Komiteen viser til
proposisjonen og merknadene og rår Stortinget til å gjøre følgende
vedtak til lover:
A.
Vedtak til lov
om behandling av helseopplysninger ved ytelse av helsehjelp
(pasientjournalloven)
Kapittel 1 Generelle bestemmelser
§ 1 Lovens formål
Formålet med loven er at behandling av helseopplysninger
skal skje på en måte som
a) gir pasienter og brukere helsehjelp av god
kvalitet ved at relevante og nødvendige opplysninger på en rask
og effektiv måte blir tilgjengelige for helsepersonell, samtidig
som vernet mot at opplysninger gis til uvedkommende ivaretas, og
b) sikrer pasienters og brukeres personvern, pasientsikkerhet
og rett til informasjon og medvirkning.
§ 2 Definisjoner
I denne loven forstås med:
a) helseopplysninger: taushetsbelagte
opplysninger etter helsepersonelloven § 21, og andre opplysninger
og vurderinger om helseforhold eller av betydning for helseforhold,
som kan knyttes til en enkeltperson,
b) behandling av helseopplysninger: enhver
bruk av helseopplysninger, som for eksempel innsamling, registrering,
sammenstilling, lagring og utlevering, eller en kombinasjon av slike
bruksmåter,
c) helsehjelp: handlinger som har forebyggende,
diagnostisk, behandlende, helsebevarende, rehabiliterende eller
pleie- og omsorgsformål, og som utføres av helsepersonell, jf. helsepersonelloven §
3 første ledd,
d) behandlingsrettet helseregister: pasientjournal- og
informasjonssystem eller annet register, fortegnelse eller lignende,
der helseopplysninger er lagret systematisk slik at opplysninger
om den enkelte kan finnes igjen og som skal gi grunnlag for helsehjelp
eller administrasjon av helsehjelp til enkeltpersoner,
e) databehandlingsansvarlig: den som
bestemmer formålet med behandlingen av helseopplysningene og hvilke
hjelpemidler som skal brukes, og den som i eller i medhold av lov
er pålagt et databehandlingsansvar.
§ 3 Saklig virkeområde
Loven gjelder all behandling av helseopplysninger som er
nødvendig for å yte, administrere eller kvalitetssikre helsehjelp
til enkeltpersoner.
Kongen i statsråd kan i forskrift eller enkeltvedtak bestemme
at loven helt eller delvis skal gjelde for behandling av helseopplysninger
til andre formål enn helsehjelp.
§ 4 Geografisk virkeområde
Loven gjelder for databehandlingsansvarlige som er etablert
i Norge. Kongen kan i forskrift bestemme at loven helt eller delvis
skal gjelde for Svalbard og Jan Mayen, og kan fastsette særlige
regler om behandling av helseopplysninger for disse områdene.
Loven gjelder også for databehandlingsansvarlige som er
etablert i stater utenfor EØS-området, dersom den databehandlingsansvarlige
benytter hjelpemidler i Norge. Dette gjelder likevel ikke dersom hjelpemidlene
bare brukes til å overføre personopplysninger via Norge. Databehandlingsansvarlige
skal ha en representant som er etablert i Norge. Bestemmelsene som
gjelder for den databehandlingsansvarlige, gjelder også for representanten.
§ 5 Forholdet til personopplysningsloven
Personopplysningsloven gjelder så langt ikke annet følger
av denne loven.
Kapittel 2 Pasientjournaler og andre
behandlingsrettede helseregistre
§ 6 Rett til å behandle helseopplysninger
Behandlingsrettede helseregistre må ha hjemmel i lov. Konsesjonsplikt
etter personopplysningsloven § 33 gjelder ikke for behandling av
helseopplysninger som skjer med hjemmel i denne loven.
Helseopplysninger i behandlingsrettede helseregistre kan
bare behandles når det er nødvendig for å kunne gi helsehjelp, eller
for administrasjon, internkontroll eller kvalitetssikring av helsehjelpen.
Ved behandling av helseopplysninger til internkontroll
eller kvalitetssikring skal opplysningene så langt som mulig behandles
uten at den registrertes navn og fødselsnummer fremgår.
§ 7 Krav til behandlingsrettede
helseregistre
Behandlingsrettede helseregistre skal understøtte pasientforløp
i klinisk praksis og være lett å bruke og å finne frem i.
Behandlingsrettede helseregistre skal være utformet og
organisert slik at krav fastsatt i eller i medhold av lov kan oppfylles.
Dette gjelder blant annet regler om:
a) taushetsplikt, jf. § 15,
b) forbud mot urettmessig tilegnelse av helseopplysninger,
jf. § 16,
c) retten til å motsette seg behandling av helseopplysninger,
jf. § 17,
d) retten til informasjon og innsyn, jf. § 18,
e) helsepersonells dokumentasjonsplikt, jf. helsepersonelloven
§ 39,
f) tilgjengeliggjøring av helseopplysninger, jf. §§ 19 og
20 og
g) informasjonssikkerhet og internkontroll, jf. §§ 22 og
23.
Departementet kan i forskrift gi nærmere bestemmelser om
plikt til å ha elektroniske systemer, om godkjenning av programvare
og sertifisering og om bruk av standarder, standardsystemer, kodeverk
og klassifikasjonssystemer.
§ 8 Virksomheters plikt til
å sørge for
behandlingsrettede helseregistre
Virksomheter som yter helsehjelp skal sørge for å ha behandlingsrettede
helseregistre for gjennomføring av helsepersonells dokumentasjonsplikt,
jf. helsepersonelloven § 39.
§ 9 Samarbeid mellom virksomheter
om
behandlingsrettede helseregistre
To eller flere virksomheter kan samarbeide om behandlingsrettede
helseregistre, jf. § 8. Virksomhetene skal da inngå skriftlig avtale
om
a) hva samarbeidet omfatter,
b) hvordan pasientens eller brukerens rettigheter skal ivaretas,
c) hvordan helseopplysningene skal behandles og sikres,
også ved endringer i eller opphør av samarbeidet, og
d) databehandlingsansvar.
Departementet kan i forskrift eller enkeltvedtak fastsette
vilkår for slikt samarbeid.
§ 10 Etablering av nasjonale
behandlingsrettede
helseregistre
Kongen i statsråd kan gi forskrift om etablering av nasjonale
behandlingsrettede helseregistre som på bestemte områder kommer
i stedet for registre etter §§ 8 og 9.
Forskriften skal gi nærmere bestemmelser om drift, behandling
og sikring av helseopplysningene, om databehandlingsansvar, om tilgangskontroll
og om hvordan rettighetene til pasienten eller brukeren skal ivaretas.
§ 11 Systemer for saksbehandling,
administrasjon mv. av helsehjelp
Kongen i statsråd kan gi forskrift om behandling av helseopplysninger
for saksbehandling, administrasjon, oppgjør og gjennomføring av
helsehjelp til enkeltpersoner.
Taushetsplikt er ikke til hinder for behandlingen av opplysningene.
Helseopplysningene kan behandles uten hensyn til samtykke fra pasienten.
Graden av personidentifikasjon skal ikke være større enn nødvendig
for det aktuelle formålet. Opplysninger om diagnose eller sykdom
kan bare behandles når det er nødvendig for å nå formålet med behandlingen
av opplysningen.
Forskriften skal gi nærmere bestemmelser om behandlingen
av opplysningene, om hvilke opplysninger som kan behandles, om den
enkeltes rett til å motsette seg behandling av opplysningene og
om databehandlingsansvar.
§ 12 Reseptformidleren
Kongen i statsråd kan gi forskrift med nærmere bestemmelser
om behandling av helseopplysninger i nasjonal database for resepter
(Reseptformidleren).
Opplysningene kan behandles uten samtykke fra pasienten.
Forskriften skal gi nærmere bestemmelser om formålet med
behandlingen av opplysningene, hvilke opplysninger som skal behandles
og hvem som er databehandlingsansvarlig for opplysningene.
§ 13 Nasjonal kjernejournal
Kongen i statsråd kan gi forskrift om behandling av helseopplysninger
i nasjonal kjernejournal.
Nasjonal kjernejournal er et sentralt virksomhetsovergripende
behandlingsrettet helseregister. Journalen skal inneholde et begrenset
sett relevante helseopplysninger som er nødvendig for å yte forsvarlig helsehjelp.
Opplysninger kan registreres og på annen måte behandles
uten samtykke fra pasienten. Den registrerte har rett til å motsette
seg at helseopplysninger behandles i registeret.
Helsepersonell med tjenstlig behov ved ytelse av helsehjelp
kan etter samtykke fra den registrerte gis tilgang til nødvendige
og relevante helseopplysninger fra nasjonal kjernejournal. Med samtykke
menes en frivillig, uttrykkelig og informert erklæring fra den registrerte
om at han eller hun godtar at det gis slik tilgang. Når det er nødvendig
for å yte forsvarlig helsehjelp, kan Kongen i statsråd i forskrift
gjøre unntak fra kravet om samtykke. Ved unntak fra samtykke gjelder
helsepersonelloven § 45 første ledd første punktum tilsvarende.
Kongen i statsråd kan i forskrift gi nærmere bestemmelser
om drift og behandling av helseopplysninger, for eksempel hvilke
opplysninger som skal behandles, hvem som er databehandlingsansvarlig, regler
om sletting, tilgang og tilgangskontroll, samt pasientens rettigheter.
§ 14 Registrering og melding
av helseopplysninger
Virksomheter og helsepersonell som tilbyr eller yter tjenester
som omfattes av apotekloven, folkehelseloven, helse- og omsorgstjenesteloven,
legemiddelloven, smittevernloven, spesialisthelsetjenesteloven eller
tannhelsetjenesteloven, plikter uten hinder av taushetsplikt å registrere
eller melde opplysninger som bestemt i forskrifter etter §§ 11 til
13.
Kongen kan i forskrift gi nærmere bestemmelser om innhenting
av helseopplysninger til registre som omfattes av §§ 11 til 13,
blant annet om frister, formkrav, bruk av meldingsskjemaer og standarder.
Mottaker av opplysningene skal varsle den som har registrert
eller meldt opplysningene dersom opplysningene er mangelfulle.
Kapittel 3 Taushetsplikt, innsynsrett og rett til å motsette
seg behandling av helseopplysninger
§ 15 Taushetsplikt
Enhver som behandler helseopplysninger etter denne lov,
har taushetsplikt etter helsepersonelloven §§ 21 flg. Andre som
får adgang eller kjennskap til helseopplysninger fra et behandlingsrettet
helseregister, har samme taushetsplikt.
§ 16 Forbud mot urettmessig
tilegnelse av
helseopplysninger
Det er forbudt å lese, søke etter eller på annen måte tilegne
seg, bruke eller besitte helseopplysninger fra behandlingsrettede
helseregistre uten at det er begrunnet i helsehjelp til den enkelte,
administrasjon av slike tjenester eller har særskilt hjemmel i lov
eller forskrift.
§ 17 Rett til å motsette seg
behandling av helseopplysninger
Pasienten eller brukeren kan motsette seg at
a) helseopplysninger i et behandlingsrettet helseregister
etablert med hjemmel i §§ 8 til 10 gjøres tilgjengelige for helsepersonell
etter § 19, jf. helsepersonelloven §§ 25 og 45 og pasient- og brukerrettighetsloven
§ 5-3,
b) opplysninger om betalte egenandeler i tilknytning til
vedtak om frikort og refusjon registreres automatisk i system etablert
med hjemmel i § 11, og
c) helseopplysninger registreres eller behandles på andre
måter i nasjonal kjernejournal etablert med hjemmel i § 13.
Reglene om samtykkekompetanse i pasient- og brukerrettighetsloven
§§ 4-3 til 4-7 gjelder tilsvarende for retten til å motsette seg
behandling av opplysningene.
§ 18 Informasjon og innsyn
Pasienten eller brukeren har rett til informasjon og innsyn
i behandlingsrettede helseregistre etter pasient- og brukerrettighetsloven
§ 5-1, helsepersonelloven § 41 og personopplysningsloven §§ 18 flg.
Dette omfatter også innsyn i hvem som har hatt tilgang til eller
fått utlevert helseopplysninger som er knyttet til pasientens eller
brukerens navn eller fødselsnummer.
Når det er nødvendig for å gi innsyn, kan den databehandlingsansvarlige
innhente personopplysninger fra Det sentrale folkeregisteret. Dette
gjelder uten hensyn til om opplysningene er underlagt taushetsplikt
etter folkeregisterloven.
Kongen kan i forskrift gi nærmere bestemmelser om retten
til innsyn i behandlingsrettede helseregistre.
Kapittel 4 Virksomhetens plikter ved behandling av
helseopplysninger
§ 19 Helseopplysninger ved helsehjelp
Innenfor rammen av taushetsplikten skal den databehandlingsansvarlige
sørge for at relevante og nødvendige helseopplysninger er tilgjengelige
for helsepersonell og annet samarbeidende personell når dette er
nødvendig for å yte, administrere eller kvalitetssikre helsehjelp
til den enkelte.
Den databehandlingsansvarlige bestemmer på hvilken måte
opplysningene skal gjøres tilgjengelige. Opplysningene skal gjøres
tilgjengelige på en måte som ivaretar informasjonssikkerheten.
Departementet kan i forskrift gi nærmere bestemmelser om
hvordan helseopplysninger i behandlingsrettede helseregistre kan
gjøres tilgjengelige.
§ 20 Helseopplysninger til andre
formål enn
helsehjelp
Den databehandlingsansvarlige kan gjøre helseopplysninger
tilgjengelige for andre formål enn helsehjelp når den enkelte samtykker
eller dette er fastsatt i lov eller i medhold av lov. Med samtykke
menes en frivillig, uttrykkelig og informert erklæring fra den registrerte
om at han eller hun godtar at opplysningene gjøres tilgjengelige.
§ 21 Personopplysninger fra
Det sentrale
folkeregisteret
Den databehandlingsansvarlige kan innhente personopplysninger
fra Det sentrale folkeregisteret når dette er nødvendig for å oppfylle
den databehandlingsansvarliges plikter etter loven. Dette gjelder uten
hensyn til om opplysningene er underlagt taushetsplikt etter folkeregisterloven.
§ 22 Sikring av konfidensialitet,
integritet og
tilgjengelighet
Den databehandlingsansvarlige og databehandleren skal gjennom
planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet
med hensyn til konfidensialitet, integritet og tilgjengelighet ved
behandling av helseopplysninger. Dette omfatter blant annet å sørge
for tilgangsstyring, logging og etterfølgende kontroll.
For å oppnå tilfredsstillende informasjonssikkerhet skal
den databehandlingsansvarlige og databehandleren dokumentere informasjonssystemet
og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for
medarbeiderne hos den databehandlingsansvarlige og hos databehandleren.
Dokumentasjonen skal også være tilgjengelig for tilsynsmyndighetene.
En databehandlingsansvarlig som lar andre få tilgang til
helseopplysninger, for eksempel en databehandler eller andre som
utfører oppdrag i tilknytning til informasjonssystemet, skal påse
at disse oppfyller kravene i første og andre ledd.
Departementet kan i forskrift fastsette nærmere krav til
informasjonssikkerhet ved behandling av helseopplysninger, blant
annet om organisatoriske og tekniske tiltak.
§ 23 Internkontroll
Den databehandlingsansvarlige skal etablere og holde ved
like planlagte og systematiske tiltak som er nødvendige for å oppfylle
kravene i eller i medhold av denne loven.
Den databehandlingsansvarlige skal dokumentere tiltakene.
Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den
databehandlingsansvarlige og hos databehandleren. Dokumentasjonen
skal også være tilgjengelig for tilsynsmyndighetene.
Departementet kan i forskrift gi nærmere bestemmelser om
internkontroll.
§ 24 Overdragelse eller opphør
av virksomhet
Ved overdragelse eller opphør av virksomhet kan behandlingsrettet
helseregister overføres til en annen virksomhet. Den enkelte pasient
eller bruker kan motsette seg overføring av sin journal og i stedet
kreve at registeret overføres til en annen bestemt virksomhet. Dersom
det er praktisk mulig, skal pasienten eller brukeren gjøres kjent
med denne retten.
Departementet kan i forskrift gi nærmere bestemmelser om
overføring av helseopplysninger ved opphør eller overdragelse av
virksomhet.
§ 25 Plikt til bevaring eller
sletting
Helseopplysninger skal oppbevares til det av hensyn til
helsehjelpens karakter ikke lenger antas å bli bruk for dem. Det
samme gjelder opplysninger om hvem som har hatt tilgang til eller
fått utlevert helseopplysninger som er knyttet til pasientens eller brukerens
navn eller fødselsnummer.
Hvis ikke opplysningene deretter skal bevares etter arkivloven
eller annen lovgivning, skal de slettes.
Kongen kan i forskrift gi nærmere bestemmelser om bevaring
eller sletting av opplysninger som nevnt i første ledd.
Kapittel 5 Tilsyn og sanksjoner
§ 26 Tilsynsmyndighetene
Datatilsynet fører tilsyn med at bestemmelsene i loven
blir fulgt og at feil eller mangler blir rettet, jf. personopplysningsloven
§ 42. Dette gjelder ikke for tilsynsoppgaver som påligger Statens
helsetilsyn eller Fylkesmannen etter helsetilsynsloven.
Tilsynsmyndighetene kan kreve de opplysninger som trengs
for at de kan gjennomføre sine oppgaver.
Tilsynsmyndighetene kan, som ledd i sin kontroll med at
lovens regler etterleves, kreve adgang til steder hvor det finnes
helseregistre, helseopplysninger som behandles elektronisk og hjelpemidler
for slik behandling av opplysninger. Tilsynsmyndighetene kan gjennomføre
de prøver eller kontroller som de finner nødvendig, og kreve bistand
fra personalet på stedet i den grad dette må til for å få utført
prøvene eller kontrollene.
Retten til å kreve opplysninger eller tilgang til lokaler
og hjelpemidler i medhold av andre og tredje ledd gjelder uten hinder
av taushetsplikt.
Tilsynsmyndighetene og andre som utfører tjeneste for tilsynsmyndighetene,
har taushetsplikt etter § 15. Taushetsplikten omfatter også opplysninger
om sikkerhetstiltak.
Avgjørelser som Datatilsynet fatter etter denne bestemmelsen
eller etter §§ 27, 28 eller 29, kan påklages til Personvernnemnda.
Kongen kan gi forskrift om unntak fra første til fjerde
ledd av hensyn til rikets sikkerhet. Kongen kan også gi forskrift
om dekning av utgiftene ved kontroll. Skyldige bidrag til dekning
av utgiftene er tvangsgrunnlag for utlegg.
§ 27 Adgang til å gi pålegg
Datatilsynet kan gi pålegg om at behandling av helseopplysninger
i strid med bestemmelser i eller i medhold av denne loven skal opphøre,
eller stille vilkår som må oppfylles for at behandlingen av helseopplysningene
skal være i samsvar med loven. Statens helsetilsyn kan gi pålegg
dersom det i tillegg må antas at behandlingen av helseopplysningene
kan ha skadelige følger for pasienter eller brukere.
Når Datatilsynet har gitt et pålegg, skal Statens helsetilsyn
informeres om dette. Når Statens helsetilsyn har gitt et pålegg,
skal Datatilsynet informeres om dette.
Det skal settes en frist for å rette seg etter pålegget.
§ 28 Tvangsmulkt
Ved pålegg etter § 27 kan Datatilsynet fastsette en tvangsmulkt
som løper for hver dag som går etter utløpet av den fristen som
er satt for oppfylling av pålegget, inntil pålegget er oppfylt.
Tvangsmulkten løper ikke før klagefristen er ute. Hvis
vedtaket påklages, løper ikke tvangsmulkt før klageinstansen har
bestemt det.
Datatilsynet kan frafalle påløpt tvangsmulkt.
§ 29 Overtredelsesgebyr
Datatilsynet kan pålegge den som har overtrådt denne loven
eller forskrifter i medhold av den, å betale et pengebeløp til statskassen
(overtredelsesgebyr) på inntil ti ganger grunnbeløpet i folketrygden. Fysiske
personer kan bare ilegges overtredelsesgebyr for forsettlige eller
uaktsomme overtredelser. Et foretak kan ikke ilegges overtredelsesgebyr
dersom overtredelsen skyldes forhold utenfor foretakets kontroll.
Ved vurderingen av om overtredelsesgebyr skal ilegges,
og ved utmålingen, skal det særlig legges vekt på
a) hvor alvorlig overtredelsen har krenket de
interesser loven verner,
b) graden av skyld,
c) om overtrederen ved retningslinjer, instruksjon, opplæring,
kontroll eller andre tiltak kunne ha forebygget overtredelsen,
d) om overtredelsen er begått for å fremme overtrederens
interesser,
e) om overtrederen har hatt eller kunne ha oppnådd noen
fordel ved overtredelsen,
f) om det foreligger gjentakelse,
g) om andre reaksjoner som følge av overtredelsen blir ilagt
overtrederen eller noen som har handlet på vegne av denne, blant
annet om noen enkeltperson blir ilagt straff, og
h) overtrederens økonomiske evne.
Oppfyllelsesfristen er fire uker etter at vedtaket om overtredelsesgebyr
er endelig. Dersom et vedtak om overtredelsesgebyr bringes inn for
en domstol, kan den prøve alle sider av saken.
§ 30 Straff
Den som forsettlig eller grovt uaktsomt overtrer § 15 om
taushetsplikt eller § 16 om forbud mot urettmessig tilegnelse av
helseopplysninger, straffes med bøter eller fengsel i inntil tre
måneder.
Med bøter eller fengsel inntil ett år eller begge deler
straffes den som forsettlig eller grovt uaktsomt
a) behandler helseopplysninger i strid med § 22,
b) unnlater å informere den registrerte etter § 18, jf. personopplysningsloven
§§ 19 eller 20,
c) unnlater å gi opplysninger til tilsynsmyndighetene etter
§ 26, eller
d) unnlater å etterkomme pålegg eller overtrer vilkår fra
tilsynsmyndighetene etter § 27.
Ved særdeles skjerpende omstendigheter kan fengsel inntil
tre år idømmes. Ved avgjørelsen av om det foreligger særdeles skjerpende
omstendigheter skal det blant annet legges vekt på faren for stor
skade eller ulempe for pasienten eller brukeren, den tilsiktede
vinningen ved overtredelsen, overtredelsens varighet og omfang,
utvist skyld, og om den databehandlingsansvarlige tidligere er straffet
for å ha overtrådt tilsvarende bestemmelser.
Medvirkning straffes på samme måte.
I forskrift som gis i medhold av loven, kan det fastsettes
at den som forsettlig eller grovt uaktsomt overtrer forskriften
skal straffes med bøter eller fengsel inntil ett år eller begge
deler.
§ 31 Erstatning
Den databehandlingsansvarlige skal erstatte skade som er
oppstått som følge av at helseopplysninger er behandlet i strid
med bestemmelser i eller i medhold av loven, med mindre det godtgjøres
at skaden ikke skyldes feil eller forsømmelse på den databehandlingsansvarliges
side.
Erstatningen skal svare til det økonomiske tapet som den
skadelidte er påført som følge av den ulovlige behandlingen av helseopplysningene.
Virksomheten kan også pålegges å betale slik erstatning for skade
av ikke-økonomisk art (oppreisning) som synes rimelig.
Kapittel 6 Ikraftsetting mv.
§ 32 Ikraftsetting
Loven trer i kraft fra den tid Kongen bestemmer. Kongen
kan bestemme at de enkelte bestemmelsene i loven skal tre i kraft
til ulik tid.
§ 33 Videreføring av forskrifter
Forskrifter gitt i medhold av lov 18. mai 2001 nr. 24 om
helseregistre og behandling av helseopplysninger, gjelder også etter
at loven her har trådt i kraft.
B.
Vedtak til lov
om helseregistre og behandling av
helseopplysninger (helseregisterloven)
Kapittel 1 Generelle bestemmelser
§ 1 Lovens formål
Formålet med loven er å legge til rette for innsamling
og annen behandling av helseopplysninger, for å fremme helse, forebygge
sykdom og skade og gi bedre helse- og omsorgstjenester. Loven skal
sikre at behandlingen foretas på en etisk forsvarlig måte, ivaretar
den enkeltes personvern og brukes til individets og samfunnets beste.
§ 2 Definisjoner
I denne loven forstås med:
a) helseopplysninger: taushetsbelagte
opplysninger etter helsepersonelloven § 21, og andre opplysninger
og vurderinger om helseforhold eller av betydning for helseforhold,
som kan knyttes til en enkeltperson,
b) indirekte identifiserbare helseopplysninger: helseopplysninger
der navn, fødselsnummer og andre personentydige kjennetegn er fjernet,
men hvor opplysningene likevel kan knyttes til en enkeltperson,
c) behandling av helseopplysninger: enhver
bruk av helseopplysninger, som for eksempel innsamling, registrering,
sammenstilling, lagring og utlevering, eller en kombinasjon av slike
bruksmåter,
d) helseregister: register, fortegnelser,
mv. der helseopplysninger er lagret systematisk slik at opplysninger
om den enkelte kan finnes igjen,
e) databehandlingsansvarlig: den som
bestemmer formålet med behandlingen av helseopplysningene og hvilke
hjelpemidler som skal brukes, og den som i eller i medhold av lov
er pålagt et databehandlingsansvar,
f) samtykke: en frivillig, uttrykkelig
og informert erklæring fra den registrerte om at han eller hun godtar
behandling av helseopplysninger om seg selv.
§ 3 Saklig virkeområde
Loven gjelder for behandling av helseopplysninger til statistikk,
helseanalyser, forskning, kvalitetsforbedring, planlegging, styring
og beredskap i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten.
Loven gjelder også behandling av helseopplysninger i Helsearkivregisteret
i Norsk helsearkiv.
Loven gjelder ikke for behandling av helseopplysninger
som reguleres av helseforskningsloven eller pasientjournalloven.
Kongen i statsråd kan i forskrift bestemme at loven helt
eller delvis skal gjelde for behandling av helseopplysninger utenfor
helse- og omsorgsforvaltningen eller helse- og omsorgstjenesten.
§ 4 Geografisk virkeområde
Loven gjelder for databehandlingsansvarlige som er etablert
i Norge. Kongen kan i forskrift bestemme at loven helt eller delvis
skal gjelde for Svalbard og Jan Mayen, og kan fastsette særlige
regler om behandling av helseopplysninger i forbindelse med helsehjelp
for disse områdene.
Loven gjelder også for databehandlingsansvarlige som er
etablert i stater utenfor EØS-området dersom den databehandlingsansvarlige
benytter hjelpemidler i Norge. Dette gjelder likevel ikke dersom hjelpemidlene
bare brukes til å overføre personopplysninger via Norge. Databehandlingsansvarlige
skal ha en representant som er etablert i Norge. Bestemmelsene som
gjelder for den databehandlingsansvarlige, gjelder også for representanten.
§ 5 Forholdet til personopplysningsloven
Personopplysningsloven gjelder så langt ikke annet følger
av denne loven.
Kapittel 2 Tillatelse til å behandle helseopplysninger
og etablering av helseregistre
§ 6 Alminnelige vilkår for å
behandle
helseopplysninger
Helseopplysninger kan bare behandles når det er tillatt
etter denne loven eller andre lover.
Behandling av helseopplysninger krever den registrertes
samtykke, dersom ikke annet har hjemmel i lov.
Den databehandlingsansvarlige skal sørge for at helseopplysningene
som behandles
a) er tilstrekkelige og relevante for formålet
med behandlingen,
b) bare brukes til uttrykkelige angitte formål som er saklig
begrunnet i den databehandlingsansvarliges virksomhet,
c) ikke brukes senere til formål som er uforenlig med det
opprinnelige formålet med innsamlingen av opplysningene, uten at
den registrerte samtykker, og
d) er korrekte og oppdaterte og ikke lagres lenger enn det
som er nødvendig ut fra formålet med behandlingen.
Graden av personidentifikasjon skal ikke være større enn
nødvendig for det aktuelle formålet. Graden av personidentifikasjon
skal begrunnes. Tilsynsmyndigheten kan kreve at den databehandlingsansvarlige
legger frem begrunnelsen.
Departementet kan gi forskrift om godkjenning av programvare,
sertifisering og om bruk av standarder, klassifikasjonssystemer
og kodeverk, samt hvilke nasjonale eller internasjonale standardsystemer som
skal følges ved behandling av helseopplysninger etter denne loven.
§ 7 Konsesjon fra Datatilsynet
Datatilsynet kan gi konsesjon for etablering av helseregistre
og annen behandling av helseopplysninger. Konsesjon kan gis når
vilkårene i denne loven § 6 og personopplysningsloven § 9 jf. §§
33 til 35 er oppfylt.
Konsesjonsplikt etter personopplysningsloven § 33 gjelder
ikke for behandling av helseopplysninger som skjer med hjemmel i
denne loven §§ 8 til 12.
§ 8 Vilkår for etablering av
helseregistre ved forskrift
Kongen i statsråd kan i forskrift gi nærmere bestemmelser
om etablering av helseregistre og behandling av helseopplysninger
i registre etter §§ 9, 10 eller 11, når vilkårene i denne bestemmelsen
og § 6 er oppfylt.
Den helsefaglige eller samfunnsmessige nytten av registeret
må klart overstige personvernulempene.
Registrene skal ivareta oppgaver etter apotekloven, folkehelseloven,
helse- og omsorgstjenesteloven, legemiddelloven, smittevernloven,
spesialisthelsetjenesteloven og tannhelsetjenesteloven.
Forskriften skal blant annet angi
a) formålet med behandlingen av helseopplysningene,
b) hvilke typer opplysninger som kan behandles,
c) krav til identitetsforvaltning,
d) krav til sikring av opplysningene, og
e) hvem som er databehandlingsansvarlig.
§ 9 Registre som er samtykkebaserte
eller uten
direkte personidentifiserende kjennetegn
Kongen i statsråd kan, i samsvar med vilkår i § 8, gi forskrift
om behandling av opplysninger i helseregistre dersom
a) den registrerte samtykker, eller
b) opplysningene behandles uten at den databehandlingsansvarlige
har tilgang til navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn.
§ 10 Helseregistre der den registrerte
har rett til å motsette seg behandling av helseopplysninger
Kongen i statsråd kan i samsvar med vilkårene i § 8 gi
forskrift om behandling av opplysninger i helseregistre der navn,
fødselsnummer eller andre direkte personidentifiserende kjennetegn
skal kunne behandles uten samtykke fra den registrerte. Slike forskrifter
kan gis dersom
a) det for å oppnå formålet med behandlingen av opplysningene,
og av hensyn til registerets kvalitet, ikke kan kreves at samtykke
innhentes, og
b) den registrerte har rett til å motsette seg at helseopplysninger
behandles i registeret.
§ 11 Lovbestemte helseregistre
Kongen i statsråd kan i samsvar med vilkårene i § 8 gi
forskrift om behandling av opplysninger i helseregistre der navn,
fødselsnummer og andre direkte personidentifiserende kjennetegn
skal kunne behandles uten samtykke fra den registrerte i den utstrekning det
er nødvendig for å nå formålet med registeret.
Det kan gis forskrifter om følgende registre:
a) Dødsårsaksregisteret
b) Kreftregisteret
c) Medisinsk fødselsregister
d) Meldingssystem for smittsomme sykdommer (MSIS)
e) System for vaksinasjonskontroll (SYSVAK)
f) Forsvarets helseregister
g) Norsk pasientregister
h) Nasjonalt register over hjerte- og karlidelser
i) System for bivirkningsrapportering.
Kreftregisteret kan inneholde helseopplysninger om personer
som har deltatt i undersøkelsesprogram for tidlig diagnose og kontroll
for kreftsykdom. Ved negativt funn kan opplysninger om navn, fødselsnummer,
adresse, bostedskommune og sivilstand registreres permanent, med
mindre den registrerte motsetter seg det. Dersom den registrerte
har motsatt seg permanent registrering, skal opplysningene slettes
etter at de er kvalitetssikret og senest seks måneder etter innsamlingen.
Dette leddet gjelder også funn som er innsamlet før 1. januar 2014.
§ 12 Helsearkivregisteret
Kongen i statsråd kan i forskrift gi bestemmelser om etablering
av Helsearkivregisteret.
Helsearkivregisteret er et helseregister med personidentifiserbar
pasientdokumentasjon om avdøde pasienter. Opplysningene i Helsearkivregisteret
behandles uten de registrertes samtykke.
Riksarkivaren er databehandlingsansvarlig for opplysningene
i Helsearkivregisteret, jf. arkivloven § 4.
Kongen i statsråd kan i forskrift gi nærmere bestemmelser
om behandlingen av helseopplysningene i registeret og formålet med
behandlingen. Forskriften skal angi den databehandlingsansvarliges
plikt til å gjøre data tilgjengelig.
Kongen i statsråd kan i forskriften gi nærmere bestemmelser
om bevaring, kassasjon og avlevering av pasientdokumentasjon for
private virksomheter som yter tjenester etter spesialisthelsetjenesteloven.
§ 13 Innmelding av helseopplysninger
til
helseregistre
Virksomheter og helsepersonell som tilbyr eller yter tjenester
som omfattes av apotekloven, folkehelseloven, helse- og omsorgstjenesteloven,
legemiddelloven, smittevernloven, spesialisthelsetjenesteloven eller
tannhelsetjenesteloven plikter å melde opplysninger som bestemt
i forskrifter etter §§ 8 til 12. Innmelding til registre etter §§
9 bokstav b, 10, 11 og 12 kan skje uten hinder av taushetsplikt.
Kongen kan gi forskrifter om innmelding av helseopplysninger
til registre som omfattes av §§ 8 til 12, blant annet om hvem som
skal gi og motta opplysningene og om frister, formkrav, bruk av
meldingsskjemaer og standarder. Den som mottar opplysningene, skal
varsle avsenderen dersom opplysningene er mangelfulle.
§ 14 Opplysninger fra Det sentrale
folkeregisteret
Databehandlingsansvarlige kan innhente personopplysninger
de har tillatelse til å behandle etter §§ 8 til 12, fra Det sentrale
folkeregisteret.
§ 15 Hvem som har samtykkekompetanse
Rett til å samtykke til behandling av helseopplysninger
har
a) myndige personer, og
b) mindreårige etter fylte 16 år.
For samtykke til behandling av opplysninger som gjelder
personer under 16 år, gjelder pasient- og brukerrettighetsloven
§ 4-4 tilsvarende. Dersom barn mellom 12 og 16 år, av grunner som
bør respekteres, ikke ønsker at foreldrene, andre med foreldreansvar eller
barnevernstjenesten gjøres kjent med opplysninger om barnet, skal
dette ivaretas.
For personer uten samtykkekompetanse etter pasient- og
brukerrettighetsloven § 4-3 andre ledd, skal nærmeste pårørende
etter pasient- og brukerrettighetsloven § 1-3 bokstav b gi samtykke.
For personer som er fratatt rettslig handleevne på det
personlige området, gjelder pasient- og brukerrettighetsloven §
4-7 tilsvarende.
Departementet kan i forskrift bestemme at barn mellom 12
og 16 år kan samtykke til behandling av helseopplysninger for nærmere
bestemte spesielle formål.
§ 16 Plikt til å innrapportere
data til statistikk
Departementet kan i forskrift eller ved enkeltvedtak pålegge
regionale helseforetak, helseforetak, fylkeskommuner og kommuner
å innrapportere anonyme data eller indirekte identifiserbare helseopplysninger,
uten hensyn til taushetsplikt, til statistikk. Forskriften kan ha
nærmere regler om blant annet bruk av standarder, klassifikasjonssystemer
og kodeverk.
Kapittel 3 Alminnelige bestemmelser om
behandling av helseopplysninger
§ 17 Taushetsplikt
Enhver som behandler helseopplysninger etter denne loven,
har taushetsplikt etter helsepersonelloven §§ 21 flg. Andre som
får adgang eller kjennskap til helseopplysninger fra helseregistre,
har samme taushetsplikt.
§ 18 Forbud mot urettmessig
tilegnelse av
taushetsbelagte helseopplysninger
Det er forbudt å lese, søke etter eller på annen måte tilegne
seg, bruke eller besitte helseopplysninger som behandles etter denne
loven, uten særskilt hjemmel i lov eller forskrift.
§ 19 Sammenstilling av helseopplysninger
Kongen i statsråd kan gi forskrift om sammenstilling av
helseopplysninger innsamlet etter § 13. Sammenstilling kan tillates
for opplysninger i helseregistre etablert med hjemmel i §§ 8 til
12. Kongen i statsråd kan bestemme at opplysningene i disse registrene også
skal kunne sammenstilles med opplysninger i Det sentrale folkeregisteret
eller andre registre.
Den databehandlingsansvarlige kan utlevere helseopplysninger
for sammenstillingen. Med mindre annet følger av lov eller i medhold
av lov skal resultatet av sammenstillingen ikke inneholde navn,
fødselsnummer eller andre direkte identifiserende kjennetegn. Sammenstillingen
skal gjøres av den databehandlingsansvarlige for et av registrene
eller en virksomhet departementet bestemmer.
Ut over dette kan helseopplysninger bare sammenstilles
med andre opplysninger når dette er tillatt etter personopplysningsloven
§ 9, jf. §§ 33 til 35.
§ 20 Unntak fra taushetsplikten
for indirekte
identifiserbare helseopplysninger
Taushetsplikt er ikke til hinder for at den databehandlingsansvarlige
kan utlevere indirekte identifiserbare helseopplysninger til forskning,
helseanalyser, og kvalitetssikring, administrasjon, planlegging eller
styring av helse- og omsorgstjenesten. Dette gjelder bare helseopplysninger
i registre som er etablert med hjemmel i § 11.
Helseopplysningene kan bare utleveres dersom behandlingen
av dem er av vesentlig interesse for samfunnet, hensynet til pasientens
integritet og konfidensialitet er ivaretatt, og behandlingen er
ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn. Den
databehandlingsansvarlige kan stille vilkår for utleveringen.
§ 21 Sikring av konfidensialitet,
integritet og
tilgjengelighet
Den databehandlingsansvarlige og databehandler skal gjennom
planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet
med hensyn til konfidensialitet, integritet og tilgjengelighet ved
behandling av helseopplysninger. Dette gjelder blant annet å sørge
for tilgangsstyring, logging og etterfølgende kontroll.
I registre som er etablert med hjemmel i §§ 10 eller 11,
skal direkte personidentifiserende kjennetegn lagres kryptert.
For å oppnå tilfredsstillende informasjonssikkerhet skal
den databehandlingsansvarlige og databehandleren dokumentere informasjonssystemet
og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for
medarbeiderne hos den databehandlingsansvarlige og hos databehandleren.
Dokumentasjonen skal også være tilgjengelig for tilsynsmyndighetene.
En databehandlingsansvarlig som lar andre få tilgang til
helseopplysninger, for eksempel en databehandler eller andre som
utfører oppdrag i tilknytning til informasjonssystemet, skal påse
at disse oppfyller kravene i første, andre og tredje ledd.
Departementet kan i forskrift fastsette nærmere krav til
informasjonssikkerhet ved behandling av helseopplysninger, blant
annet om organisatoriske og tekniske tiltak.
§ 22 Internkontroll
Den databehandlingsansvarlige skal etablere og holde ved
like planlagte og systematiske tiltak som er nødvendige for å oppfylle
kravene i eller i medhold av denne loven.
Den databehandlingsansvarlige skal dokumentere tiltakene.
Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den
databehandlingsansvarlige og hos databehandleren. Dokumentasjonen
skal også være tilgjengelig for tilsynsmyndighetene.
Departementet kan i forskrift gi nærmere regler om internkontroll.
Kapittel 4 Informasjon, innsyn, retting, sletting og sperring
§ 23 Informasjon til allmennheten
om behandling av helseopplysninger
En databehandlingsansvarlig som behandler opplysninger
etter forskrift i medhold av §§ 8 til 11, skal av eget tiltak informere
allmennheten om hva slags behandling av helseopplysninger som foretas.
§ 24 Rett til informasjon og
innsyn
Rett til informasjon og innsyn følger av personopplysningsloven
§§ 18 flg.
Den registrerte har rett til innsyn i hvem som har hatt
tilgang til eller fått utlevert helseopplysninger som er knyttet
til den registrertes navn eller fødselsnummer, fra helseregistre
etter §§ 8 til 11. Departementet kan i særlige tilfeller gi den
databehandlingsansvarlige en tidsbegrenset dispensasjon fra plikten til
å gi innsyn etter dette leddet.
Når det er nødvendig for å vurdere innsyn kan den databehandlingsansvarlige
innhente personopplysninger fra Det sentrale folkeregisteret. Dette
gjelder uten hensyn til taushetsplikt.
Kongen kan i forskrift gi nærmere bestemmelser om retten
til innsyn i helseregistrene.
§ 25 Sletting eller sperring
av helseopplysninger
Den registrerte kan kreve at helseopplysninger som behandles
etter §§ 8 til 11 skal slettes eller sperres, dersom behandling
av opplysningene føles sterkt belastende for den registrerte og
det ikke finnes sterke allmenne hensyn som tilsier at opplysningene
behandles. Krav om sletting eller sperring av slike opplysninger
rettes til den databehandlingsansvarlige for opplysningene.
Datatilsynet kan, etter at Riksarkivaren er hørt, treffe
vedtak om at retten til sletting etter første ledd går foran reglene
i arkivloven §§ 9 og 18. Hvis dokumentet som inneholdt de slettede
opplysningene, gir et åpenbart misvisende bilde etter slettingen,
skal hele dokumentet slettes.
Kapittel 5 Tilsyn og sanksjoner
§ 26 Tilsynsmyndighetene
Datatilsynet fører tilsyn med at bestemmelsene i loven
blir fulgt og at feil eller mangler blir rettet, jf. personopplysningsloven
§ 42. Dette gjelder ikke for tilsynsoppgaver som påligger Statens
helsetilsyn eller Fylkesmannen etter helsetilsynsloven.
Tilsynsmyndighetene kan kreve de opplysninger som trengs
for at de kan gjennomføre sine oppgaver.
Tilsynsmyndighetene kan, som ledd i sin kontroll med at
lovens regler etterleves, kreve adgang til steder hvor det finnes
helseregistre, helseopplysninger som behandles elektronisk og hjelpemidler
for slik behandling av opplysninger. Tilsynsmyndighetene kan gjennomføre
de prøver eller kontroller som de finner nødvendig, og kreve bistand
fra personalet på stedet i den grad dette må til for å få utført
prøvene eller kontrollene.
Retten til å kreve opplysninger, eller tilgang til lokaler
og hjelpemidler i medhold av andre og tredje ledd, gjelder uten
hinder av taushetsplikt.
Tilsynsmyndighetene og andre som utfører tjeneste for tilsynsmyndighetene,
har taushetsplikt etter § 17. Taushetsplikten omfatter også opplysninger
om sikkerhetstiltak.
Avgjørelser som Datatilsynet fatter etter denne bestemmelsen
eller etter §§ 7, 25, 27, 28 eller 29, kan påklages til Personvernnemnda.
Kongen kan gi forskrift om unntak fra første til fjerde
ledd av hensyn til rikets sikkerhet. Kongen kan også gi forskrift
om dekning av utgiftene ved kontroll. Skyldige bidrag til dekning
av utgiftene er tvangsgrunnlag for utlegg.
§ 27 Adgang til å gi pålegg
Datatilsynet kan gi pålegg om at behandling av helseopplysninger
i strid med bestemmelser i eller i medhold av denne loven skal opphøre,
eller stille vilkår som må oppfylles for at behandlingen av helseopplysningene
skal være i samsvar med loven. Statens helsetilsyn kan gi pålegg
dersom det i tillegg må antas at behandlingen av helseopplysningene
kan ha skadelige følger for pasienter eller brukere.
Når Datatilsynet har gitt et pålegg, skal Statens helsetilsyn
informeres om dette. Når Statens helsetilsyn har gitt et pålegg,
skal Datatilsynet informeres om dette.
Pålegg etter første ledd skal inneholde en frist for å
rette seg etter pålegget.
§ 28 Tvangsmulkt
Ved pålegg etter § 27 kan Datatilsynet fastsette en tvangsmulkt
som løper for hver dag som går etter utløpet av den fristen som
er satt for oppfylling av pålegget, inntil pålegget er oppfylt.
Tvangsmulkten løper ikke før klagefristen er ute. Hvis
vedtaket påklages, løper ikke tvangsmulkt før klageinstansen har
bestemt det.
Datatilsynet kan frafalle påløpt tvangsmulkt.
§ 29 Overtredelsesgebyr
Datatilsynet kan pålegge den som har overtrådt denne loven
eller forskrifter i medhold av den, å betale et pengebeløp til statskassen
(overtredelsesgebyr) på inntil ti ganger grunnbeløpet i folketrygden. Fysiske
personer kan bare ilegges overtredelsesgebyr for forsettlige eller
uaktsomme overtredelser. Et foretak kan ikke ilegges overtredelsesgebyr
dersom overtredelsen skyldes forhold utenfor foretakets kontroll.
Ved vurderingen av om overtredelsesgebyr skal ilegges,
og ved utmålingen, skal det særlig legges vekt på
a) hvor alvorlig overtredelsen har krenket de
interesser loven verner,
b) graden av skyld, om overtrederen ved retningslinjer,
instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget
overtredelsen,
c) om overtredelsen er begått for å fremme overtrederens
interesser,
d) om overtrederen har hatt eller kunne ha oppnådd noen
fordel ved overtredelsen,
e) om det foreligger gjentakelse,
f) om andre reaksjoner som følge av overtredelsen blir ilagt
overtrederen eller noen som har handlet på vegne av denne, blant
annet om noen enkeltperson blir ilagt straff, og
g) overtrederens økonomiske evne.
Oppfyllelsesfristen er fire uker etter at vedtaket om overtredelsesgebyr
er endelig. Dersom et vedtak om overtredelsesgebyr bringes inn for
en domstol, kan den prøve alle sider av saken.
§ 30 Straff
Den som forsettlig eller grovt uaktsomt overtrer § 17 om
taushetsplikt eller § 18 om forbud mot urettmessig tilegnelse av
helseopplysninger, straffes med bøter eller fengsel i inntil tre
måneder.
Med bøter eller fengsel inntil ett år eller begge deler
straffes den som forsettlig eller grovt uaktsomt
a) behandler helseopplysninger uten nødvendig konsesjon
eller i strid med konsesjonsvilkår etter § 7,
b) behandler helseopplysninger i strid med § 21,
c) unnlater å informere den registrerte etter § 24, jf. personopplysningsloven
§§ 19 eller 20,
d) unnlater å gi opplysninger til tilsynsmyndighetene etter
§ 26, eller
e) unnlater å etterkomme pålegg eller overtrer vilkår fra
tilsynsmyndighetene etter § 27.
Ved særdeles skjerpende omstendigheter kan fengsel inntil
tre år idømmes. Ved avgjørelsen av om det foreligger særdeles skjerpende
omstendigheter skal det blant annet legges vekt på faren for stor
skade eller ulempe for den registrerte, den tilsiktede vinningen
ved overtredelsen, overtredelsens varighet og omfang, utvist skyld,
og om den databehandlingsansvarlige tidligere er straffet for å
ha overtrådt tilsvarende bestemmelser.
Medvirkning straffes på samme måte.
I forskrift som gis i medhold av loven, kan det fastsettes
at den som forsettlig eller grovt uaktsomt overtrer forskriften
skal straffes med bøter eller fengsel inntil ett år eller begge
deler.
§ 31 Erstatning
Den databehandlingsansvarlige skal erstatte skade som er
oppstått som følge av at helseopplysninger er behandlet i strid
med bestemmelser i eller i medhold av loven, med mindre det godtgjøres
at skaden ikke skyldes feil eller forsømmelse på den databehandlingsansvarliges
side.
Erstatningen skal svare til det økonomiske tapet som den
skadelidte er påført som følge av den ulovlige behandlingen av helseopplysningene.
Den databehandlingsansvarlige kan også pålegges å betale slik erstatning
for skade av ikke-økonomisk art (oppreisning) som synes rimelig.
Kapittel 6 Ikraftsetting m.m.
§ 32 Ikraftsetting
Loven trer i kraft fra den tid Kongen bestemmer. Fra samme
tid oppheves lov 18. mai 2001 nr. 24 om helseregistre og behandling
av helseopplysninger.
Kongen kan bestemme at de enkelte bestemmelsene i loven
skal tre i kraft til ulik tid.
§ 33 Videreføring av forskrifter
Forskrifter gitt i medhold av lov 18. mai 2001 nr. 24 om
helseregistre og behandling av helseopplysninger gjelder også etter
at loven her har trådt i kraft. Dette gjelder selv om forskriften
ikke har alle bestemmelser som kreves etter § 8 fjerde ledd.
§ 34 Endringer i andre lover
Fra den tid loven trer i kraft gjøres følgende endringer
i andre lover:
1) I lov 4. desember 1992 nr. 126 om arkiv skal
§ 9 bokstav c lyde:
kasserast. Dette forbodet går
framom føresegner om kassasjon i eller i medhald av andre lover.
Personregister eller delar av personregister kan likevel slettast
etter føresegnene i personopplysningslova, helseregisterlova og
etter føresegner i medhald av helseregisterlova §§ 8 til
12. Slik sletting kan først gjerast etter at det er innhenta
fråsegn frå Riksarkivaren.
2) I lov 5. august 1994 nr. 55 om vern mot smittsomme
sykdommer skal § 7-9 første ledd andre punktum lyde:
Nasjonalt folkehelseinstitutt
skal overvåke den nasjonale og delta i overvåkingen av den internasjonale
epidemiologiske situasjonen, utføre helseanalyser, drive
forskning på smittevernområdet og sikre nødvendig vaksineforsyning
og vaksineberedskap, herunder egen vaksineproduksjon.
3) I lov 2. juli 1999 nr. 64 om helsepersonell m.v. gjøres
følgende endringer:
§ 25 første ledd andre punktum oppheves.
§ 26 nytt andre ledd:
Ved samarbeid om behandlingsrettede helseregistre
etter pasientjournalloven § 9 kan slike opplysninger også gis til
ledelsen i samarbeidende virksomhet.
Nåverende andre og tredje ledd blir tredje og fjerde ledd.
§ 29 b skal lyde:
§ 29 b. Opplysninger til helseanalyser,
kvalitetssikring, administrasjon mv.
Departementet kan bestemme at helseopplysninger kan eller
skal gis til bruk for helseanalyser og kvalitetssikring,
administrasjon, planlegging eller styring av helse- og omsorgstjenesten,
og at det skal skje uten hensyn til taushetsplikt. Dette kan bare
skje dersom behandlingen av opplysningene er av vesentlig interesse
for samfunnet og hensynet til pasientens integritet og velferd er
ivaretatt. Graden av personidentifikasjon skal ikke være større
enn nødvendig for det aktuelle formålet. Kun i særskilte tilfeller
kan det gis tillatelse til bruk av direkte personidentifiserbare opplysninger
som for eksempel navn eller fødselsnummer. Reglene om taushetsplikt
gjelder tilsvarende for den som mottar opplysningene.
Departementet kan sette vilkår for bruken av opplysninger
etter paragrafen her.
§ 29 c skal lyde:
Med mindre pasienten motsetter seg det, kan taushetsbelagte
opplysninger etter særskilt anmodning gis til annet helsepersonell
som tidligere har ytt helsehjelp til pasienten i et konkret behandlingsforløp, for
kvalitetssikring av helsehjelpen eller egen læring. Behandlingen
av anmodningen kan automatiseres. Helsepersonell kan bare gis de
opplysninger som er nødvendige og relevante for formålet. I pasientens
journal skal det dokumenteres hvem opplysninger har blitt utlevert
til og hvilke opplysninger som har blitt utlevert, jf. § 40.
§ 45 første ledd andre punktum oppheves.
Nåværende første ledd tredje punktum blir første ledd
andre punktum.
4) I lov 20. juni 2008 nr. 44 om medisinsk og helsefaglig
forskning gjøres følgende endringer:
§ 25 femte ledd skal lyde:
Departementet kan i forskrift gi bestemmelser om opprettelse
og annen behandling av humant biologisk materiale i biobanker som
er tilknyttet helseregistre etter helseregisterloven §§ 8
til 11.
§ 33 andre ledd skal lyde:
Behandling av helseopplysninger fra helseregistre etter
helseregisterloven §§ 8 til 11 krever ikke tillatelser
etter første ledd, med mindre annet følger av forskriftene til registrene.
5) I lov 24. juni 2011 nr. 29 om folkehelsearbeid skal
§ 25 første ledd lyde:
Nasjonalt folkehelseinstitutt
skal overvåke utviklingen av folkehelsen, utarbeide oversikt over
befolkningens helsetilstand og faktorer som påvirker denne, samt utføre
helseanalyser og drive forskning på folkehelseområdet.