde der helsepersonellet ønsker å få avklart om de vurderingene og tiltakene som ble gjort, var riktige. Stortinget vedtok nylig endringer i § 29 c som gjør det lettere å få opplysninger om hvordan det har gått med tidligere pasienter – for kvalitetssikring av helsehjelpen eller egen læring, se Prop. 59 L (2019–2020), Innst. 75 L (2020–2021) og lovvedtak 24. november 2020.
Regelverket åpner også for å bruke opplysninger om tidligere pasienter til å yte helsehjelp til senere pasienter på et mer overordnet plan. For eksempel registreres relevante helseopplysninger i lovbestemte helseregistre, som Medisinsk fødselsregister eller Kreftregisteret, uten pasientens samtykke, blant annet for å gi faglig grunnlag for helsehjelp til andre pasienter. Helseopplysninger kan også etter nærmere vilkår brukes til kvalitetssikring, og det kan gis dispensasjon fra taushetsplikten for bruk av helseopplysninger til forskning.
Som ved all forskning og kvalitetssikring, vil fremtidige pasienter dra nytte av ny kunnskap i eller utenfor helsetjenesten som er muliggjort ved bruk av helseopplysninger fra tidligere behandlede pasienter. Disse pasientene har som regel ikke direkte nytte av at helseopplysninger om dem deles innenfor og utenfor helsetjenesten, men delingen av opplysninger kan komme senere pasienter til gode.
Regelverket åpner i liten grad for at opplysninger om en pasient kan brukes til å gi helsehjelp til andre pasienter i det løpende daglige arbeidet. Et praktisk eksempel er tilfeller hvor en lege ved ett sykehus ønsker å konsultere med en kollega ved et annet sykehus om hvorvidt de har eller tidligere har hatt lignende pasienttilfeller, og hvilke erfaringer de har gjort seg i den forbindelse. I slike tilfeller vil legen som deler erfaringer ofte ha behov for å dele helseopplysninger om den eller de aktuelle pasientene. Taushetsplikten setter i dag grenser for slik deling.
Det er også noen uklarheter knyttet til hvorvidt opplysninger om tidligere pasienter og pasienter som man ikke har behandlingsansvar for, kan brukes i opplæringsvirksomhet.
Lovendringene som foreslås i denne proposisjonen skal gjøre det klarere hva som er lovlig deling av opplysninger i helse- og omsorgstjenesten, og vil legge bedre til rette for samarbeid og læring.
2.2 Generelt om bruk av helseopplysninger
2.2.1 Innledning
En grunnleggende premiss for utvikling av helse- og omsorgstjenesten er behandling eller bruk av helseopplysninger. Helseopplysninger brukes blant annet for å gi helsehjelp, i læring og kvalitetssikring, i helseanalyser og i forskning. Denne typen bruk er med på å sikre befolkningen forsvarlige helsetjenester. I punkt 2.2.2 redegjøres det for statens forpliktelser til å yte helsehjelp etter FNs konvensjon om økonomiske, sosiale og kulturelle rettigheter (ØSK), og for virksomheters plikt til å sørge for at helse- og omsorgstjenester som tilbys eller ytes er forsvarlige.
Det oppstilles rammer for behandling av helseopplysninger i flere lover og forskrifter. Både Grunnloven og Den europeiske menneskerettskonvensjonen (EMK) har bestemmelser om rett til privatliv som norsk lovgivning må holde seg innenfor. Personvernforordningen stiller blant annet krav til at behandling av helseopplysninger har et rettslig grunnlag, og reglene om taushetsplikt i helsepersonelloven begrenser bruken av helseopplysninger ytterligere. Dette redegjøres nærmere for i punkt 2.2.3.
2.2.2 Rett til forsvarlig helsehjelp
2.2.2.1 Retten til helsehjelp etter menneskerettighetene
Staten er forpliktet etter FNs konvensjon om økonomiske, sosiale og kulturelle rettigheter (ØSK) artikkel 12 til å treffe tiltak for å virkeliggjøre retten for enhver til den høyest oppnåelige helsestandard både fysisk og psykisk. Myndighetene skal skape vilkår som trygger all legebehandling og pleie under sykdom. Dette forutsetter at tjenestetilbudet må holde en forsvarlig og adekvat standard i lys av statens tilgjengelige ressurser og utviklingsnivå.
De personvernmessige ulempene ved bruk av helseopplysninger må vurderes opp mot statens plikt til å sikre en god helsestandard. Å virkeliggjøre retten til helsehjelp vil gjerne forutsette behandling av personopplysninger (helseopplysninger) og tilgjengeliggjøring av slike opplysninger for helsepersonell, forskere eller andre som er involvert i helsehjelpen, kvalitetsutvikling mv. I slike tilfeller må de ulike rettighetene veies opp mot hverandre.
2.2.2.2 Forsvarlige helse- og omsorgstjenester
Virksomheter som yter helsehjelp skal organiseres slik at helsepersonellet blir i stand til å overholde sine lovpålagte plikter, jf. helsepersonelloven § 16 første ledd. Plikten etter denne bestemmelsen korresponderer med tilsvarende plikt i spesialisthelsetjenesteloven § 2-2, helse- og omsorgstjenesteloven § 4-1 og tannhelsetjenesteloven § 1-3a. Det følger av disse bestemmelsene at helse- og omsorgstjenester som tilbys eller ytes skal være forsvarlige. Også helsepersonell er pålagt å yte forsvarlige helsetjenester. Helsepersonell skal utføre sitt arbeid i samsvar med de krav til faglig forsvarlighet og omsorgsfull hjelp som kan forventes ut fra helsepersonellets kvalifikasjoner, arbeidets karakter og situasjonen for øvrig, jf. helsepersonelloven § 4 første ledd.
Begrepet forsvarlighet er en rettslig standard. Med rettslig standard menes at rettsregelens innhold kan variere over tid, og ikke knytter seg til bestemte og entydige kriterier, men gir anvisning på en bestemt målestokk til bruk ved bedømmelsen.
Formålet med bestemmelsen i helsepersonelloven § 16 er å sikre helsepersonell arbeidsforhold som gjør at de kan gi faglig forsvarlig helsehjelp. Bestemmelsen retter seg til alle deler av helsetjenesten; offentlige, så vel som private virksomheter.
Bestemmelsen medfører i praksis at virksomheten skal sørge for tilstrekkelige personalressurser med nødvendige kvalifikasjoner, tilstrekkelig og adekvat utstyr, tydelig fordeling av ansvar, oppgaver og myndighet, nødvendige instrukser, rutiner og prosedyrer for de ulike oppgavene mv. Dette er organisatoriske elementer som tilrettelegger for at helsepersonell kan utføre sine oppgaver i tråd med lovpålagte plikter og faglig forsvarlighet.
For å kunne yte forsvarlige helsetjenester til befolkningen, er tjenesten helt avhengig av helseopplysninger om pasienter. For det første trenger helsepersonell opplysninger om den aktuelle pasienten for å kunne vurdere helsetilstanden og ta beslutninger om videre (behandlings)forløp. Opplysninger kan også deles mellom samarbeidende personell for dette formålet.
Helseopplysninger brukes også for å kvalitetssikre og utvikle helsetjenesten. Helseopplysninger brukes blant annet til forskning, for å finne ny kunnskap som kommer pasienter til gode. Helseopplysninger brukes også til større kvalitetssikringsprosjekter, samtidig som det enkelte helsepersonell kan bruke helseopplysninger for å kvalitetssikre helsehjelp og til egen læring. Som ved all forskning og kvalitetssikring, vil fremtidige pasienter dra nytte av ny kunnskap i eller utenfor helsetjenesten som er muliggjort ved bruk av helseopplysninger fra tidligere behandlede pasienter. De tidligere pasientene har ofte ikke direkte nytte av at helseopplysninger om dem deles innenfor og utenfor helsetjenesten, men informasjonsdelingen kan komme andre pasienter til gode. Denne typen bruk av helseopplysninger er dermed med på å sikre befolkningen forsvarlige helsetjenester, og en stadig utvikling av tjenesten.
Regjeringen har i Meld. St. 7 (2019–2020) Nasjonal helse- og sykehusplan 2020–2023, pekt på at det er nødvendig at helsedata i større grad enn i dag skal kunne deles for å yte forsvarlig helsehjelp til befolkningen i fremtiden. Forslagene i denne proposisjonen er ment å bidra til at helsehjelpen som ytes i helse- og omsorgstjenesten skal kunne få stadig bedre kvalitet.
2.2.3 Grunnleggende krav for behandling av helseopplysninger
Menneskerettighetene og personvernregelverket setter overordnede rammer for behandlingen av helseopplysninger. For at helseopplysninger skal kunne behandles, må behandlingen ha et rettslig grunnlag i personvernforordningen, og bruken av dem må være i samsvar med et unntak fra taushetsplikten i norsk rett. I tillegg har både Grunnloven og Den europeiske menneskerettskonvensjonen (EMK) bestemmelser om rett til privatliv som behandlingen av helseopplysninger må være i samsvar med.
2.2.3.1 Retten til privatliv
Det følger av Grunnloven § 102 at «Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon». Staten skal sikre et vern om den personlige integritet. Tilgjengeliggjøring og bruk av helseopplysninger vil i denne sammenheng vurderes som et inngrep i den personlige integritet. Grunnlovsbestemmelsen kom inn ved grunnlovsreformen i 2014, men gir ikke anvisning på noen adgang til eller vilkår for å gjøre inngrep i rettigheten. Bestemmelsen har imidlertid klare likhetstrekk med Den europeiske menneskerettskonvensjon (EMK) artikkel 8 og må tolkes i lys av denne, jf. Rt. 2015 side 93.
EMK artikkel 8 beskytter retten til privatliv, og lyder i norsk oversettelse:
«Artikkel 8. Retten til respekt for privatliv og familie
Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.
Det skal ikke skje noe inngrep av offentlig myndighet i utøvelsen av denne rettighet unntatt når dette er i samsvar med loven og er nødvendig i et demokratisk samfunn av hensyn til den nasjonale sikkerhet, offentlig trygghet eller landets økonomiske velferd, for å forebygge uorden eller kriminalitet, for å beskytte helse eller moral, eller for å beskytte andre rettigheter og friheter.»
Den europeiske menneskerettskonvensjon artikkel 8 og den norske Grunnloven § 102 slår fast at privatliv og familieliv er en menneskerettighet. Det fremgår imidlertid av EMK artikkel 8 (2) at retten til privatliv, herunder retten til personvern, ikke er absolutt. Inngrep i personvernet kan skje når det er i samsvar med loven og det er nødvendig i et demokratisk samfunn for eksempel for å beskytte helse. Det stilles krav om et klart rettslig grunnlag og proporsjonalitet (forholdsmessighet). Rettssikkerhetskrav skal tilgodeses, inkludert kravet til presisjon i bestemmelsen slik at inngrepet er forutsigbart.
2.2.3.2 Personvernforordningen
EUs personvernforordning (Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger – GDPR) er en del av norsk rett, jf. personopplysningsloven § 1. For behandling av pasientopplysninger for ytelse av helsehjelp gir pasientjournalloven ytterligere regler.
Personopplysninger er definert slik i personvernforordningen artikkel 4 nr. 1:
«enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet»
Helseopplysninger er definert slik i pasientjournalloven § 2 bokstav b:
«personopplysninger om en fysisk persons fysiske eller psykiske helse, herunder om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand, jf. personvernforordningen artikkel 4 nr. 15»
Behandling av helseopplysninger omfatter enhver bruk av helseopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering, jf. EUs personvernforordning artikkel 4 nr. 2.
Personvernforordningen artikkel 5 inneholder de grunnleggende prinsippene for behandling av personopplysninger. Ett av grunnprinsippene er at personopplysninger skal behandles på en lovlig, rettmessig og åpen måte, jf. artikkel 5 nr. 1 bokstav a. Et viktig element i dette er at behandlingen må ha et rettslig grunnlag. Behandlingen vil bare være lovlig dersom minst ett av de alternative vilkårene i artikkel 6 nr. 1 om behandlingens lovlighet er oppfylt (behandlingsgrunnlag). Blant annet gjelder dette dersom behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den dataansvarlige (bokstav c) eller dersom behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse (bokstav e). For disse to behandlingsgrunnlagene kreves det i tillegg nasjonal lovgivning (supplerende rettsgrunnlag). Lovbestemmelser og vedtak etter helsepersonelloven om dispensasjon fra taushetsplikten kan gi et slikt grunnlag, jf. Prop. 56 LS (2017–2018) punkt 32.3.
Forordningen har i utgangspunktet et forbud mot å behandle helseopplysninger, jf. artikkel 9 om særlige kategorier opplysninger (sensitive opplysninger). Både genetiske opplysninger og helseopplysninger er sensitive opplysninger etter artikkel 9 nr. 1 Behandling av slike opplysninger er likevel lovlig blant annet dersom behandlingen er nødvendig av hensyn til viktige samfunnsinteresser (artikkel 9 nr. 2 bokstav g). Det samme gjelder dersom behandlingen er nødvendig med henblikk på forebyggende medisin eller arbeidsmedisin, i forbindelse med medisinsk diagnostikk, yting av helse- og sosialtjenester, behandling eller forvaltning av helse- og sosialtjenester [...] (artikkel 9 nr. 2 bokstav h) eller allmenne folkehelsehensyn (artikkel 9 nr. 2 bokstav i).
Øvrige prinsipper i artikkel 5 er formålsbegrensning, dataminimering, riktighet, lagrings-begrensning, integritet og konfidensialitet.
Alle forslagene i denne lovproposisjonen vil, etter at de er vedtatt, ha behandlingsgrunnlag i personvernforordningen artikkel 6 nr. 1 bokstav c eller e og artikkel 9 nr. 2 bokstav g eller h.
2.2.3.3 Taushetsplikt
Adgangen til å bruke helseopplysninger begrenses av taushetsplikten. Et viktig formål med taushetsplikten er å verne om den enkeltes integritet, og gjennom dette bidra til befolkningens tillit til helse- og omsorgstjenesten og til helsepersonell. Taushetsplikten skal bidra til at hjelpetrengende ved behov oppsøker helse- og omsorgstjenesten og gir helsepersonellet de opplysningene som er nødvendige for at vedkommende skal få forsvarlige helse- og omsorgstjenester.
Helsepersonells taushetsplikt fremkommer av helsepersonelloven § 21. Helsepersonell skal hindre at andre får adgang eller kjennskap til opplysninger om folks legems- eller sykdomsforhold eller andre personlige forhold som de får vite om i egenskap av å være helsepersonell. Dette betyr at helsepersonellet både har en plikt til å tie og til aktivt å hindre at uvedkommende får tilgang til opplysninger som de har blitt kjent med i egenskap av å være helsepersonell. Plikten til aktivt å hindre uvedkommende å få tilgang til opplysningene, innebærer også at helsepersonellet må håndtere og oppbevare taushetsbelagte opplysninger på en forsvarlig måte. Den enkelte virksomhet vil også ha ansvar for at taushetsplikten overholdes, både som dataansvarlig for opplysningene og som tilrettelegger av de informasjonssystemene som virksomheten tar i bruk.
Det følger av spesialisthelsetjenesteloven § 2-2 og helse- og omsorgstjenesteloven § 4-1 at henholdsvis spesialisthelsetjenesten og kommunen skal tilrettelegge sine tjenester slik at personell som utfører tjenestene, blir i stand til å overholde sine lovpålagte plikter, blant annet taushetsplikten. Det følger videre av pasientjournalloven § 15 og helseregisterloven § 17 at alle som behandler helseopplysninger i henholdsvis en pasientjournal eller et helseregister, eller som får tilgang eller kjennskap til helseopplysninger fra pasientjournal eller helseregister, vil ha taushetsplikt etter reglene i helsepersonelloven.
Det fremgår av helsepersonelloven §§ 22 og 23 nr. 6 at taushetsbelagte opplysninger bare kan videreformidles når den opplysningene gjelder har samtykket eller når det er gitt unntak i lov.