Utvalgte hurtiglenker

    Proposisjoner til Stortinget

    Prop. 7 L (2016–2017)

    Endringer i helseberedskapsloven mv. (beredskapsregistre mv.)

    Til innholdsfortegnelse
    Neste kapittel
    Forrige kapittel

    4 Lovregulering av beredskapsregistre

    Departementet foreslår at beredskapsregistre skal kunne etableres for å gi oversikt og kunnskap om utbredelse, årsakssammenhenger og konsekvenser ved miljøhendelser, ved mistanke om utbrudd av sykdom knyttet til eksponering for helseskadelige miljøfaktorer og ved andre kriser og beredskapssituasjoner. Det skal også kunne etableres registre for å ivareta internasjonale rapporteringsplikter og administrative oppgaver i en beredskapssituasjon. Beredskapsregistrene skal hjemles i en ny bestemmelse i helseberedskapsloven § 2-4.

    4.1 Forslaget i høringsnotatet

    Departementet foreslo i høringsnotatet at det skal kunne etableres beredskapsregistre direkte med hjemmel i folkehelseloven. Lovhjemmelen skulle erstatte hjemmelen i folkehelseloven § 29 andre ledd til å gi forskrifter om IHR-registre. Forslaget innebar at beredskapsregistre skulle kunne gi oversikt over utbredelse og årsakssammenhenger som grunnlag for å kunne iverksette tiltak ved hendelser med fysiske, biologiske og kjemiske miljøfaktorer eller mistanke om utbrudd av sykdom relatert til eksponering for slike helseskadelige miljøfaktorer.

    Departementet la til grunn at en lovhjemmel for beredskapsregistre alternativt kunne ligge i helseberedskapsloven. Det ble foreslått at registre skal kunne etableres uten samtykke dersom der er nødvendig for å nå formålet med registeret.

    Departementet foreslo i høringsnotatet at beredskapsregistre skal kunne etableres av Folkehelseinstituttet, Helsedirektoratet og Statens strålevern. Det ble foreslått at den databehandlingsansvarlige skal melde til Datatilsynet når hjemmelen for etablering av beredskapsregistre blir benyttet.

    Departementet foreslo at helseopplysninger i beredskapsregistre som hovedregel skal slettes når hendelsen er oppklart og evaluert. Det ble foreslått at departementet i særlige tilfeller skulle ha myndighet til å beslutte bevaring av opplysninger i beredskapsregistre gjennom forskriftsvedtak.

    4.2 Høringsinstansenes syn

    4.2.1 Behov, hjemmelsgrunnlag og formål

    Høringsinstansene som uttaler seg om beredskapsregistre støtter forslaget og mener det er behov for å legge til rette for at det raskt skal kunne opprettes registre. Datatilsynet uttaler:

    Datatilsynet har tidligere gitt støtte for at konsesjonsinstituttet er uhensiktsmessig når man står overfor en akutt beredskapssituasjon. Datatilsynet støtter forslaget om en lovhjemmel til å opprette beredskapsregistre, slik at det ikke er nødvendig med konsesjon for behandling av opplysninger.

    Oslo universitetssykehus HF kjenner seg igjen i beskrivelsen av behovet for raskt å opprette beredskapsregistre knyttet til spesielle hendelser og situasjoner, og er positiv til de foreslåtte endringene for å gjøre dette mulig. CBRNE-senteret ved Oslo Universitetssykehus HF mener at muligheten for å opprette beredskapsregistre uten hinder av lovbestemt taushetsplikt kan være viktig for å håndtere CBNRE-hendelser. Senteret mener «hendelsesregistre» er et bedre ord enn beredskapsregistre.

    Fylkesmannen i Østfold ser det som hensiktsmessig å gi hjemmel for etablering av beredskapsregistre i folkehelseloven. Direktoratet for samfunnssikkerhet og beredskap (DSB) mener forslaget er positivt, og ser det som nødvendig å avklare plikter og rettigheter knyttet til registeret, for de ulike myndighetene som har en rolle i oppfølgingen av en konkret hendelse. Næringslivets sikkerhetsorganisasjon (NSO) støtter forslaget, men mener begrepet «beredskapsregister» er uheldig, og viser til at slik det er beskrevet i høringen så er det i praksis ikke tale om et beredskapsregister, men et registreringsverktøy som da gjerne kalles hendelseslogg. NSO foreslår at registrene kalles «loggføringsverktøy».

    Statens strålevern mener det er nyttig med effektive mekanismer for å etablere beredskapsregistre. Folkehelseinstituttet er enige i behovet og er positive til en hjemmel for å etablere beredskapsregistre direkte i folkehelseloven. Instituttet mener det er behov for å vurdere nærmere forholdet mellom utbruddsregistrene i smittevernloven og beredskapsregistrene som foreslås i høringsnotatet. Det understrekes også at det samtidig er viktig at eksisterende helseregistre, som Dødsårsaksregisteret og MSIS (Meldingssystem for smittsomme sykdommer), også prioriteres og utvikles til moderne, oppdaterte registre, siden disse er viktige i beredskapssituasjoner.

    Helsedirektoratet uttaler:

    Vi støtter forslaget om hjemmel for etablering av beredskapsregistre. Direktoratets erfaringer fra tidligere beredskapshendelser har vist at det er behov for en registerhjemmel og meldeordning i beredskapssituasjoner som gjør det mulig på kort varsel å etablere en meldeordning og et register for å sikre liv og helse i forbindelse med kriser og andre hendelser. Hjemmelen som allerede er gitt i smittevernloven ivaretar ikke behovet for hendelser som ikke har smittevernhensyn.

    Helsedirektoratet støtter at beredskapsregistrene skal kunne etableres for å ivareta administrative formål som et ledd i håndteringen av en beredskapssituasjon, og forutsetter at behandling av helseopplysninger omfattes av bestemmelsen. Direktoratet mener hjemmelen for å etablere beredskapsregistre bør følge av helseberedskapsloven. Direktoratet mener det bør presiseres at alle beredskapshendelser med konsekvenser for liv og helse omfattes. Hjemmelsgrunnlaget må være klart og utvetydig, siden det er viktig at man unngår å bruke unødvendig tid på avklaringer i en uoversiktlig beredskapssituasjon.

    De kommunene og interkommunale organene som uttaler seg gir støtte til forslagene. Det er Eidsberg kommune, Kristiansand kommune og Gjøvikregionen helse- og miljøtilsyn IKS.

    Statistisk sentralbyrå uttaler at det er grunn til å tro at KOSTRA (kommune-stat-rapportering) vil kunne spille en sentral rolle, og viser til at det finnes tall i KOSTRA som kan relateres til miljørettet helsevern.

    4.2.2 Krav til etablering av registre og behandling av helseopplysninger

    Justis- og beredskapsdepartementet støtter forslaget til lovhjemmel. Departementet presiserer at en beslutning om å etablere et beredskapsregister bør inneholde opplysning om hvem som er behandlingsansvarlig, og at det bør klargjøres hvilke bestemmelser i helseregisterloven som skal gjelde og hvilke bestemmelser det kan eller ikke kan unntas fra.

    Legeforeningen støtter forslaget om en hjemmel i folkehelseloven til å etablere beredskapsregistre. Dette vil være til støtte for lokal og nasjonal helsemyndighet. Legeforeningen mener også at det er hensiktsmessig at helseregisterlovens øvrige bestemmelser om behandling av personopplysninger skal gjelde for slike registre. Det vises til at samtykke er lovens hovedregel:

    Før etablering av et helseregister må det derfor foretas en avveining mellom de formål som registeret skal ivareta og de ulempene registeret representerer for personvernet til dem som vil bli registrert. Det må presiseres at samtykke skal være den klare hovedregelen for innhenting av helseopplysninger fra den registrerte. Da forslaget til lovbestemmelse åpner for at samtykke kan fravikes når «tidshensyn» eller «formålet» med registeret tilsier det, etterlyser Legeforeningen en nærmere drøftelse av hva som skal til for å fravike samtykkekravet ved innsamling av helseopplysninger.

    Folkehelseinstituttet mener at det bør vurderes å etablere «sovende registersystemer» som har klar infrastruktur knyttet til pålogging, lagring av data og datasikkerhet. Det vises som eksempel til erfaringene under influensapandemien der løsningen som ble opprettet ikke ble brukt på grunn av manglende datasikkerhet. Instituttet mener at det bør presiseres hvordan opplysninger fra beredskapsregistre skal kunne benyttes til forskningsprosjekter som kan gi kunnskap om langtidseffekter fra for eksempel kjemikalieeksponering.

    Arbeidsgruppe for fellesregister skade intensivbehandling og beredskap mener at det vil ta tid å etablere og implementere nye registersystem med god datasikkerhet, selv om de kan raskt opprettes med hjemmel i folkehelseloven. Gruppen anbefaler derfor etablering av sovende beredskapsregistre med enkelte variabler som en del av et fellesregister for traume, intensiv og beredskap. Det vektlegges også at det må være mulig å registrere opplysninger med personidentifikasjon som tillater sammenstilling mot andre registre. Av personvernhensyn bør kravene til informasjonssikkerhet i helseregisterloven ivaretas. Dette gjøres best ved bruk av eksisterende registerinfrastruktur.

    Departementet foreslo i høringen at Helsedirektoratet, Folkehelseinstituttet og Statens strålevern skulle gis kompetanse til å etablere beredskapsregistre, men stilte spørsmål om også andre instanser, som for eksempel kommuner og fylkesmennene, bør kunne etablere slike registre. Helsedirektoratet, Kristiansand kommune og Gjøvikregionen helse- og miljøtilsyn IKS støtter forslaget om disse tre etatene som databehandlingsansvarlige. Folkehelseinstituttet mener at også kommuner og fylkesmenn bør kunne etablere beredskapsregistre. Epidemi AS savner en bestemmelse om hvordan informasjonen i et slikt register kan deles med kommuneoverlegen.

    Datatilsynet mener at lovhjemmelen for beredskapsregistre bør henvise til helseregisterloven § 6 som angir de generelle vilkårene for å behandle helseopplysninger. Når det gjelder departementets forslag om at den databehandlingsansvarlige skal melde om etablering til Datatilsynet, uttaler tilsynet at de ikke er enig i at melding til meldingsdatabasen er tilstrekkelig. Det bør være en utvidet meldeplikt etter personopplysningsloven §§ 31 og 32, slik at meldingen også inneholder de vurderingene som gjøres av den databehandlingsansvarlige. Meldingen bør gjennomgås av Datatilsynet selv om det ikke skal gjøres en forhåndsvurdering etter personopplysningsloven § 33, og eventuelt benyttes som grunnlag for tilsyn.

    Helse Vest RHF mener at det er behov for å tydeliggjøre unntaket som gir mulighet til å etablere registre uten samtykke, og foreslår at det i samarbeid med relevante fagmiljøer utarbeides kriterier for når det foreligger særlige tilfeller som tilsier fortsatt lagring av opplysningene etter at hendelsen er avklart og evaluert. Dette kan være viktig for å studere langtidseffekter.

    4.3 Departementets vurderinger og forslag

    Departementet foreslår at det skal kunne etableres beredskapsregistre direkte med hjemmel i helseberedskapsloven. Forskriftshjemmelen som i dag ligger i folkehelseloven forutsetter at beredskapssituasjonen har eller kan få internasjonale konsekvenser. Dette gir en for snever ramme for beredskapsregistrene, og foreslås derfor endret. Det foreslås at beredskapsregistre reguleres direkte i lov og ikke som en forskriftshjemmel. Dette vil gi samme lovforankring som for dagens regulering av utbruddsregistre i smittevernloven.

    4.3.1 Behov for beredskapsregistre

    I en beredskapssituasjon kan det være nødvendig å samle inn og systematisere informasjon om pasienter for å få oversikt over omfang, årsaker og sykdomsutvikling, som kan ligge til grunn for tiltak som skal møte situasjonen. Ved å samle inn opplysninger om eksponerte personer eller pasienter som oppfyller en gitt kasusdefinisjon, kan man få kunnskap om utbredelse og utvikling av sykdomsutbrudd og helsekonsekvenser av en hendelse. Beredskapsregistre vil også kunne gi raskt oppdatert informasjon om pasientbehandling mellom ulike behandlingsinstitusjoner ved uklare og lite kjente tilstander, som nye epidemier.

    Et beredskapsregister vil være et register som etableres der det er behov for informasjon til å få oversikt over og å kunne håndtere, en konkret hendelse og helsekonsekvenser som oppstår som følge av hendelsen.

    Smittevernloven gir i dag hjemmel for å samle inn helseopplysninger uten hinder av taushetsplikt, og for å etablere helseregistre når det er nødvendig for oversikt og kontroll i forbindelse med smittsomme sykdommer (utbruddsregistre). Utbruddsregistrene er viktige verktøy i arbeidet med smitteoppsporing både lokalt og nasjonalt. Lovverket forutsetter imidlertid at for andre typer beredskapssituasjoner enn for smittsomme sykdommer, kreves det at man får en konsesjon fra Datatilsynet for å kunne etablere beredskapsregistre, hvilket kan være krevende å få raskt på plass når man står i en beredskapssituasjon.

    Det er behov for å kunne etablere beredskapsregistre også for andre hendelser og helsetrusler enn smittsomme sykdommer. Det kan være CBRNE-hendelser eller andre miljøhendelser der personer er eksponert for helseskadelige miljøfaktorer. CBRNE er en fellesbetegnelse som omfatter kjemiske stoffer (C), biologiske agens (B), radioaktive stoffer (R), nukleært materiale (N) og eksplosiver med høyt farepotensiale (E), som kan forårsake tap av liv og/eller skade på helse, miljø, materielle verdier og andre samfunnsinteresser. CBRNE-hendelser vil omfatte naturskapte hendelser, større ulykker, alvorlige sykdomsutbrudd og tilsiktede handlinger, herunder terror i hele krisespekteret fra fred til sikkerhetspolitisk krise og væpnet konflikt.

    Beredskapsregistre karakteriseres ved at behovet oppstår i forbindelse med en konkret hendelse eller situasjon. Det kan også være en konkret mistanke om sykdom som følge av en ukjent miljøeksponering som må undersøkes og følges opp, eller det kan være et administrativt behov for å kunne samle inn helseopplysninger for eksempel for å kunne kartlegge behov for helsehjelp.

    Beredskapsregistre vil skille seg fra de helseregistrene som samler inn data fortløpende og systematisk, og som har som formål å overvåke forekomst av sykdom eller oppdage sykdomsklynger. Eksempler på slike registre er Meldingssystem for smittsomme sykdommer (MSIS) og Medisinsk fødselsregister (MFR). Slik løpende og systematisk innsamling vil kunne avdekke sykdomsutbrudd eller klynger. Beredskapsregistrene som omtales i denne proposisjonen vil normalt ikke avdekke utbrudd av sykdom, men vil fungere som verktøy i håndteringen der man står i en beredskapssituasjon.

    Som regel vil behovet for å etablere og innhente data til et beredskapsregister oppstå raskt. I dag etableres slike registre ved at Datatilsynet gir konsesjon med hjemmel i helseregisterloven. Datatilsynet ga i sin høringsuttalelse til folkehelseloven i 2011 uttrykk for at dette er uhensiktsmessig i en akutt situasjon. Datatilsynet har derfor etterlyst hjemmel for etablering av beredskapsregistre i regelverket.

    4.3.2 Lovhjemmel for beredskapsregistre

    Departementet foreslår at beredskapsregistre skal kunne etableres med direkte grunnlag i loven, uten at det først fastsettes en forskrift som setter rammene for en senere beslutning om etablering. En uttømmende hjemmel i loven vil gi et mer effektivt og mindre byråkratisk system som harmonerer bedre med smittevernlovens system for å etablere utbruddsregistre. Et mindre byråkratisk system er spesielt viktig i en beredskapssituasjon.

    Bakgrunnen for at departementet foreslår at beredskapsregistre skal reguleres direkte i loven uten regulering i forskrift i tillegg, er at det ikke kan gis konkrete bestemmelser for beredskapsregistre før en konkret helsetrussel eller beredskapssituasjon har oppstått. Det kan ikke på forhånd besluttes hvilke konkrete formål registeret skal ivareta, hvilke opplysninger registeret skal inneholde eller hvilke personell og virksomheter som skal pålegges å melde opplysninger til registeret. Det kan heller ikke tas stilling til på forhånd om samtykke kan innhentes eller hvilken grad av identifikasjon opplysningene i registeret må ha, for at registrene kan ivareta sine formål.

    Formålet med forslaget i denne proposisjonen er det samme som for dagens forskriftshjemmel i folkehelseloven § 29 andre ledd om såkalte «IHR-registre». Departementet mener imidlertid at det er nødvendig å gi en lovhjemmel der virkeområdet ikke forutsetter at en beredskapssituasjon har potensiale til å bli en internasjonal helsekrise. IHR-registre gjelder hendelser som kan bli varslingspliktige etter IHR. Dette vil passe godt for de tilfellene der WHO (Verdens helseorganisasjon) har erklært en alvorlig hendelse av betydning for internasjonal folkehelse («public health emergency of international concern»), og det etableres register for å kunne følge opp sykdomsutbredelse og -forløp i Norge. Det vil imidlertid være krevende å overskue hvorvidt situasjonen man står i kan ha et slikt endepunkt. De fleste hendelser eller ulykker som skjer i Norge vil ikke utgjøre en helsetrussel over landegrensene eller bli til en internasjonal helsekrise. Allikevel kan det være et like stort behov for å kunne samle inn informasjon som grunnlag for å kontrollere og følge opp hendelsen. Vest Tank-ulykken i Gulen i 2007 er et eksempel på en hendelse som ikke hadde internasjonale konsekvenser, men der det var behov for å følge opp helsekonsekvensene for de som ble eksponert.

    Departementet mener at det er behovet for oversikt og kunnskap om omfang og helsekonsekvenser som skal være avgjørende for om det skal kunne etableres registre, ikke at Norge har internasjonale varslingsplikter. Departementet foreslår derfor å oppheve forskriftshjemmelen i folkehelseloven § 29 andre ledd og erstatte den med en direkte lovhjemmel til å etablere beredskapsregistre. Registrene vil da etableres med hjemmel direkte i lov. Registrene skal opprettes i samsvar med de alminnelige vilkårene for å behandle helseopplysninger som fremgår av helseregisterloven § 6 første ledd.

    Departementet foreslår at det skal kunne etableres beredskapsregistre når det er nødvendig for å gi oversikt og kunnskap om utbredelse, årsakssammenhenger og konsekvenser ved miljøhendelser og ved andre kriser og beredskapssituasjoner. Det presiseres videre at lovhjemmelen også gjelder for etablering av beredskapsregistre for å ivareta administrative oppgaver i en beredskapssituasjon.

    Departementet foreslår at bestemmelsen om beredskapsregistre tas inn i helseberedskapsloven som gir det generelle rammeverket for helsetjenestens forebygging, håndtering og evaluering av beredskapssituasjoner. Bestemmelsen vil omfatte miljøhendelser og må ses i sammenheng med folkehelseloven, smittevernloven og strålevernloven som gir bestemmelser om håndtering av miljøhendelser. Bestemmelsen må også ses i sammenheng med øvrig helselovgivning som regulerer pasientbehandling mv

    Helsedirektoratet foreslår i sin høringsuttalelse at bestemmelsen bør inntas i helseberedskapsloven istedenfor i folkehelseloven. Direktoratet mener plasseringen i folkehelseloven vil egne seg godt for å etablere registre for hendelser eller situasjoner der en påvirkning fra miljøet, enten det er smittsomme sykdommer, kjemikaliehendelser eller en fysisk faktor som er årsaken til at beredskapssituasjonen oppstår. Helsedirektoratet mener bestemmelsen bør ligge i helseberedskapsloven for å gjøre det tydeligere at registre også skal kunne etableres i andre typer kriser og beredskapssituasjoner. Direktoratet peker på at det kan være behov for å etablere registre for å ivareta mer administrative oppgaver i en beredskapssituasjon. Som eksempel vises det til at Helsedirektoratet fikk i oppgave å få oversikt over skadede personer fra Utøya og Oslo i dagene etter 22. juli 2011, og kartlegge deres behov for helsehjelp. Dette var ikke en miljøhendelse, men en hendelse som klart bør omfattes av bestemmelsen.

    Departementet er enig med Helsedirektoratet i at hjemmelen for etablering av registre må være så entydig og klar at man unngår å bruke unødig tid på vurdering av om hjemmelen er dekkende, når situasjonen oppstår og behovet for et register melder seg.

    4.3.3 Formål

    Departementet foreslår at formålet for beredskapsregistre skal være å få oversikt og kunnskap om utbredelse, årsakssammenhenger og konsekvenser ved miljøhendelser, ved mistanke om utbrudd av sykdom knyttet til eksponering for helseskadelige miljøfaktorer og ved andre kriser og beredskapssituasjoner. Det skal også kunne etableres registre for å ivareta internasjonale rapporteringsplikter og administrative oppgaver i en beredskapssituasjon.

    For hvert enkelt register som etableres med hjemmel i lovbestemmelsen vil det måtte angis konkrete formål. Kravet til formålsbestemthet følger av de alminnelige krav til å behandle helseopplysninger i helseregisterloven § 6.

    Folkehelseinstituttet påpeker i sin høringsuttalelse at formålet for beredskapsregistre ikke bør være å gi løpende informasjon som grunnlag for helseovervåking og helseanalyser slik som Meldesystem for smittsomme sykdommer (MSIS). NSO og CBRNE-senteret mener at registrene ikke bør være beredskapsregistre som kan benyttes for å oppdage trusler mot befolkningens helse, og foreslår at de bør kalles hendelsesregistre eller loggføringsverktøy.

    Departementet er enig i at registrene ikke vil være egnet til å avdekke og forebygge en beredskapssituasjon, siden de vil etableres etter at selve beredskapssituasjonen er kjent. Beredskapsbegrepet omfatter imidlertid både forebygging, håndtering og evaluering av beredskapssituasjoner. Helseberedskapsloven regulerer alle fasene av beredskapsarbeidet. Departementet mener derfor registrene som foreslås i denne lovbestemmelsen bør kalles beredskapsregistre. At begrepet benyttes her endrer ikke formålene og den viktige beredskapsfunksjonen for de løpende helseregistrene, som for eksempel MSIS.

    4.3.4 Virkeområde

    Departementet foreslår at beredskapsregistre skal kunne etableres for å kartlegge og avdekke utbrudd av sykdom ved en miljøhendelse. En miljøhendelse kan for eksempel være en ulykke der befolkningen eksponeres for kjente eller ukjente kjemikalier, og der det er nødvendig å se symptomer og helseplager i sammenheng for å kunne følge opp pasientene og for å kunne gjøre de nødvendige beredskapsmessige tiltak.

    En miljøhendelse kan være av fysisk, kjemisk, biologisk, radiologisk og nukleær opprinnelse. Radiologiske og nukleære miljøfaktorer kan også, slik Statens strålevern påpeker, betegnes som fysiske. At miljøhendelser inkluderer biologiske årsaker til sykdom betyr at smittsomme sykdommer omfattes. Miljøhendelser defineres vidt og inkluderer hele CBRNE-området, i tillegg til hendelser som er rent fysiske som ikke inkluderer farlige stoffer (for eksempel jordras).

    Departementet foreslår at begrepet miljøhendelser benyttes i bestemmelsen, uten å vise til at årsaken kan være fysisk, biologisk eller kjemisk slik forslaget var i høringen, siden det kan virke utilsiktet begrensende. Begrepene miljøfaktorer og miljøhendelser er begreper som benyttes i blant annet folkehelseloven og som er innarbeidet i samfunnsmedisinen. Begrepene bygger på de internasjonale betegnelsene i IHR og Europaparlaments- og rådsbeslutning nr. 1082/2013/EU om alvorlige helsetrusler over landegrensene, og den norske implementeringen av disse.

    Beredskapsregistre vil også omfatte nye sykdommer der registre raskt kan gi oppdatert informasjon om pasientbehandling mellom ulike behandlingsinstitusjoner ved uklare og lite kjente tilstander, som nye epidemier. Eksempel på et slikt register er NOPIR (Norsk Pandemi Intensivregister) som ble etablert under pandemien i 2009 og inneholdt opplysninger om behandling av pasienter ved intensivavdelinger og opplysninger om dødsfall som følge av pandemisk influensa. Lovbestemmelsen omfatter videre situasjoner der det er mistanke om utbrudd av sykdom relatert til eksponering for helseskadelige miljøfaktorer.

    Høringsinstansene som uttaler seg konkret om virkeområdet for beredskapsregistrene ga sin tilslutning til departementets forslag i høringsnotatet. CBRNE-senteret ved Oslo universitetssykehus HF mener at bestemmelsen vil kunne være et viktig verktøy i CBRNE-beredskapen.

    Helsedirektoratet mener at høringsforslaget synes å forutsette at det er en kjent årsak til en helsetrussel, men påpeker at det ikke alltid er tilfelle. Departementet viser til at den foreslåtte bestemmelsen også inkluderer «mistanke om sykdom relatert til eksponering for helseskadelige miljøfaktorer». Dette er samme ordlyd som beredskapsbestemmelsen i folkehelseloven § 28. Med mistanke om sykdom relatert til helseskadelige miljøfaktorer menes både i folkehelseloven og i dette forslaget situasjoner der det oppdages «klynger» av sykdom, uten kjent årsak. Det kan for eksempel være der man ser en uventet opphopning av spesielle symptomer innenfor et geografisk område, og mener det er behov for å systematisere opplysninger om symptomer, helseplager mv sammen med andre opplysninger som for eksempel folks bevegelsesmønstre og meteorologiske data for å finne årsaken.

    Beredskapsregistrene skal kunne etableres for å gi nødvendig kunnskap nasjonalt for hendelser som omfattes av den europeiske og internasjonale helseberedskapen, og således etableres som et ledd i Norges overvåking og oppfølging av helsetrusler over landegrensene. Norge deltar i de europeiske og globale varslingssystemene for helsekriser som er forankret i WHOs internasjonale helsereglement IHR og EUs Early Warning and Response System (EWRS) som er forankret i Europaparlaments- og rådsbeslutning nr. 1082/2013/EU om alvorlige helsetrusler over landegrensene. Disse forutsetter at landene har en løpende epidemiologisk overvåking av smittsomme sykdommer, i tillegg til et system for ad hoc monitorering av andre typer helsetrusler.

    Den løpende overvåkingen i Norge av smittsomme sykdommer skjer gjennom MSIS. Behovet for monitorering av andre helsetrusler må ivaretas gjennom andre helseregistre, for eksempel Norsk pasientregister og det kommende Kommunalt pasient- og brukerregister (Prop. 106 L (2015–2016)). Beredskapsregistre kan imidlertid avhjelpe behovet for ad hoc monitorering når helsemyndighetene blir kjent med en foreliggende helsetrussel. For varsling til beredskapsregistre vil det utarbeides kasusdefinisjoner som skal sikre lik monitorering over landegrensene. Forslaget til virkeområde bygger på virkeområdet for disse varslingssystemene og er årsaksnøytral («all-hazards approach»).

    Hjemmelen for å opprette register vil også omfatte etablering av registre for å ivareta administrative oppgaver i en beredskapssituasjon. Det vises til punkt 4.3.3.

    Lovbestemmelsens angivelse av virkeområdet for beredskapsregistre er vid. Virkeområdet for beredskapsregistre defineres bredere enn i folkehelseloven § 29 andre ledd. Dette er i samsvar med forslaget i høringsnotatet. Det er ikke mulig å forutse alle aktuelle situasjoner som kan oppstå. Departementet mener det er viktig å sikre at hjemmelen ikke avgrenses til spesielle typer hendelser eller spesielle typer årsaker til sykdom.

    4.3.5 Utbruddsregistre etter smittevernloven § 2-2

    Smittevernloven § 2-2 åttende ledd gir hjemmel for kommunelegen, fylkesmannen og Statens helsetilsyn, i tillegg til Helsedirektoratet og Folkehelseinstituttet til å innhente opplysninger uten hinder av lovbestemt taushetsplikt. Helsedirektoratet og Folkehelseinstituttet kan behandle opplysningene i utbruddsregistre. Den videre behandlingen skal være i tråd med bestemmelsene i helseregisterloven.

    Departementet foreslår at smittevernloven § 2-2 åttende ledd endres slik at den viser til helseberedskapsloven § 2-4 i stedet for helseregisterloven. Det innebærer at når Helsedirektoratet eller Folkehelseinstituttet har behov for å etablere beredskapsregistre i forbindelse med utbrudd av smittsomme sykdommer, skal registrene etableres i samsvar med helseberedskapsloven § 2-4. Opplysninger som er innhentet av for eksempel kommunelege eller fylkesmann med hjemmel i smittevernloven § 2-2 kan inngå i et beredskapsregister.

    4.3.6 Databehandlingsansvarlige

    Departementet foreslår at beredskapsregistre skal kunne etableres av Folkehelseinstituttet eller Helsedirektoratet. Disse etatene vil være databehandlingsansvarlige og vil dermed ha ansvaret for at behandlingen av opplysninger i registeret er i samsvar med helseregisterloven og personopplysningsloven.

    Det er disse etatene som vil ha ansvar for å følge opp eller bistå ved hendelser eller beredskapssituasjoner i sentral helseforvaltning. Hvilken etat som vil være nærmest til å etablere et register vil avhenge av hendelsen og hvilken type register som er aktuell. Etatene har ulike roller og ansvar i beredskapssituasjoner, og oppgavefordelingen mellom etatene følger av regelverket og av Nasjonal helseberedskapsplan. Det skal blant annet kunne etableres registre der beredskapssituasjonen har radiologisk eller nukleær årsak. Departementet forutsetter at etatene samordner seg slik at de fremstår entydige overfor helsetjenesten.

    Etter smittevernloven kan også kommuner og fylkesmenn innhente og behandle opplysninger uten hinder av lovbestemt taushetsplikt. Dette er et viktig verktøy i arbeidet med smitteoppsporing. Departementet ba om høringsinstansenes syn på om kommuner og fylkesmenn også bør kunne etablere beredskapsregistre. Helsedirektoratet, Kristiansand kommune og Gjøvikregionen helse- og miljøtilsyn IKS støttet forslaget om at kun Helsedirektoratet, Folkehelseinstituttet og Statens strålevern skal kunne være databehandlingsansvarlige. Folkehelseinstituttet mener at kommunelegen bør ha hjemmel til å etablere registre, siden ansvaret for håndtering av lokale beredskapssituasjoner ligger lokalt.

    Departementet foreslår at bare Folkehelseinstituttet eller Helsedirektoratet skal kunne etablere beredskapsregistre med hjemmel i den nye forskriften. Statens strålevern er organisert som en etat i Helsedirektoratet når de utfører sine oppgaver etter strålevernloven, og foreslås derfor ikke nevnt særskilt i lovbestemmelsen.

    Beredskapsarbeidet bygger på prinsippene om ansvar, nærhet, likhet og samordning. Slik Folkehelseinstituttet påpeker, er det kommunene som håndterer de fleste hendelser i tråd med ansvars- og nærhetsprinsippet. Innen smittevernet håndteres mange hendelser lokalt, og der det er behov kan utbruddsregistre være viktige verktøy for kommunen. Hjemmelen i smittevernloven § 2-2 åttende ledd for blant annet kommuneleger og fylkesmenn til å kunne innhente taushetsbelagte opplysninger, vil bestå.

    Departementet foreslår at den kompetansen som Helsedirektoratet og Folkehelseinstituttet har til å etablere utbruddsregistre i smittevernloven § 2-2 åttende ledd videreføres innenfor rammen av helseberedskapsloven § 2-4. Bestemmelsen om beredskapsregistre har samme formål og funksjon som dagens hjemmel til å etablere utbruddsregistre etter smittevernloven, men gir en tydeligere ramme for etablering og behandling av helseopplysninger.

    Det skal kunne etableres beredskapsregistre for hendelser som er lokale. Folkehelseinstituttet har etter folkehelseloven § 25 en plikt til å bistå blant annet kommuner og fylkesmenn når befolkningen eksponeres for helseskadelige miljøfaktorer. Folkehelseinstituttet kan som en del av sin bistand etablere beredskapsregistre.

    Den etaten som etablerer beredskaps- og hendelsesregisteret vil være databehandlingsansvarlig. Oppgaven med å samle inn og behandle data på andre måter, kan delegeres til en databehandler, for eksempel til et helseforetak. Dette er i samsvar med bestemmelsene i helseregisterloven og personopplysningsloven.

    4.3.7 Krav ved etablering av beredskapsregistre

    De alminnelige kravene i helseregisterloven § 6

    Departementet foreslår at den databehandlingsansvarlige skal dokumentere at behandling av helseopplysninger skjer i samsvar med vilkårene i helseregisterloven § 6.

    Helseregisterloven § 6 stiller alminnelige krav til behandling av helseopplysninger. Hovedregelen er at behandling av helseopplysninger krever den registrertes samtykke, dersom ikke annet har hjemmel i lov. Den databehandlingsansvarlige skal sørge for at helseopplysningene som behandles er tilstrekkelige og relevante for formålet med behandlingen, og at opplysningene bare brukes til uttrykkelige angitte formål som er saklig begrunnet i den databehandlingsansvarliges virksomhet. Det er videre krav til at opplysningene ikke skal brukes senere til formål som er uforenlig med det opprinnelige formålet med innsamlingen av opplysningene, at opplysningene er korrekte og oppdaterte og at de ikke lagres lenger enn det som er nødvendig ut fra formålet med behandlingen. Loven stiller krav om at graden av personidentifikasjon ikke skal være større enn nødvendig for det aktuelle formålet. Graden av personidentifikasjon skal begrunnes. Tilsynsmyndigheten kan kreve at den databehandlingsansvarlige legger frem begrunnelsen.

    Beredskapsregistre kjennetegnes ved at situasjonen som skaper behovet og øvrige forhold omkring hendelsen, ikke er kjent på forhånd. Det er derfor nødvendig å gjøre de konkrete vurderingene ved etableringen av det enkelte register. Det kan på forhånd ikke tas stilling til registerets formål, opplysninger som skal meldes inn, eventuelle kasusdefinisjoner mv., før den konkrete beredskapssituasjonen er oppstått og man kjenner behovet. Det vil heller ikke være mulig på forhånd å ta stilling til hvilken grad av personidentifikasjon som er nødvendig, hvorvidt registeret kan baseres på samtykke fra de registrerte, hvem som er databehandlingsansvarlig mv. Dette innebærer at de konkrete vurderingene av vilkårene i helseregisterloven § 6 ikke kan gjøres på forhånd. Vurderingene må gjøres når situasjonen har oppstått.

    Flere høringsinstanser er enige i at den konkrete beskrivelsen av at hvert enkelt register ikke kan gjøres på forhånd. Datatilsynet uttaler:

    Vi har forståelse for at registerets omfang og innhold ikke alltid kan defineres ved etableringen, men at dette er forhold som vil avklares etter hvert. Det vil imidlertid være nødvendig at lovhjemmelen angir hvilke spørsmål det skal tas stilling til ved etableringen. Vi støtter derfor departementets forslag vedrørende dette. Helseregisterloven § 6 angir hvilke grunnkrav som må være oppfylt ved behandling av helseopplysninger, og vi mener derfor det er hensiktsmessig å henvise til innholdet i denne (…).

    Også Helsedirektoratet, Justis- og beredskapsdepartementet og Legeforeningen mener det må komme tydeligere frem hvordan helseregisterlovens bestemmelser skal gjelde for beredskapsregistre.

    Departementet er enig i at disse kravene bør gjelde for beredskapsregistre. Departementet er også enig med Datatilsynet i at lovteksten bør være tydelig på hvilke spørsmål den databehandlingsansvarlige skal ta stilling til ved etableringen.

    Beredskapssituasjon

    En beredskapssituasjon betegnes ofte som en situasjon av ekstraordinær karakter der det akutte hjelpebehovet ikke kan dekkes av ordinære ressurs- og ansvarsforhold, slik at omlegging eller ekstra tilførsel av ressurser er nødvendig. Det vil være situasjonen, hendelsens omfang og konsekvenser for liv, helse og velferd som er avgjørende for om den aktuelle hendelsen defineres som en beredskapssituasjon. En beredskapssituasjon forutsetter ikke at krisen er inntrådt, men at det er stor sannsynlighet for at en krise vil oppstå i nærmeste fremtid.

    Datatilsynet støtter i sin høringsuttalelse forslaget om en lovhjemmel til å opprette beredskapsregistre, og mener at det er uhensiktsmessig med konsesjon når man står overfor en konkret beredskapssituasjon. Beredskapsregistre vil etableres i en beredskapssituasjon, og behovet for å få oversikt og kunnskap kan kreve at registrene må etableres raskt.

    Det vises til omtalen av konkrete beredskapssituasjoner i punkt 4.3.4 om virkeområdet.

    Formålsbestemthet

    Det følger av helseregisterloven § 6 tredje ledd bokstav b at helseopplysninger bare skal brukes til uttrykkelige angitte formål. For det enkelte beredskapsregister må det angis et konkret formål. Dette vil gi rammen for hvilke opplysninger som kan behandles og hva opplysningene kan brukes til. Det enkelte registers formål må ligge innenfor det generelle formålet for beredskapsregistre, som følger av lovforslaget i helseberedskapsloven § 2-4 første ledd.

    Opplysninger som kan registreres

    Hvilke opplysninger som skal behandles vil måtte angis konkret ved opprettelsen av det enkelte beredskapsregister. Relevante opplysningstyper vil være administrative opplysninger, og helseopplysninger og andre personopplysninger.

    Hva som skal meldes til registeret av helseopplysninger vil kunne følge av en nærmere angitt kasusdefinisjon. I forbindelse med utbrudd der folk blir eksponert for sykdomsfremkallende agens, vil det utarbeides en eller flere kasusdefinisjoner. Ved hendelser av internasjonal betydning, vil slike kasusdefinisjoner utarbeides av WHO eller det europeiske smittevernbyrået ECDC. For hendelser som kun berører Norge vil Folkehelseinstituttet kunne utarbeide kasusdefinisjoner. Presise kasusdefinisjoner er nødvendig for å sikre kvaliteten på data i overvåkingssystemer. Ved miljøhendelser vil som regel kasusdefinisjon sammen med geografisk nedslagsfelt og andre kriterier være bestemmende for hvilke helseopplysninger og hvilke pasientgrupper som meldes til registeret. En kasusdefinisjon og øvrige kriterier for avgrensning/identifisering av pasienter vil ikke være mulig å angi konkret før i den enkelte situasjon, og kanskje ikke før det har gått noe tid.

    Det kan være nødvendig for å nå registerets formål at det også behandles opplysninger om personer som ikke oppfyller kasusdefinisjonen i form av en kontrollgruppe som sammenlikningsgrunnlag eller kontakter som et ledd i kontaktsporing.

    Innmelding av opplysninger til registeret

    Departementet foreslår at den nye bestemmelsen om beredskapsregistre skal gi hjemmel for å kreve opplysninger utlevert fra virksomheter i helse- og omsorgstjenesten og fra helsepersonell. Med virksomheter menes også databehandlingsansvarlige for andre helseregistre. Dersom det er nødvendig for å nå et konkret beredskapsregisters formål, vil registeret for eksempel kunne inkludere opplysninger fra intervjuer med personer som har oppholdt seg i et område for å kunne kartlegge eksponeringer.

    Det vil avhenge av den konkrete beredskapssituasjonen hvem som skal melde opplysninger inn til et beredskapsregister. Et beredskapsregister kan inneholde mange typer opplysninger, for eksempel meteorologiske data, kartdata mv. Det er imidlertid bare helseopplysninger, som er sensitive og taushetsbelagte opplysninger, og andre personopplysninger det kreves rettslig grunnlag for å behandle.

    I henhold til IHR-forskriften har også en rekke andre personellgrupper og virksomheter plikt til å varsle. Dette er ansatte ved politiet, tollvesenet, havnevesenet flyplasser. Mattilsynet, Forsvaret, Kystvakten, Kystverket, Fiskeridirektoratet og Sjøfartsdirektoratet. Videre er det gitt varslingsplikt for fører av skip, luftfartøy og andre transportmidler. Angivelsen av gruppen varslingspliktige til IHR-registre i folkehelseloven § 29 andre ledd omfatter alle disse.

    Departementet foreslår at denne angivelsen av varslingspliktige virksomheter og personell videreføres når ny helseberedskapslov § 2-4 erstatter hjemmelen for IHR-registre i folkehelseloven § 29, men med noen språklige endringer i opplistingen. På bakgrunn av innspill i høringen foreslår departementet videre at Direktoratet for samfunnssikkerhet og beredskap også tas med i angivelsen av varslingspliktige virksomheter og personell.

    Helseopplysninger er underlagt lovbestemt taushetsplikt i helsepersonelloven § 21 flg. For å kunne sende inn opplysninger til et beredskapsregister, kreves det derfor hjemmel i lov eller i medhold av lov eller samtykke som gir unntak fra taushetsplikten. Varslingsplikten etter dagens bestemmelse i folkehelseloven § 29 andre ledd gjelder uavhengig av lovbestemt taushetsplikt. Departementet foreslår at det samme tas inn i den nye lovbestemmelsen i helseberedskapsloven § 2-4.

    Grad av personidentifikasjon

    Det er et grunnleggende prinsipp ved behandling av helseopplysninger at graden av personidentifikasjon ikke skal være større enn nødvendig for det aktuelle formålet. Graden av personidentifikasjon skal begrunnes. Dette følger av helseregisterloven § 6 fjerde ledd.

    Det kan ikke tas stilling til på forhånd til hvilken grad av identifikasjon opplysningene i registeret må ha for at de kan ivareta sine formål. Dette vil bero på den enkelte beredskapssituasjon.

    Den databehandlingsansvarlige må begrunne graden av personidentifikasjon, slik det er forutsatt i helseregisterloven § 6. I enkelte tilfeller kan det være tilstrekkelig å samle inn opplysninger som er anonyme. Det kan være hensiktsmessig å benytte helseberedskapsloven § 2-4 for å kunne kreve opplysninger fra virksomheter og personell, selv om opplysningene i seg selv skal være anonyme.

    Samtykke

    Det følger av helseregisterloven § 6 andre ledd at behandling av helseopplysninger krever den registrertes samtykke, dersom ikke annet har hjemmel i lov. Dersom registeret kan etableres med samtykke fra de registrerte skal samtykke innhentes.

    Departementet foreslår at beredskapsregistrene skal kunne inneholde personidentifiserende kjennetegn uten samtykke fra de registrerte, dersom dette er nødvendig for å oppnå registerets formål.

    Departementet viser til at hjemmelen i folkehelseloven § 29 andre ledd også åpner for at registre kan inkludere personidentifiserbare opplysninger uten samtykke fra de registrerte. Dette er således en videreføring av gjeldende rett.

    Legeforeningen etterlyser i sin høringsuttalelse en nærmere drøftelse av hva som skal til for å fravike samtykkekravet.

    Den nye bestemmelsen om beredskapsregistre foreslås utformet slik at det fremgår tydelig at det er registerets formål som kan begrunne unntak fra samtykkekravet etter en konkret vurdering. Det kan for eksempel være at formålet forutsetter at registeret inneholder opplysninger om alle som er eksponert, eller får en type helseutfall. Da vil det ikke være mulig å basere registeret på samtykke ettersom at det vil medføre at enkelte ikke ønsker å samtykke. Det kan også være nødvendig å etablere registre så raskt at det ikke lar seg gjøre å innhente samtykker. I slike tilfeller vil det være aktuelt å vurdere innhenting av samtykke senere dersom det er forenlig med registerets formål.

    Et beredskapsregister vil kunne ta utgangspunkt i og inneholde individuelle varsler som er gitt i henhold til for eksempel MSIS-forskriften eller IHR-forskriften.

    Den databehandlingsansvarlige må ved etableringen av registeret gjøre en vurdering av om det er nødvendig at registeret inneholder opplysninger som ikke kan baseres på at samtykke er innhentet.

    4.3.8 Behandling av opplysninger

    I samsvar med helseregisterloven

    Departementet foreslår at behandlingen av helseopplysninger i beredskapsregistre skal være i samsvar med helseregisterloven. Dette innebærer for eksempel at bestemmelsene i § 17 og § 18 om taushetsplikt og forbud mot urettmessig tilegnelse av taushetsbelagte opplysninger vil gjelde. Krav til sikring av konfidensialitet, integritet, tilgjengelighet og internkontroll vil også gjelde. Det samme gjelder rett til informasjon, innsyn, retting og sletting, samt lovens kapittel 5 om tilsyn og sanksjoner.

    Departementet foreslo i høringen at det ved etableringen av beredskapsregistre skal kunne besluttes at bestemmelser i helseregisterloven ikke skal gjelde. Begrunnelsen for dette var at tidsperspektivet kunne gjøre det krevende å oppfylle enkelte krav i helseregisterloven. Kravet til kryptering i § 21 ble spesielt nevnt. Justis- og beredskapsdepartementet og Arbeidsgruppe fellesregister skade, intensivbehandling og beredskap mente det må komme klarere frem hvilke bestemmelser i helseregisterloven som eventuelt ikke skal gjelde.

    Departementet har kommet til at helseregisterloven bør gjelde i sin helhet. Departementet viser til at lovens bestemmelser skal legge til rette for helseregistre samtidig som den skal sikre at behandlingen foretas på en etisk forsvarlig måte, ivaretar den enkeltes personvern og brukes til individets og samfunnets beste. Disse hensynene bør gjelde for beredskapsregistre på samme måte som for andre helseregistre. Kravet til kryptering i helseregisterloven § 21 vil imidlertid ikke gjelde for disse registrene, siden dette kravet kun gjelder registre etablert med hjemmel i helseregisterloven § 10 og § 11.

    Arbeidsgruppe fellesregister skade, intensiv og beredskap fremhever i høringen at erfaringen fra NOPIR (Norsk pandemi intensivregister) viser at manglende datasikkerhet kan føre til at registre ikke benyttes. Arbeidsgruppen viser til at for å få god datasikkerhet, må systemene være på plass for at det skal kunne fungere etter intensjonen. De peker på eksisterende registermiljøer som Norsk intensivregister og Nasjonalt traumeregister som registre med nødvendig infrastruktur og et etablert registermiljø som er på plass ved alle norske sykehus. Arbeidsgruppen anbefaler

    at det etableres et «sovende» beredskapsregister med enkelte variabler som en del av et fellesregister for traume, intensiv og beredskap. Dette sovende registersystemet skal ha en klar infrastruktur knyttet til pålogging, lagring av data og datasikkerhet basert på eksisterende rutiner. I tillegg til noen standard basisvariabler, skal spesielle variabler knyttet til den aktuelle hendelsen raskt kunne legges til.

    Departementet mener kravene til informasjonssikkerhet mv. i beredskapsregistre bør være de samme som for andre helseregistre, og at bestemmelsene i helseregisterloven bør gjelde. Departementet vil be Folkehelseinstituttet i samråd med andre relevante aktører om å vurdere etablering av en infrastruktur for beredskapsregistre. En infrastruktur kan legge til rette for at beredskapsregistre kan etableres raskt, samtidig som de kan oppfylle kravene til informasjonssikkerhet mv. i helseregisterloven. Folkehelseinstituttet har ansvar for mange av helseregistrene, inkludert varslingssystemet for smittsomme sykdommer (MSIS), og er en viktig aktør i beredskapssituasjoner.

    Nødvendig utfra registerets formål

    Departementet foreslår at opplysninger skal kunne behandles uten de registrertes samtykke dersom det er nødvendig for å oppnå registerets formål. Hva som er nødvendig for å oppnå registerets formål vil bestemmes blant annet av beredskapssituasjonens karakter.

    Behandling som er nødvendig ut fra formålet, vil dermed ikke kreve annet særskilt behandlingsgrunnlag siden den har hjemmel i direkte i loven. Konsesjon fra Datatilsynet er ikke nødvendig.

    Opplysningene i et beredskapsregister skal kunne utleveres og behandles til de konkrete formålene som er fastsatt for det enkelte register. Formålet kan for eksempel være å gi kunnskap til lokale helsemyndigheter eller andre med håndteringsansvar. Formålet kan også være videre varsling gjennom EWRS og IHR, som Norge er forpliktet til gjennom internasjonale avtaler. Ved utlevering av opplysninger med hjemmel i § 2-4 vil mottakeren ha adgang til å behandle opplysningene.

    Epidemi AS savner en bestemmelse om hvordan informasjonen i et slikt register kan deles med kommunelegen. Departementet mener det ikke er nødvendig med en slik bestemmelse. Der kommunelegen har oppfølgingsoppgaver, vil det være innenfor registerets formål at opplysningene utleveres og benyttes til dette.

    Departementet foreslo i høringen at helseregisterloven § 20 om unntak fra taushetsplikten skulle kunne gjøres gjeldende for å kunne utlevere indirekte identifiserbare opplysninger. Departementet har kommet til at adgangen til utlevering i stedet bør avgrenses mot de formålene det enkelte register skal ivareta. Departementet foreslår derfor at det presiseres i lovteksten at opplysninger skal kunne utleveres uten hinder av lovbestemt taushetsplikt dersom det er nødvendig for å oppnå registerets formål. Graden av personidentifikasjon ved utleveringer skal ikke være større enn nødvendig for å oppnå formålet. Mottakeren vil være underlagt taushetsplikten i helseregisterloven § 17.

    4.3.9 Krav om anonymisering eller sletting. Unntak

    Utgangspunktet for behandling av personopplysninger er at de ikke skal lagres lenger enn nødvendig for formålet. Hovedregelen vil være at opplysningene skal slettes eller anonymiseres når beredskapssituasjonen er avklart. Evaluering av hendelsen eller ulykken vil være en del av håndteringen.

    Opplysninger som samles inn i beredskapsregistre kan imidlertid være viktige for å få ny kunnskap. Det gjelder spesielt i de tilfellene der det er aktuelt å sette i gang forskningsprosjekter som har som formål å vurdere langtidseffekter av eksponering for helseskadelige miljøfaktorer eller andre hendelser. Dette vil være formål som vil gå utover formålet til det enkelte beredskapsregister, men som kan gi viktig kunnskap om årsaker og konsekvenser av sykdom og om beredskapsarbeidet.

    Det ble derfor foreslått i høringsnotatet at det bør være åpning for i særskilte tilfeller å kunne lagre personidentifiserbare personopplysninger i beredskapsregistre også etter at den konkrete hendelsen er avklart og evaluert.

    De regionale arbeids- og miljømedisinske sykehusavdelinger mener at et beredskapsregister vil være viktig for å få kartlagt situasjonen umiddelbart og for å kunne studere langtidseffekter. Dette forutsetter at opplysningene i registeret ikke slettes eller anonymiseres når hendelsen er avklart. Helse Vest RHF uttaler at:

    Helse Vest foreslår at det blir utarbeida kriterier for når det ligg føre særlege tilfelle som tilseier at opplysningane i beredskapsregistre skal lagrast, også etter at den konkrete hendinga er avklart og evaluert. Slike kriterier bør utarbeidast i samarbeid med relevante fagmiljø. Dette for å sikre at opplysningar som kan vera avgjerande for å få ny kunnskap om miljø- og kjemikaliehendingar, og korleis slike hendingar kan handterast best mogeleg, ikkje slettast. Det bør særleg leggast vekt på at slike register er viktige for å kunne studere langtidseffektar. Det er derfor uheldig om det bli sletta når hendinga er avklart.

    Datatilsynet støtter departementets vurdering av at såkalt sekundærbruk eller annen primærbruk enn administrasjon og varsling i tilknytning til en konkret hendelse, krever konsesjon eller annet rettslig grunnlag.

    Departementet mener at lovbestemmelsen bør gi mulighet for fortsatt lagring og bruk av opplysningene, etter at hendelsen er avklart. Opplysninger som er samlet inn i et beredskapsregister kan være viktige kilder til for eksempel forskningsprosjekter som kan gi kunnskap om langtidseffekter av eksponering for helseskadelige miljøfaktorer. Et eksempel på dette er forskningsprosjektet som ble iverksatt etter Vest Tank ulykken i 2007 der Yrkesmedisinsk avdeling ved Haukeland universitetssykehus HF så nærmere på langtidseffekter for de personene som ble eksponert for kjemikalier. Et annet eksempel er oppfølgingen av terrorhendelsene 22. juli 2011 der det ble iverksatt psykososial oppfølging av berørte. Det er en forutsetning at Datatilsynet kan gi konsesjon eller Regional etisk komite for medisinsk og helsefaglig forskningsetikk (REK) kan gi forhåndsgodkjenning for bruk av opplysningene inn i forskningsprosjekter for at opplysninger kan behandles utover det opprinnelige formålet. Dersom opplysningene slettes eller anonymiseres vil slik forskning ikke være mulig.

    Departementet mener på denne bakgrunn at det bør være åpning for i særskilte tilfeller å kunne lagre personidentifiserbare opplysninger fra beredskapsregistre også etter at den konkrete hendelsen er avklart og evaluert. Det foreslås at kravet til å unnta fra sletteplikten skal være at det er nødvendig for å gi kunnskap om langtidseffekter, for eksempel som følge av eksponering for helseskadelige miljøfaktorer. En beslutning om å unnta fra slette- eller anonymiseringsplikten kan behandles uten preg av tidsnød, og det bør gjøres en fornyet vurdering av hvilke opplysninger som lagres, om det kan innhentes samtykke mv.

    Dersom opplysninger i beredskapsregistre skal kunne unntas fra slette- eller anonymiseringsplikt, bør det være et grunnleggende krav at samfunnets interesse klart overstiger de ulemper som kan påføres den enkelte registrerte. Denne interesseavveiningen fremgår blant annet av personopplysningsloven § 28. Departementet foreslår derfor at lovteksten stiller opp et vilkår om at samfunnets interesse i den videre behandlingen klart må overstige ulempene som kan påføres den enkelte.

    Beslutning om at opplysningene ikke skal slettes eller anonymiseres, bør legges til en annen instans enn den instansen som er databehandlingsansvarlig for registeret. Det foreslås derfor at en slik beslutning legges til departementet etter henvendelse fra den databehandlingsansvarlige.

    4.3.10 Prosessuelle krav til etablering av beredskapsregistre

    Dokumentasjon

    Beredskapsregistre vil etableres av enten Folkehelseinstituttet eller Helsedirektoratet. Den virksomheten som etablerer beredskapsregisteret blir ansvarlig for behandlingen av helseopplysninger (databehandlingsansvarlig). Departementet foreslår at den databehandlingsansvarlige skal dokumentere at kravene til etablering av registre er vurdert og oppfylt. Disse kravene følger av helseregisterloven § 6 og er nærmere presisert i forslaget til helseberedskapsloven § 2-4.

    I høringsnotatet la departementet til grunn at en beslutning om etablering av et beredskapsregister ville være en forskrift og foreslo et unntak fra høringsplikten i forvaltningsloven § 37, da dette ikke ville være praktisk gjennomførbart. Ingen høringsinstanser kommenterer spørsmålet konkret, men flere vektlegger behovet for at registrene skal kunne etableres raskt og at loven må gi det nødvendige rammeverket for å etablere registrene.

    Departementet legger til grunn at helseberedskapsloven § 2-4 vil gi de databehandlingsansvarlige direkte kompetanse til å etablere registre, og plikt for de aktuelle virksomhetene og personell til å melde opplysninger til registre. Videre vil bestemmelsen gi hjemmel til at det enkelte register etableres uten vedtak og uten høring. Etableringen av det enkelte register vil være uttømmende regulert i helseberedskapsloven og helseregisterloven.

    Melding til Datatilsynet

    Departementet foreslår at beredskapsregistrene skal meldes til Datatilsynet på samme måte som meldinger etter personopplysningsloven § 31 og § 32. Selve etableringen av beredskapsregistre vil være hjemlet i lov, og trenger ikke forhåndsgodkjenning fra Datatilsynet. Siden det enkelte register må etableres raskt og i forvaltningsinterne prosesser, bør det legges til rette for at tilsynsmyndigheten kan føre tilsyn med registrene.

    Datatilsynet viser i sin høringsuttalelse til at den databehandlingsansvarlige bør redegjøre for alle vurderinger som gjøres i forbindelse med etableringen av et beredskapsregister, og at disse vurderingene bør fremgå av meldingene som sendes til Datatilsynet. Departementet støtter dette synet, og foreslår at de vurderingene den databehandlingsansvarlige skal dokumentere ved etableringen, skal inkluderes i meldingen til Datatilsynet.

    Meldingen vil legge til rette for at Datatilsynet skal kunne ivareta sin tilsynsoppgave etter helseregisterloven på en god måte. Meldingen vil gi Datatilsynet et grunnlag for å kunne vurdere om undersøkelsen er etablert i tråd med kravene i loven, og vil legge til rette for at eventuelle mangler kan fanges opp nært i tid etter etableringen. Det er imidlertid ikke krav til uttalelse fra Datatilsynet før etableringen.

    Ordningen er også i samsvar med EUs Personvernforordning som ble vedtatt i våren 2016 (Regulation (EU) 2016/679). I forordningen dreies de nasjonale tilsynsmyndighetenes oppgaver mer i retning av etterkontroll fremfor forhåndsgodkjenninger.

    4.4 Anvendelse på Svalbard

    Forskrift 22. juni 2015 nr. 747 om anvendelse av helselover og -forskrifter for Svalbard og Jan Mayen gjør flere helselover gjeldende på Svalbard, blant annet helseberedskapsloven og deler av folkehelseloven. Departementet foreslår at helseberedskapsloven § 2-4 om beredskapsregistre skal gjelde på Svalbard.

    4.5 Økonomiske og administrative konsekvenser

    Departementet foreslår at helseberedskapsloven endres slik at den gir direkte hjemmel for å behandle helseopplysninger i beredskapsregistre. Bestemmelsen kan gi en administrativ forenkling ved at en raskere kan få et tilstrekkelig kunnskapsgrunnlag for å håndtere hendelsen effektivt. Erfaringene fra beredskapsregistre som tidligere er etablert, har vist at det er krevende og lite hensiktsmessig å skulle fremskaffe hjemmelsgrunnlag for eksempel ved konsesjon fra Datatilsynet, når man er i beredskapssituasjonen. De konkrete økonomiske konsekvensene av å etablere beredskapsregistre må vurderes når etablering av det enkelte register skal besluttes.

    Departementet mener det bør etableres en infrastruktur for beredskapsregistre, for å legge til rette for at slike registre kan etableres raskt, samtidig som de kan oppfylle kravene til informasjonssikkerhet mv. i helseregisterloven. Det vil ha økonomiske konsekvenser å skulle etablere en slik registerfunksjonalitet, blant annet forbundet med planlegging og valg av registerplattform, organisering av arbeidsprosessene og samarbeidet mellom etatene. Det vil også være kostnader knyttet til datafangst, registrering og kommunikasjon av data ved et hendelsessted. Det vil videre påløpe driftskostnader når registerfunksjonaliteten er etablert. Departementet vil be Folkehelseinstituttet i samråd med andre relevante aktører, om å vurdere etablering av en infrastruktur for beredskapsregistre, inkludert de økonomiske konsekvensene.

    Neste kapittel
    Forrige kapittel
    Neste kapittel
    Forrige kapittel
    Til forsiden
    Til toppen