Presidenten: Etter ønske fra helse- og omsorgskomiteen vil presidenten foreslå at taletiden blir begrenset til 5 minutter til hver partigruppe og 5 minutter til medlem av regjeringen.
Videre vil presidenten foreslå at det innenfor den fordelte taletid blir gitt anledning til fem replikker med svar etter innlegg fra medlem av regjeringen, og at de som måtte tegne seg på talerlisten utover den fordelte taletid, får en taletid på inntil 3 minutter.
– Det anses vedtatt.
Tove Karoline Knutsen (A) [16:02:52]: (ordfører for saken): Denne proposisjonen som vi behandler i dag, foreslår endringer i det lovverket vi skal ha rundt helse- og omsorgstjenestene, slik at vi kan ta i bruk de muligheter dagens informasjonsteknologi gir for god kommunikasjon, samhandling og koordinering.
Folk i Norge er jo etter hvert svært fortrolig med å kommunisere og finne informasjon på nettet. Det betyr at helse- og omsorgsfeltet har et stort potensial for å utnytte moderne informasjonsverktøy på en god måte, til beste for pasienter og brukere.
Arbeiderpartiet støtter innretninga på denne proposisjonen og synes det er bra at regjeringa så tydelig understreker at de foreliggende forslagene er en oppfølging av flere meldinger fra 2012, som fikk tilslutning fra Stortinget, bl.a. Meld. St. 10 for 2012–2013, God kvalitet – trygge tjenester, Meld. St. 9 for 2012–2013, Én innbygger – én journal, og Meld. St. 11 for 2012–2013, Personvern – utsikter og utfordringar.
Jeg er glad for at regjeringa viderefører det arbeidet som den rød-grønne regjeringa gjorde på feltet. Det er en styrke at det kan være en tilnærmet felles forståelse av behovet for i enda sterkere grad å ta i bruk IKT, både i pasientbehandling, i kommunikasjon og i dokumentasjon i helse- og omsorgstjenestene og for å sikre pasientopplysningene fra uautorisert innsyn og bruk.
Den enigheten vi gledeligvis ser i dag, har jo ikke alltid vært der mellom de nåværende regjeringspartier og opposisjonen – for å si det mildt. Det er ikke fritt for at jeg av og til under lesing av det foreliggende dokument ble slått av en viss munterhet med tanke på noen av de utsagnene nåværende helseminister kom med for et par–tre år siden i de mange debattene han og jeg hadde om dagens tema. Men for den gemyttlige stemnings skyld skal jeg ikke rippe opp i det forgangne; jeg skal tvert imot gjøre som jomfru Maria: Jeg skal gjemme ordene i mitt hjerte – uten at jeg dermed garanterer at de ikke blir tatt fram igjen.
Et av de viktigste tiltakene i proposisjonen er at lovverket åpner for deling av pasientjournalopplysninger på tvers av virksomheter. Det at helseopplysninger følger pasienten dit pasienten behandles, er viktig for at den enkelte skal få så god og riktig hjelp som mulig. Det er ulike syn på om det her skal foreligge et klart uttrykt samtykke fra pasienten før slik deling kan finne sted, eller om det er mer formålstjenlig med en rett for pasienten til å sperre tilgang til spesifikke opplysninger for videre bruk. Det er forståelig at mange ser et klart samtykke som et mer tjenlig verktøy. Vi tror imidlertid at en godt informert rett til å sperre journalopplysninger i like stor grad ivaretar pasientens råderett over sine helsedata. Dessuten vil et aktivt samtykke kunne medføre unødig tidsbruk og til og med forsinkelser i pasientbehandlinga, når alle journaler før bruk må sjekkes mot et forventet aktivt samtykke.
En reservasjonsrett for helseopplysninger som fungerer godt, betinger at den enkelte pasient/bruker får god informasjon om hva en slik tilgangsreservasjon innebærer, hva slags opplysninger man kan reservere for innsyn, og hvordan helsevesenet håndterer og sikrer slike opplysninger.
Arbeiderpartiet er bekymret for at Prop. 72 L ikke med ett ord omtaler hva slags forpliktelser private aktører skal ha i behandlinga av pasientopplysninger. Det er en bekymring som i merknads form også er uttrykt av Senterpartiet, Sosialistisk Venstreparti og Venstre. Spesielt såkalt fritt behandlingsvalg vil kunne vanskeliggjøre god og sikker informasjonsflyt mellom offentlig helsesektor og de private tilbyderne, når det ikke skal måtte foreligge noen spesifikk avtale om samarbeid.
Jeg har for øvrig notert meg at temaet er adressert i det nylig framlagte høringsnotatet til «Fritt behandlingsvalg», uten at det har gitt meg grunn til mindre bekymring. Det er flere uklarheter som bringes til torgs i det notatet. Det regner jeg med at vi får anledning til å komme tilbake til.
Jeg vil så ta opp det forslaget som er formulert i merknaden, og som vi fremmer sammen med Senterpartiet, SV og Venstre.
Presidenten: Representanten Tove Karoline Knutsen har tatt opp det forslaget hun refererte til.
Sveinung Stensland (H) [16:07:55]: Jeg skal ikke spekulere på hvilke andre likhetstrekk representanten Knutsen har med jomfru Maria, men jeg vil bruke anledningen her til å berømme hennes innsats som saksordfører i denne saken. Det har vært en fornøyelse å samarbeide i komiteen, selv om vi ikke ble enige om alt.
Denne saken er viktig for videreutviklingen av Norge, og for å kunne gi best mulig helsehjelp er helsepersonell avhengig av informasjon om pasienten. Manglende eller feilaktig informasjon kan medføre feilbehandling, og for å dokumentere hva som er gjort, og på hvilket grunnlag beslutningen er fattet, må informasjonen registreres – dette primært av hensyn til pasienten og den videre behandlingen.
Dette forslaget innebærer at dagens helseregisterlov splittes opp i to nye lover: pasientjournalloven og helseregisterloven. På grunn av den faglige og organisatoriske utviklingen i helse- og omsorgstjenesten fungerer ikke lenger alle deler av helseregisterloven etter intensjonen. Siden 2001 har det skjedd store endringer i de tekniske mulighetene og i forventningene befolkningen har til sømløs utveksling av informasjon og tilgang til egne helseopplysninger.
Høyre mener at flere av bestemmelsene i dagens lov er til hinder for et velfungerende pasientforløp. Tidligere ble en større del av helsehjelpen ytt innenfor én virksomhet. Det har imidlertid skjedd store endringer i pasientforløpet. Hver person har i dag sine helseopplysninger spredd mellom ulike systemer i ulike virksomheter. Økt spesialisering og samhandling forutsetter at flere virksomheter er løpende involvert i behandlingen av samme pasient.
Grunnleggende krav til pasientsikkerhet forutsetter en større grad av sikker informasjonsdeling mellom de involverte virksomhetene. Endringene i loven legger til rette for at helsepersonell som yter helsehjelp, skal kunne få relevante og nødvendige opplysninger på en rask og effektiv måte, uavhengig av hvor pasienten har fått helsehjelp tidligere. Kort og godt, i stedet for at journaler transporteres med taxi, faks og rørpost, legger denne lovendringen opp til elektronisk samhandling i helsevesenet. Vi mener elektronisk informasjonsutveksling ikke skal gjøre det nødvendig med særskilt krav til samtykke. Kravet til samtykke bør være det samme uavhengig av om det gjelder utveksling av papirbasert informasjon, eller om opplysningene gjøres elektronisk tilgjengelig.
Begge lovforslagene er endret på flere punkter etter høringen. En del av debatten har vært basert på høringsforslaget og ikke på det som blir fremmet i lovproposisjonen.
Den nye pasientjournalloven legger bedre til rette for informasjonsdeling mellom helsepersonell enn dagens helseregisterlov. Det lovfestes at pasienten har rett til å motsette seg at hele eller deler av journalen gjøres tilgjengelig for annet helsepersonell. Dette kan gjøres både gjennom teknisk sperring og ved muntlig meddelelse til pasientbehandler. Vi er opptatt av at rettighetene skal være godt opplyst for pasienten, og det er flere merknader rundt dette i innstillingen.
Personvern er sikret gjennom allmenne regler om taushetsplikt. Snoking er uansett forbudt. Norske pasienter kan med denne loven i hånd nekte at hele eller deler av deres journal gjøres tilgjengelig for annet helsepersonell. Det er viktig å presisere at mulighetene loven gir, ikke skal kunne tas i bruk før nødvendige sikkerhetsløsninger er utviklet.
Loven går i dette tilfellet foran teknologien i stedet for å løpe etter. De helseaktørene som vil ta i bruk mulighetene loven gir, må først sørge for å være på rett nivå med tanke på datasikkerhet og teknologi. Tilgjengelighet og sikkerhet for journalopplysninger må ivaretas uavhengig av hvor pasienten har fått helsehjelp, og sektorens organisering. Dette må skje innen rammen av taushetsplikten. Bruk av opplysninger skal fortsatt reguleres av pasientenes behov gjennom hele behandlingsforløpet.
Disse lovene blir kart og kompass i den videre utviklingen av e-helse i Norge. Vi mener at dagens lovverk hindrer utviklingen av konseptet én pasient–én journal, en viktig brikke som må på plass for at vi skal nå målene vi har satt oss for et fremtidsrettet helsevesen på pasientenes premisser.
Loven stadfester at deling av pasientopplysninger bare skal skje når det er nødvendig og relevant for pasientbehandling og andre lovhjemlede formål. Urettmessig innsyn i og deling av pasientopplysninger er ulovlig og kan medføre straffeansvar. Dette følger også av helsepersonelloven. Pasienter og brukere skal i størst mulig grad ha kontroll over helseopplysninger som beskriver dem. Pasienten skal slippe å henvende seg flere steder enn nødvendig for å få et fullstendig bilde av egne data.
Tillit mellom pasient og behandlende helsepersonell er en forutsetning for å yte helsehjelp av god kvalitet og avgjørende for om pasienten gir fra seg tilstrekkelig med opplysninger for å motta riktig og nødvendig helsehjelp. I Den hippokratiske ed står det bl.a.:
«Alt som kommer til min viten under utøvingen av mitt yrke eller i daglig samkvem med mennesker, som ikke burde bli kjent for andre, vil jeg holde hemmelig og aldri avsløre.»
Helsetjenestens taushetsplikt er et av de eldste og viktigste tiltak for å ivareta denne tilliten.
Harald T. Nesvik (FrP) [16:13:42]: Saken som vi har til behandling i dag, er en viktig sak, og det er viktig at vi som storting tar inn over oss at saken også reiser en del problemstillinger, særlig knyttet til det personvernmessige.
Representanten Stensland viste i sitt innlegg her til hva som står i Den hippokratiske ed om taushetsplikten. Likevel vet vi at snoking i pasientjournaler og, jeg holdt på å si, de lovbrudd som skjer i de sammenhenger, er noe man ikke har kontroll på. Det er viktig at man får kontroll på den virksomheten. Det er forbudt, og det skal fortsatt være forbudt.
Pasientjournalloven er et svært viktig skritt videre i det sømløse pasientforløpet for at den enkelte skal få riktig helsehjelp til riktig tid og på riktig måte. Derfor er det viktig at man kan utveksle nødvendige helseopplysninger også på tvers av virksomheter, så lenge pasienten har muligheten til å kunne reservere seg, selvfølgelig. Da er det også viktig at man sørger for at pasienten får de nødvendige opplysninger om hvilke muligheter man har til å reservere seg.
Jeg legger ikke skjul på at jeg har veldig sans for at hovedregelen skal være et aktivt samtykke. I alle tilfeller der det er praktisk mulig å få til, er det det som må være hovedregelen i det vi holder på med, både innenfor helseregisterloven og innenfor pasientjournalloven. Det fanger også loven opp i seg, at det er det som er hovedregelen, mens i en del sammenhenger er det slik at man har en mulighet til å reservere seg.
Jeg vil særlig rette oppmerksomheten mot bl.a. helseregisterloven når det gjelder hvorfor det er viktig at vi har aktivt samtykke som hovedregel. Det er særlig knyttet til forskning. Når det gjelder forskning og de som skal bruke den type informasjon som blir opprettet i våre helseregister, er vi nødt til å sikre oss at den type informasjon ikke kommer på avveie. Det gjelder i hele kjeden. Det gjelder ikke bare blant helsepersonellet, for blant helsepersonellet har vi mulighet til å kunne iverksette en del reaksjoner dersom man bryter loven, men det gjelder overfor dem som skal forske. Dersom man skal kunne ha tilgang til personopplysninger i forskningen, og kan gå tilbake og personidentifisere disse dataene, må loggføring og sporbarhet gjelde i alle ledd som har tilgang til denne informasjonen.
Når det gjelder helseregister og samtykke til reservasjon, dreier denne saken seg ikke om du skal ha en lås på døra og at det skal være vanskelig å gå inn. Nei, det er hvor mange låser du har når det gjelder det sikkerhetsmessige, som på mange måter er debatten her. Har vi den tryggheten som skal til for å kunne ha personidentifiserende opplysninger og kunne forske på det? Der er det viktig det som helseministeren har uttalt tidligere, og som også har vært sagt i denne salen, at loven trer ikke i kraft for virksomhetene før man har et sikkert system på plass. Verktøyet må ligge der før man kan iverksette disse tingene, nettopp av hensyn til personvernet og pasientens interesser. Men det er også i pasientens interesse at man kan dele informasjon på tvers av virksomheter, for det dreier seg om at man skal få den rette helsehjelpen. Det må vi også ta inn over oss.
En del har stilt spørsmål her, og det var vel representanten Tove Karoline Knutsen som viste til problemstillingen med private helseinstitusjoner. Men når man vedtar en lov, gjelder ikke den bare for offentlig sektor. Pasientjournalloven vil også gjelde private virksomheter – det samme vil helseregisterloven. Det med loggføring og journalføring etc., alle disse tingene vil man måtte følge i enhver virksomhet. Men jeg vil be om at helseministeren i tiden som kommer har særlig fokus på at man er sikker på at verktøyet ligger der, at sporbarheten og loggføringen ligger der, og at vi får iverksatt enda strengere tiltak mot snoking i pasientjournaler. Det er særlig viktig når vi utvider omfanget av journalen på tvers av flere virksomheter. Da må disse tingene ligge i bunnen.
Olaug V. Bollestad (KrF) [16:18:58]: Å få en ny pasientjournallov og en ny helseregisterlov som følger med i den teknologiske verden og utviklingen, er sentralt og viktig. For ikke så mange år siden skaffet jeg meg en del års erfaring fra et akuttmottak, hvor det er viktig å få informasjon og få tak i livsviktige opplysninger for å kunne hjelpe personer, uansett hvor de kommer fra i landet, og når på døgnet de kommer inn. Det er ikke så mange år siden vi hadde papirjournaler som utfordret oss med hensyn til å ha en samlet journal. Å få tak i journaler og finne de rette papirene som skulle høre til, var i mange områder vanskelig å få til. Det var til og med slik at hadde det vært to tette sykehusinnleggelser og epikrisen ikke var skrevet, kunne du ha bare halve journalen foran deg når du hadde pasienter som var svært alvorlig syke.
Vi har heldigvis kommet et skritt lenger. Vi har fått ny teknologi, som gjør at vi til enhver tid kan ha tilgang til de riktige opplysningene. Derfor er det viktig å sikre at disse opplysningene, som er sårbare opplysninger, ikke kommer på avveier, som de kunne gjøre da vi hadde papirjournalen i sin tid og vi ikke kunne se hvem som snoket i journalen. Vi må sikre at disse opplysningene ikke kommer på avveier, og at pasienten til enhver tid skal vite hvem som er inne på journalen, og hvem som har rett til å gå inn på journalen, og vet hvem som vet hva om en selv. Kristelig Folkeparti er glad for at det forbedres, sånn at pasientene nå får vite hvem som har vært inne eller hvem som skal inn i journalen. Ingen skal inn i journalen som ikke har noe der å gjøre.
Formålet med pasientjournalloven er at vi skal ha helsehjelp av god kvalitet, og at vi sikrer personvernet og pasientsikkerheten, samtidig som vi skal ta i bruk ny teknologi som sikrer at vi får tak i de opplysningene vi trenger til enhver tid for å gi god helsehjelp. Den nye pasientjournalloven skal sikre at vi får tak i nødvendige og relevante opplysninger hele veien for å gi pasienten den beste hjelpen.
Så er det viktig å legge til rette for at det kan være informasjonsdeling mellom helsepersonell for nettopp å kunne gi rett hjelp til rett tid. Hvis vi ikke har den muligheten, kan det faktisk ende med at vi ikke klarer å gi rett hjelp til rett tid. Loven må gjelde offentlig sektor som privat sektor.
Det er også viktig at vi får på plass en god helseregisterlov, sånn at vi sikrer kvaliteten på det som ligger der, hvem som har tilgang, og hva forskningen legger til grunn for den behandlingen de skal legge til rette for på sikt.
Derfor er Kristelig Folkeparti glad for den loven som nå kommer i to lovhjemler.
Kjersti Toppe (Sp) [16:22:35]: Riktig lagring og riktig bruk av sentrale helseopplysningar er grunnleggjande viktig for at helsevesenet vårt skal fungera, at vi skal læra, og at vi skal kunna forbetra oss. Senterpartiet støttar i hovudsak regjeringas forslag om ny pasientjournallov og ny helseregisterlov. Saka vart send ut på høyring av den raud-grøne regjeringa, og Senterpartiet meiner at høyringsrunden har vore nyttig. Det er tatt omsyn til innspel, og fleire gode presiseringar er gjorde.
Loven fastset at samtykke skal vera hovudregelen for alle helseregister. Senterpartiet vil støtta at det leggjast til rette for etablering av reservasjonsrett for registrering i helseregisteret når det ut frå registerets formål ikkje kan krevjast samtykke. Etablering av nye, store helseregister utan samtykke skal avgjerast av Stortinget.
Senterpartiet har etter nøye vurdering og behandling av innspel kome fram til at vi ikkje kan støtta hovudregelen som er foreslått frå regjeringa om at behandling av helseopplysningar mellom verksemder i ny pasientjournallov skal reduserast til passivt samtykke i form av ein rett til å motsetja seg behandling av opplysningar. På dette punktet er vi einige med Venstre og SV i at dette er vesentlege inngrep i retten til å verna om eigne sensitive opplysningar, og at rett til å motsetja seg er noko heilt anna enn eit uttrykkeleg samtykke.
Senterpartiet meiner at deling av pasientopplysningar på tvers av verksemder som hovudregel må vera basert på uttrykkeleg samtykke. Unntak frå hovudregelen kan vera aktuelt i akutte situasjonar. Vi meiner også at det må kunna vera mogleg å innhenta eit slikt aktivt samtykke ein gong.
Eg er opptatt av at mykje betre tilgang til pasientopplysningar på tvers av tenestestad ikkje må oppfattast som ein trylleformel for betre og sikrare pasientinformasjonsflyt. Det er presisert i saka frå regjeringa at strukturen på journalane i dag ikkje er god nok til at andre behandlarar lett kan finna informasjon som dei leiter etter. Det vil ta tid å få på plass gode journalsystem i alle verksemder. At den innleggjande lege eller utskrivande lege lagar gode, poengterte notat med komprimerte fakta og aktuell problemstilling, vil alltid vera viktig og vil ikkje kunna erstattast av ein generell tilgang til pasientens journal. Tilgang til pasientjournalar vil vera for å innhenta ekstra opplysningar som trengst i behandlingsforløpet. Slik sett hastar det kanskje endå meir med å få på plass rutinar for gode tilvisingar og epikrise.
Deling av helseopplysningar i pasientjournalar skal berre skje når dette er nødvendig og relevant. Det er viktig. Det slår loven òg fast. Helseopplysningar skal berre vera tilgjengelege for helsepersonell med tenesteleg behov. Det er òg viktig å presisera.
Behandling av helseopplysningar skal vera i samsvar med strenge krav til teieplikt og personvern. Både regelverk og teknologi skal sørgja for at personlege helseopplysningar ikkje vert gjenstand for uautorisert bruk. Urettmessig innsyn i og deling av pasientopplysningar er ulovleg og kan medføra straffansvar. Alt dette er slått fast i loven, men her tolest ikkje slurv, her tolest ikkje ein einaste glipp. Skal helsevesenet få dela sensitive opplysningar om folk, er det også eit stort ansvar. Det er tilliten til helsevesenet som vert skadelidande om det som står i loven, ikkje vert følgt opp.
I dag er det ikkje gode nok system på plass, men det er tatt eit atterhald i loven om at desse må vera på plass før ordninga vert innført. Personvernomsynet må varetakast. Det er då vesentleg med god overvaking og tilgangskontroll når det gjeld innsynsrett og sporing av innlogging.
Helsevesenet vil ikkje fungera godt utan pasientens tillit. Både pasient og behandlar må ha tillit òg til journalen. At enkelte helseopplysningar må kunna skjermast og sperrast for registrering, altså at pasienten har rett til å motsetja seg registrering av opplysningar, er òg grunnleggjande for denne tilliten. Senterpartiet er einig med SV og Venstre når vi påpeiker at denne retten er lite kjend i dag, og det er behov for ein klar heimel for retten til å skjerma eller sperra journalopplysningar.
Mykje har skjedd med pasientjournalar på 50 år. For 50 år sidan var det vel ingen pasient som las kva som sto i eins eigen journal. Eg må fortelja ei historie frå eg sjølv var i turnus, då eg las ein pasientjournal frå ca. 1960-talet. Distriktslegen hadde skrive følgjande om pasienten: Pasienten er ei gardkjerring, seksbarnsmor, og ser ditto ut! Eg trur kanskje ikkje legar skriv sånt i dag, og det er ei veldig forbetring.
Til slutt vil eg få fremja forslaga nr. 2 og 3 frå Senterpartiet, Venstre og SV.
Presidenten: Representanten Kjersti Toppe har tatt opp de forslagene hun viste til.
Ketil Kjenseth (V) [16:27:44]: Venstre er tilhenger av at helsepersonell skal få relevante og nødvendige opplysninger om sine pasienter på en rask og effektiv måte. Vi er teknologioptimister og mener det er viktig å ta i bruk ny teknologi. Vi vil gjerne at fastleger, sykehus og andre kommuniserer bedre elektronisk med hverandre, og vi vil gjerne ha bedre helsetjenester, til beste for pasientene. Men vi er også opptatt av å ivareta tilliten til helsevesenet og gi den enkelte trygghet for at ikke detaljer rundt et opprivende samlivsbrudd, et vanskelig abortinngrep, medisinering i forbindelse med en depresjon eller en overgrepshistorie kommer på avveier.
Som pasient skjønner vi at det noen ganger er nødvendig for helsepersonell å få innsikt i hele sykdomshistorikken. Vi forventer også at ulike deler av helsevesenet snakker sammen. Vi skjønner at det er nødvendig å dele opplysninger elektronisk. Men vi vil bli spurt. Hva sier foreldrene når det avsløres at det er tatt vevsprøver fra deres døde spedbarn til bruk i forskning på krybbedød, uten at det ble innhentet samtykke fra foreldrene? Jo, de sier: Vi skulle blitt spurt. Og de sier: Vi ville sagt ja.
Når Venstre foreslår å sende proposisjonen tilbake, er det først og fremst fordi en i forslag til ny pasientjournallov åpner for deling av journalopplysninger mellom virksomheter uten at det innhentes uttrykkelig samtykke. Det anføres at delingen er samtykkebasert, og at pasientene gir sitt samtykke når de oppsøker helsehjelp. Hvor mange tror vi, helt ærlig, vil være klar over at man ved å oppsøke legevakten i en akuttsituasjon eller ved å konsultere psykolog indirekte samtykker til at helsepersonell i andre virksomheter kan få tilgang til de fortrolige opplysninger som er gitt i enhver kontakt med alle deler av helsevesenet i fortid og i framtid?
Så anføres det at man har rett til å motsette seg deling, som om det var likeverdig med et uttrykkelig samtykke. En rett til å motsette seg innebærer at man må foreta seg noe aktivt – man må rent faktisk motsette seg deling. Det forutsetter for det første at man vet at opplysningene kan deles, og for det andre at man vet at man kan motsette seg deling. Når vil man bli informert om at man har rett til å motsette seg deling? Er det i skranken på legevakten mens blodet fosser? Eller er det psykologen som i første møte med ny pasient vil starte den fortrolige samtalen med en orientering om at det man sier, vil kunne bli videreformidlet til et ukjent antall helsepersonell over hele landet?
Ved krav om uttrykkelig samtykke vil man automatisk bli informert om at journalopplysningene vil kunne deles, som ledd i begrunnelsen for hvorfor det innhentes samtykke. Først da vil man reelt sett være i stand til å ta stilling til om dette er noe en ønsker, og bare da kan man selv ha en viss kontroll over informasjonsflyten. Et passivt samtykke avlaster det offentlige for et stort informasjonsansvar, noe som Venstre er svært skeptisk til.
Det framgår av lovproposisjonen at personvernet er ivaretatt, og Venstre er glad for at personvern er tatt inn i formålsbestemmelsen. Kan det likevel tenkes at personvernet kunne blitt ivaretatt på en enda bedre måte enn det som er tilfellet i forslagene som er lagt fram?
Andalucía i Spania har med sine åtte millioner innbyggere en IT-infrastruktur for helsetjenesten som vi bare kan drømme om her til lands. Alle sykehus og offentlige legesentre har samme løsning og kan kommunisere elektronisk med hverandre uten hindringer. Det betyr at pasientinformasjonen faktisk følger pasienten, slik at alle ledd i helsetjenesten har tilgang til den samme informasjonen når de er i kontakt med pasienten. Dette gjelder også apotekene som leverer ut pasientens legemidler og gir råd om bruken. I Andalucía har de løst dette ved at alle innbyggere har et pasientkort for sikker identifikasjon. Det ligger ingen informasjon i kortet utover at det identifiserer pasienten. For at helsepersonell skal få tilgang til pasientdata, må de som hovedregel ha dette pasientkortet. Da har pasienten selv full kontroll over hvem som får tilgang til deres informasjon, og de kan gi tilgang til akkurat det helsepersonellet de selv ønsker. Ingen kan mistenkes for urettmessig å snoke i sensitive persondata, og alle har tilgang til nok informasjon til å gjøre en best mulig jobb for pasienten.
Det er mulig å ivareta hensynet til effektiv kommunikasjon og samtidig la den enkelte selv beholde kontrollen over egne sensitive opplysninger. En av utfordringene ved at det nå åpnes for deling på tvers av virksomheter, er at journalene ikke er strukturerte. Journaler føres på ulikt vis og inneholder i mange tilfeller omfattende mengder informasjon. Det vil derfor være en krevende prosess å lete seg gjennom en lang journal for å finne relevant informasjon. Da får man en unødvendig og omfattende eksponering av de mange sensitive opplysninger en journal kan inneholde. Det er behov for å gjennomgå både beskrivelser av diagnoser og metoder for loggføring. Venstre foreslår derfor å oppnevne en LEAN-kommisjon som kan gjennomgå dagens journalpraksis og opplæringsbehovet blant helsepersonell, for å kunne etablere en felles standard for en digital journal. Det gjelder uavhengig av hvilke krav man stiller til samtykke.
Så vil jeg til slutt si noe om forslaget til ny helseregisterlov. Venstre mener det er fornuftig med en todeling av gjeldende lov for å tydeliggjøre forskjellen mellom bruk av journalopplysninger som ledd i behandling og til sekundære formål som ikke direkte kommer den berørte pasienten til gode. Helseregistrene er viktige i forbindelse med forskning, utarbeiding av statistikk, ved analyser, planlegging, styring og beredskap. Vi har mange gode registre, og slik skal det fortsatt være. Venstre er imidlertid kritisk til at en i forslaget til ny helseregisterlov legger opp til at nye registre kan opprettes ved forskrift.
Jeg vil til slutt fremme de forslag som Venstre alene eller sammen med andre går inn for.
Presidenten: Representanten Ketil Kjenseth har tatt opp de forslagene han refererte til.
Audun Lysbakken (SV) [16:33:22]: Det er i utgangspunktet en svært positiv sak vi behandler i dag. Vi har muligheten gjennom ny teknologi til å skape en tryggere, sikrere og mer effektiv deling av viktig og nødvendig informasjon i helsevesenet vårt, og vi har muligheten til i en tid der pasientforløpet er annerledes enn før og ofte finner sted i ulike virksomheter i helsevesenet, å sørge for at informasjonen følger pasientene på en sikrere måte enn før. Likevel er det ikke til å komme bort fra at denne debatten selvfølgelig mye blir handlende om det vi er uenige om, som er graden av kontroll den enkelte innbygger skal ha over sine helseopplysninger.
I SV er vi svært kritiske til at sensitive opplysninger om vår helsetilstand og våre liv skal kunne deles i helsevesenet uten hver enkelt innbyggers aktive samtykke. Det handler om å ta vare på noen grunnleggende prinsipper i vårt helsevesen og i vårt samfunn, og om hvordan vi behandler konfidensielle og taushetspliktbelagte opplysninger. Det blir særlig viktig å ha en sånn diskusjon når mer og mer av disse opplysningene finnes i elektroniske journaler som det er lett å dele, men som dessverre også lett havner på avveie.
Vårt syn er at det er mulig å videreføre dagens krav til aktivt samtykke i ny pasientjournallov på en effektiv og ubyråkratisk måte. Vi er sterkt bekymret for at det å snu hovedregelen fra et aktivt samtykke til et passivt samtykke, eller en reservasjonsrett, som jo er populært i norsk politikk om dagen, er en rettighet som for veldig mange vil forbli en papirrettighet. Vi vet at allerede i dag sliter vi i helsevesenet vårt med at mange rettigheter som folk har på papiret, er rettigheter som ikke er kjent for pasientene i praksis. Og terskelen for å reservere seg vil sannsynligvis være høyere enn for ikke å gi et aktivt samtykke. Så vi står sammen med Venstre og Senterpartiet om at kravet til informert samtykke i dagens lov skal videreføres i den nye loven.
Legeforeningen ga en god illustrasjon på betydningen av det i høringene som komiteen hadde, der de viste til at dagens adgang til å sperre opplysninger er lite brukt fordi terskelen for brukerne er høy og folks kjennskap til regelen er dårlig. Derfor ønsker vi oss også en klar hjemmel for adgangen til å sperre sånne opplysninger i den nye loven.
Jeg tror at aktivt samtykke er noe vi som folkets tillitsvalgte ikke skal være så redde for. Aktivt samtykke bygger tillit, det legger til rette for en sunn prosess, og det kan være positivt for helsevesenet, som må ha en kritisk gjennomgang med seg selv om hvordan man behandler sensitive personopplysninger. Det kan være positivt for pasientene, som gjennom et aktivt samtykke bevisstgjøres rundt hvor mye viktig informasjon om oss helsevesenet sitter på, og det er ikke minst viktig for samfunnet fordi vårt samfunn trenger en stadig bevisstgjøring rundt de vanskelige spørsmålene om personvern.
De opplysningene vi snakker om her, er ikke hvilke som helst opplysninger. Det er klart at vi alle er opptatt av at helsevesenet på en enklest mulig måte skal ha tilgang til de opplysninger som er nødvendige for å gi oss nødvendig behandling. Men i disse journalene står det mye om oss, om livene våre og om våre utfordringer og problemer som kan innebære en betydelig belastning for den enkelte om det kommer på avveie.
Jeg synes at denne saken belyser noe som dessverre er en trend i Stortinget, og det er at Datatilsynet kommer med svært klare råd til oss som Stortinget ikke følger, og at personvernhensyn igjen og igjen kommer bak i rekken når viktige hensyn skal veies mot hverandre. Det vi ser, er en litt uvanlig allianse av Venstre på borgerlig side og oss og Senterpartiet på rød-grønn side, men det er dessverre en vanlig allianse i personvernspørsmål. Vi trives veldig godt med Venstre der. Problemet er at personvernpartiene ser ut til å være i kronisk mindretall i denne sal.
Statsråd Bent Høie [16:38:43]: Pasientens beste – med bedre kvalitet i helsehjelpen og bedre pasientsikkerhet – er målet for alt vi gjør i helsesektoren. For å nå målet er det helt nødvendig å utnytte mulighetene for effektiv og sikker registrering og deling av pasientinformasjon som moderne IKT gir.
Regjeringens forslag til ny pasientjournallov og ny helseregisterlov vil åpne for at nye, bedre og sikrere løsninger utvikles og kan tas i bruk. En følge av økt spesialisering og samhandling er at flere virksomheter er løpende involvert i behandlingen av én og samme pasient. Dette har skapt nye og større behov for å dele pasientopplysninger som dagens lovverk ikke tar høyde for.
For dårlig informasjonsdeling i helsetjenestene har i lang tid ført til for dårlig pasientbehandling. Sømløs informasjonsutveksling mellom helsepersonell er en forutsetning for å lykkes med reformarbeidet som denne regjeringen har satt i gang på flere områder.
Pasientjournalloven vil legge til rette for at helsepersonell har tilgang på relevant og nødvendig informasjon når de trenger det – for å gi pasienten best mulig helsehjelp. Journalen skal knyttes til pasienten, ikke til den virksomheten der pasienten tidligere har fått helsehjelp.
De færreste ønsker å dele alt med alle. Vi vil ikke at uvedkommende skal ha tilgang til helseopplysninger om oss selv. Men vi får ikke et godt personvern ved å gjøre det vanskelig å dele informasjon mellom personer som trenger det, for å gi best mulig helsehjelp. Vi foreslår ikke at flere pasientopplysninger skal kunne deles. Det som er nytt, er måten opplysningene kan deles på. Dersom et sykehus eller en fastlege har moderne elektroniske pasientjournaler med høy sikkerhet ved deling av opplysninger, kan de velge å gi helsepersonell direkte tilgang til opplysninger som er nødvendige for å gi pasienten helsehjelp på et annet sted.
Bare de som trenger det, skal få se og bruke opplysningene, og bare i forbindelse med at pasienten har oppsøkt helsehjelp, eller for å administrere slik hjelp. Pasienten skal, som i dag, ha rett til å se hvem som har sett opplysningene, og til å motsette seg at de deles med andre behandlere. Selvfølgelig gjelder taushetsplikten.
Pasientjournalloven vil være ett av mange skritt på veien mot regjeringens visjon om «én innbygger – én journal». Her har vi flere parallelle prosesser, bl.a. om standardisering, strukturering og utvikling av nye og bedre journalsystemer. Når vi har utviklet systemene og vurdert ulike løsninger grundig, vil vi legge fram et nytt forslag om én nasjonal journalløsning som samler alle pasientens helseopplysninger.
Vi trenger helsedata for å behandle hver enkelt pasient, men også for å få mer kunnskap om årsaker og forekomst av sykdommer, hvordan de utredes og behandles, og hva slags resultater ulike behandlingsmetoder kan gi.
Den nye helseregisterloven vil gi enklere og mer effektiv tilgang til og bruk av helsedata for å få den type kunnskap. Loven åpner for å etablere helseregistre der den enkelte kan motsette seg at det står opplysninger om dem i registeret. Da vil vi kunne samle nyttig kunnskap, samtidig som den enkeltes selvbestemmelsesrett respekteres. Men den type registre kan bare etableres dersom registeret er viktig og det ikke er mulig å basere registeret på at den enkelte samtykker.
Representanten Tove Karoline Knutsen refererte til en del av mine synspunkter i denne type spørsmål for en del år tilbake. Det er helt riktig at i denne type spørsmål har både jeg og Høyre beveget oss. Men i forbindelse med Stortingets behandling av stortingsmeldingen Én innbygger – én journal og i forbindelse med saken om kjernejournal så en at Stortinget hadde en annen holdning til denne type spørsmål enn det en hadde i stortingsperioden før. Det er i dag grunn til å takke tidligere helseminister Anne-Grete Strøm-Erichsen for å ha igangsatt et viktig reformarbeid på dette området.
Den nye pasientjournalloven og helseregisterloven vil åpne for nye og sikrere løsninger, sånn at den enkelte pasient får bedre helsehjelp, og for å utvikle helsetjenesten til beste for pasienten.
Så er det viktig at vi tar personverndiskusjonen fra papirsamfunnet til det digitale samfunnet og ser de mulighetene for styrket personvern som økt, ny digitalisering innebærer.
Presidenten: Det blir replikkordskifte.
Tove Karoline Knutsen (A) [16:44:00]: Det er bra med erkjennelser – det trenger vi alle å komme med fra tid til annen.
Til tross for enighet om det meste: Det er eiendommelig at regjeringa ikke sier ett ord om hvordan en omfattende utrulling av private helsetilbud skal kunne forpliktes i en felles IKT-plattform.
Høyre og Fremskrittspartiet sier i denne merknaden til proposisjonen at det skal utredes i forbindelse med fritt behandlingsvalg. Jeg leste, som sagt, høringsnotatet for ordninga, som kom i går. Der sier man rett ut at stadig flere tilbydere – uten avtale med det offentlige, slik vi har i dag – er en utfordring for både pasientsikkerhet og personvern.
Statsråden vil sikkert si at dette skal utredes. Men mitt spørsmål er: Kan helseministeren slutte seg til intensjonen i det forslaget som Arbeiderpartiet, Senterpartiet, SV og Venstre legger fram, om at private tilbydere skal levere gode og fullstendige helsedata til offentlige registre, bidra til ambisjonen om «én innbygger – én journal» og ha trygg og sikker håndtering av pasientjournalopplysninger? Hva er grunnen til at regjeringspartiene ikke støtter dette forslaget, slik det framkommer i merknaden?
Statsråd Bent Høie [16:45:05]: Det vil ikke være nødvendig for regjeringspartiene å stemme for dette forslaget. Jeg regner med at regjeringspartiene har tillit til at dette blir utredet av regjeringen. Det kom også fram i det høringsnotatet om fritt behandlingsvalg som vi sendte ut i går. Den enkle tommelfingerregelen er at de samme kravene vil gjelde for private tilbydere i fritt behandlingsvalg-ordningen som for de private tilbyderne som har anbud i dag – og som jeg også forstår at Arbeiderpartiet er enig i er en viktig del av det offentlige helsetilbudet – nemlig at også private som har anbud, deltar i dag. Der stiller en krav om den type deltagelse.
Ja, det vil bli stilt krav om dette. Dessuten er det jo sånn at både pasientjournalloven og helseregisterloven gjelder offentlige og private virksomheter, og reglene om behandling av helseopplysninger er de samme for private og offentlige virksomheter. Men det avgjørende er hvilke oppgaver som utføres, og om de omfattes av lovens virkeområde, ikke om oppgavene utføres av offentlige eller private aktører.
Ketil Kjenseth (V) [16:46:11]: Statsråden refererer til at Høyre har beveget seg i dette spørsmålet. Jeg vil også si at Venstre har beveget seg – fra at vi ønsket psevdonymisering av alle personopplysninger, f.eks. Så vi erkjenner at det er å trekke det for langt.
I de opplysningene vi nå skal forvalte, er det en stor mengde informasjon. I dag er det veldig ulik forvaltning, og det er mange ulike typer forvaltning – som gjør at vi er skeptiske. Det er godtgjort i dag at vi har en forvaltning som er i stand til å håndtere dette. Da er spørsmålet til statsråden: Er det sikkert nok når det er kjøpt inn, eller er det sikkert nok når alle aktørene som skal forvalte systemet, har fått den opplæringen som er tilstrekkelig for å håndtere all den sensitive personinformasjonen?
Statsråd Bent Høie [16:47:08]: Jeg er helt enig i at Venstre også har beveget seg. I mitt innlegg sa jeg at det er min oppfatning at hele Stortinget beveget seg i forbindelse med behandlingen av Én innbygger – én journal, og i neste omgang i spørsmålet om kjernejournal. Nå behandler vi også en viktig sak, der jeg oppfatter at det er bred tilslutning til veldig mye av det som foreslås.
Lovverket setter rammer for utviklingen. Hvis vi skulle gjort det sånn at vi ventet til alle IKT-systemene var helt på topp før vi innførte nytt lovverk, hadde vi latt dem som var sist ute, få lov til å bestemme farten. Ved å legge lovverket, men med klare krav, har vi også noe som virksomhetene må strekke seg etter når de skal utvikle sine nye IKT-systemer. Det f.eks. å utveksle informasjon mellom virksomheter får en ikke lov til før en tilfredsstiller lovens krav. Vi vil også, bl.a. på innspill fra Datatilsynet i høringsrunden, lage en egen forskrift med egne krav om dette.
Presidenten: Replikkordskiftet er avsluttet.
Ruth Mari Grung (A) [16:48:30]: Dette er en av de sakene som vi i møte med sykehus- og helseregistre har fått tilbakemelding på at de hadde størst forventninger til. Jeg tror at forventningene blir innfridd.
Når vi vet at 70 pst. av aktiviteten på sykehusene er akuttbehandling, tror jeg også befolkningen forventer at man sitter med nødvendig informasjon, slik at man får rask, god og relevant behandling.
Men når jeg har besøkt primærhelsetjenesten, har jeg også sett hvor kort vi er kommet med tanke på visjonen om «én pasient – én journal». Så det er behov for å få et rammeverk, slik at vi kan bli bedre.
Da komiteen var på studietur til Bergen, fikk vi også god innsikt i hvordan helseregistre har vært med på både å forbedre tjenesten og målrette tiltakene, slik at barnedødeligheten har gått ned. De ga oss også klare innspill for hvordan vi burde endre loven, slik at vi fikk enda bedre kunnskapsgrunnlag framover. Derfor er Arbeiderpartiet trygg på at flertallet her har landet på en god avveining mellom personvern og muligheten for å gi raske og effektive omsorgstilbud og helsetilbud til befolkningen.
Jeg har også lyst til å si at jeg er veldig glad for de partiene som står for et litt mer restriktivt personvern. Dette er vanskelige saker, og vi trenger den kritiske stemmen for hele tiden å fokusere på dette. Det setter i alle fall Arbeiderpartiet stor pris på, selv om vi har landet på flertallets side.
Når det gjelder private aktører: Vi tror det er avvik både i offentlige og i private helsetilbud. Men i det offentlige sitter det ofte politikere, og man føler at man kan gå tettere inn på styrer og følge med.
Nå hørte vi helseministeren si at han jobber videre for å utrede verktøy. Det er sikkert de verktøyene vi trenger for å vite hvordan vi skal kontrollere og føre tilsyn, spesielt med mange private aktører. Når man ser på tilbakemeldingene, er det også mange avtalespesialister som ikke rapporterer tilbake. Spesielt innenfor rus og psykisk helse er det vanskelig å vite om pasientene får det rette og det beste tilbudet. Innenfor dette området er det kanskje enda viktigere med godt tilsyn – og at vi følger med. Det er i alle fall bakgrunnen for vårt forslag. Vi er glad for signalene vi fikk fra helseministeren, og ser fram til at dette blir utredet bedre, og at det blir utarbeidet tjenlige verktøy.
Jeg vil også takke for representanten Nesviks innlegg, som gikk veldig tydelig i samme retning.
Sveinung Rotevatn (V) [16:51:34]: Først til siste talar: Det er i og for seg bra at Arbeidarpartiet synest det er hyggeleg at det finst parti i Stortinget som er opptekne av personvern. Som representant for eit av dei partia hadde det vore kjekt å kunne gjengjelde komplimenten på eit eller anna tidspunkt.
Men til saka: Bruk av elektroniske pasientjournalar gir nye moglegheiter, men også nye utfordringar for helsesektoren. Informasjonen kan bringast fram, han kan spreiast mykje hurtigare enn før, han er raskare tilgjengeleg, og ein kan finne han med større treffsikkerheit. Mens ein tidlegare måtte ha fysisk tilgang til pasientjournalen, anten ved å oppsøke arkiv eller ved at han fanst tilgjengeleg på eit legekontor eller ein sengepost, er han no berre eit tastetrykk unna. Det er ei utfordring for teieplikta. Det har vorte lettare å få tilgang, men tilgjengelegheita til informasjonen gjev også større potensial for misbruk.
Personvern er viktig for Venstre, og vi var veldig glade for at det i 2007 vart oppnemnt ein personvernkommisjon som utarbeidde NOU-en Individ og integritet. Personvern i det digitale samfunnet. Der uttaler ein følgjande om journaltilgang på tvers av verksemder:
«Etter Personvernkommisjonens oppfatning fordrer økt tilgjengelighet til pasientjournalen at pasienter kan ha tillit til at det ikke er verken juridisk, teknisk eller faktisk mulig for utenforstående å tilegne seg informasjon man ikke skal ha. Dette forutsetter kontinuerlig og systematisk opplæring og oppdatering av helsepersonells kunnskaper om gjeldende regelverk om taushetsplikt og personvern. I tillegg kreves holdningsskapende arbeid hos både helsepersonell og sykehusledelse, samt fortsatt strenge regler for når det kan gjøres unntak fra taushetsplikten og hovedregelen om samtykke til slikt unntak.»
Det er omsynet til teieplikta som gjer at vi i dag har eit krav om samtykke frå pasienten ved deling av elektroniske journalopplysningar på tvers av verksemder. Med bakgrunn i dette sitatet er det grunn til å tru at kommisjonen ville vore svært kritisk til å fjerne samtykkepåbodet, slik ein no legg opp til. Samtykkeregelen inneber at dei elektroniske opplysningane sjukehuset har om gjennomførte abortinngrep, ikkje kan delast med fastlegen utan samtykke frå pasienten. Den enkelte har sjølv kontrollen over spreiinga av eigne helseopplysningar, og når kravet til samtykke blir fjerna, mistar pasienten den kontrollen. Sensitive opplysningar vil kunne kome på avvegar, og ein veit ikkje alltid kven som får tilgang. Nokon som ikkje burde ha visst, får vite.
Det blir notert at ein har rett til å motsetje seg deling, og at opplysningar kan sperrast. Lege Britt Lagerholt Smith uttalte til VG 23. april i år at sperring er berre for dei mest ressurssterke pasientane. Det er også i dag tilgang til å sperre opplysningar, men erfaring viser at det kan ta mange år og krev hjelp frå både advokat og fylkeslege. Det er ikkje, som ein kan få inntrykk av, tilstrekkeleg å be om at opplysningane blir sperra.
Vidare må ein vera merksam på at sjølv om ein skulle vinne fram med krav om sperring, vil det via kontaktopplysningane i journalen framleis gå fram at det eksempelvis er ein psykiatrijournal. Vidare er det vist kva diagnose som er gjeven.
Samla sett er det grunn til å vere uroleg for det ein gjer i Stortinget i dag. Eg håpar vi kan kome tilbake til det på eit seinare tidspunkt.
Tove Karoline Knutsen (A) [16:54:57]: Først vil jeg bare si meg enig med min partifelle Ruth Mari Grung når hun sier det er bra at man har balanserte holdninger og synspunkt på disse spørsmålene her i salen. Det er faktisk veldig viktig, og jeg opplever det som veldig konstruktivt og produktivt. Jeg er også enig med helseministeren når han antyder at det kanskje ikke var sånn for noen år siden. Det er bra at vi har balanserte synspunkter.
Jeg har lyst til å si litt om private tilbydere, som helseministeren var inne på. Det er helt riktig at loven gjelder for dem, og det er vi selvfølgelig klar over. Det er noen undersøkelser, som bl.a. SINTEF har gjort, som viser at private tilbydere i mye, mye mindre grad – faktisk i veldig liten grad – leverer f.eks. helseopplysninger til helseregister, bortsatt fra avtalene man har med offentlige helseforetak. Men mange behandler pasienter utenfor, og der er det – ifølge SINTEF – helt eller nesten helt umulig å få opplysninger. Der må man gjøre en jobb for å rydde opp. Derfor etterlyste jeg dette i proposisjonen. Jeg ser fram til at det blir gjort et arbeid med det. Helseministeren har lovet det, og jeg ser fram til at han kommer til Stortinget med det.
Så til det med aktivt samtykke: Noen mener man skal ha et slags engangssamtykke, og at det er tilstrekkelig. Hvis ikke må man ha samtykke hver eneste gang det blir aktuelt å dele disse opplysningene. Hvis man har engangssamtykke, må det kombineres med en reservasjon, for hvis man én gang gir et samtykke, kan det dukke opp ting i helsetilstanden som gjør at man vil reservere opplysninger. Jeg tror dette er ganske forvirrende for pasientene – for ikke å snakke om byråkratiet man bygger opp for å utsjekke og avsjekke alle disse ulike samtykkene og reservasjonene som måtte komme. Jeg tror man skal prøve å lage systemer som gjør dette håndterbart for helsevesenet og så sikkert som overhodet mulig for pasientene. Det er det jeg forstår at proposisjonen legger opp til.
Komiteen har også understreket det proposisjonen sier, at man må ha skikkelig struktur på pasientjournalen før dette blir rullet ut. Det skal være ordninger som gjør at man kan ha tilgangskontroll, at man kan ha systemer for administrasjon og autorisasjon, og at man har sporing av innlogging i journalen – og veldig mange andre ting.
Jeg er enig med helseministeren i at loven må komme først, og så må vi i enda større grad få teknologien på plass. Vi er selvfølgelig og heldigvis allerede kommet mye lenger enn vi var da vi begynte å jobbe med dette, men vi må hele tiden gjøre et arbeid for at loven og teknologien vi har, skal balansere.
Statsråd Bent Høie [16:58:09]: Jeg vil ta opp diskusjonen knyttet til det som veldig ofte sies, nemlig at på grunn av at vi nå har elektroniske journaler og IKT-systemer, har en lettere tilgang enn med papir, og det er bare et tastetrykk unna.
Det er lett å si, men hvis en tenker litt gjennom realiteten, tror jeg kanskje den er litt annerledes. Den gang en hadde papirjournaler, kunne helsepersonell som hadde nøkkel til rommet der papirjournalene var – hvis en var så heldig at det var låst – lese disse journalene helt uten noen som helst form for kontroll. Den eneste kontrollmuligheten var at man ble «fersket». I dag har man full oversikt over hvem som er inne i journalene. Vi som pasienter har også en helt annen mulighet til å kontrollere om f.eks. naboen, hvis naboen jobber i helsevesenet, er inne og leser journalen. Det tror jeg har en betydelig større effekt når det gjelder å unngå den typen snoking.
Det er ikke sånn at det bare er de partiene som har andre forslag i denne salen, som er opptatt av personvern. Personvernet er godt ivaretatt i denne lovproposisjonen. Det er forsterkede personverntiltak i forhold til det som ble sendt på høring. Gjeldende regler om samtykke videreføres. Det innebærer at i normale tilfeller vil helsepersonell innhente informasjon fra andre virksomheter i samråd med pasienten. Å stille særlige krav til samtykke utover dette vil vanskeliggjøre informasjonsutveksling i en behandlingssituasjon. Helsepersonell har allerede i dag rett og plikt til å dele informasjon, men taushetsplikten endres ikke. Det som er nytt i forslaget, er måten opplysningene kan deles på. Dersom f.eks. et sykehus eller en fastlege har gode og moderne systemer, kan de etter lovforslaget velge å gi helsepersonell direkte tilgang til journalen. Helsepersonell kan selv søke fram relevante opplysninger om pasienten, men sykehus eller legekontor som ikke sikrer pasientens personvern på en god måte i sine systemer, kan ikke gi annet helsepersonell tilgang, og pasienten vil fremdeles kunne nekte legen denne typen informasjon.
Lovforslaget betyr ikke at alt helsepersonell skal få tilgang til all informasjon om en pasient. Det er fortsatt bare helsepersonell som har behov for å gi pasienten helsehjelp, som kan se opplysningene, og de skal bare få se de opplysningene som er nødvendige for helsehjelpen. Det er derfor forskjell på hva fastlegen, sykehuslegen og fysioterapeuten vil kunne lese.
Det er viktig at vi holder høyt at en ivaretar personvernet inn i et moderne system, for jeg er helt enig med alle dem som har sagt at helsetjenesten er avhengig av at befolkningen har tillit til at opplysningene om dem blir forvaltet på en god måte.
Sveinung Stensland (H) [17:01:28]: Det er på tide å runde av en god debatt. Det skapes et inntrykk av at vi er svært uenige om personvernspørsmål. Det er vi ikke, men vi har en litt forskjellig oppfatning av hvor grensen går.
Den store uenigheten mellom mindretallet og flertallet i denne saken handler om hvorvidt utveksling av pasientjournaldata skal være samtykkebasert, eller om det skal være reservasjonsrett eller reservasjonsmulighet – her kan vi være rause med begrepene. Men det er et langt stykke derfra til å si at det bare er noen partier som er opptatt av personvern.
Jeg er helt klar på at debatten vi har hatt mellom partiene, og arbeidet i komiteen, i stor grad har vært opptatt av å belyse personvern og sider ved personvernet. Leser man merknadene fra både regjeringspartiene og andre partier, er det stort sett merknader som gjelder personvern og presiseringer rundt det, som er lagt inn.
Så vil jeg nok en gang minne om at det er ingen flere opplysninger man kan dele. Det vi gjør her, er å endre formen og formatet vi deler dem på, og dersom Stortinget hadde avvist dette lovforslaget nå, hadde det innebåret at vi fortsatt ville holdt på med faks og taxi og rørpost, og jeg kan ikke se at det er så veldig fordelaktig for personvernet.
Presidenten: Flere har ikke bedt om ordet til sak nr. 16.
Votering i sak nr. 16
Presidenten: Under debatten er det satt fram i alt seks forslag. Det er
forslag nr. 1, fra Tove Karoline Knutsen på vegne av Arbeiderpartiet, Senterpartiet, Venstre og Sosialistisk Venstreparti
forslagene nr. 2 og 3, fra Kjersti Toppe på vegne av Senterpartiet, Venstre og Sosialistisk Venstreparti
forslag nr. 4, fra Ketil Kjenseth på vegne av Venstre og Sosialistisk Venstreparti
forslagene nr. 5 og 6, fra Ketil Kjenseth på vegne av Venstre
Det voteres over forslagene nr. 5 og 6, fra Venstre.
Forslag nr. 5 lyder:
«Prop. 72 L (2013–2014) sendes tilbake til regjeringen.»
Forslag nr. 6 lyder:
«Stortinget ber regjeringen oppnevne en LEAN-kommisjon for å gjennomgå dagens journalpraksis og opplæringsbehov på veien fram mot en standardisert, digital kjernejournal.»
Votering:
Forslagene fra Venstre ble med 99 mot 5 stemmer ikke bifalt.(Voteringsutskrift kl. 22.55.05)Presidenten: Det voteres over forslag nr. 4, fra Venstre og Sosialistisk Venstreparti.
Forslaget lyder:
«I lov om helseregistre og behandling av helseopplysninger (helseregisterloven) skal § 11 første ledd lyde:
Kongen i statsråd kan i samsvar med vilkårene i § 8 gi forskrift om behandling av opplysninger i helseregistre der navn, fødselsnummer og andre direkte personidentifiserende kjennetegn skal kunne behandles i den utstrekning det er nødvendig for å nå formålet med registeret. Den registrerte har rett til å motsette seg registrering.»
Votering:
Forslaget fra Venstre og Sosialistisk Venstreparti ble med 95 mot 9 stemmer ikke bifalt.(Voteringsutskrift kl. 22.55.27)Presidenten: Det voteres over forslagene nr. 2 og 3, fra Senterpartiet, Venstre og Sosialistisk Venstreparti.
Forslag nr. 2 lyder:
«I lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) skal § 2 f lyde:
Forslag nr. 3 lyder:
«I lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) skal § 17 lyde:
§ 17 Uttrykkelig samtykke
Tilgang til helseopplysninger i behandlingsrettet helseregister på tvers av virksomheter kan bare gis etter uttrykkelig samtykke fra den registrerte.
Pasienten eller brukeren må samtykke i at
1. helseopplysninger i et behandlingsrettet helseregister etablert med hjemmel i §§ 8–10 gjøres tilgjengelige for helsepersonell etter § 19, jf. helsepersonelloven §§ 25 og 45 og pasient- og brukerrettighetsloven § 5-3,
2. opplysninger om betalte egenandeler i tilknytning til vedtak om frikort og refusjon registreres automatisk i system etablert med hjemmel i § 11, og
3. helseopplysninger registreres eller behandles på andre måter i nasjonal kjernejournal etablert med hjemmel i § 13.
Reglene om samtykkekompetanse i pasient- og brukerrettighetsloven §§ 4-3 til 4-7 gjelder tilsvarende.
§§ 17-33 i lovforslaget i Prop. 72 L (2013–2014) blir §§ 18–34.»
Votering:
Forslagene fra Senterpartiet, Venstre og Sosialistisk Venstreparti ble med 89 mot 15 stemmer ikke bifalt.(Voteringsutskrift kl. 22.55.50)Presidenten: Det voteres over forslag nr. 1, fra Arbeiderpartiet, Senterpartiet, Venstre og Sosialistisk Venstreparti.
Forslaget lyder:
«Stortinget ber regjeringen utrede og komme tilbake til Stortinget på egnet måte med forslag om hvordan private aktører med rett til automatisk statlig finansiering av pasientbehandling, uten inngått avtale med det offentlige, skal kunne forpliktes på følgende punkter:
– levere gode og fullstendige helsedata til offentlige registre
– bidra til å realisere ambisjonen om «én innbygger– én journal»
– ha sikker håndtering av pasientjournalopplysninger
– ha trygg og operativ samhandling med resten av helsevesenet
Regjeringen bes også utrede hvem som skal være databehandlingsansvarlig, når pasienter skal behandles på det offentliges regning i regi av den omtalte ordningen.»
Votering:
Forslaget fra Arbeiderpartiet, Senterpartiet, Venstre og Sosialistisk Venstreparti ble med 55 mot 49 stemmer ikke bifalt.(Voteringsutskrift kl. 22.56.13)Komiteen hadde innstilt til Stortinget å gjøre slike
vedtak til lover:
A.
Vedtak til lov
om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)
Kapittel 1 Generelle bestemmelser
§ 1 Lovens formål
Formålet med loven er at behandling av helseopplysninger skal skje på en måte som
a) gir pasienter og brukere helsehjelp av god kvalitet ved at relevante og nødvendige opplysninger på en rask og effektiv måte blir tilgjengelige for helsepersonell, samtidig som vernet mot at opplysninger gis til uvedkommende ivaretas, og
b) sikrer pasienters og brukeres personvern, pasientsikkerhet og rett til informasjon og medvirkning.
§ 2 Definisjoner
I denne loven forstås med:
a) helseopplysninger: taushetsbelagte opplysninger etter helsepersonelloven § 21, og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson,
b) behandling av helseopplysninger: enhver bruk av helseopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering, eller en kombinasjon av slike bruksmåter,
c) helsehjelp: handlinger som har forebyggende, diagnostisk, behandlende, helsebevarende, rehabiliterende eller pleie- og omsorgsformål, og som utføres av helsepersonell, jf. helsepersonelloven § 3 første ledd,
d) behandlingsrettet helseregister: pasientjournal- og informasjonssystem eller annet register, fortegnelse eller lignende, der helseopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen og som skal gi grunnlag for helsehjelp eller administrasjon av helsehjelp til enkeltpersoner,
e) databehandlingsansvarlig: den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes, og den som i eller i medhold av lov er pålagt et databehandlingsansvar.
§ 3 Saklig virkeområde
Loven gjelder all behandling av helseopplysninger som er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til enkeltpersoner.
Kongen i statsråd kan i forskrift eller enkeltvedtak bestemme at loven helt eller delvis skal gjelde for behandling av helseopplysninger til andre formål enn helsehjelp.
§ 4 Geografisk virkeområde
Loven gjelder for databehandlingsansvarlige som er etablert i Norge. Kongen kan i forskrift bestemme at loven helt eller delvis skal gjelde for Svalbard og Jan Mayen, og kan fastsette særlige regler om behandling av helseopplysninger for disse områdene.
Loven gjelder også for databehandlingsansvarlige som er etablert i stater utenfor EØS-området, dersom den databehandlingsansvarlige benytter hjelpemidler i Norge. Dette gjelder likevel ikke dersom hjelpemidlene bare brukes til å overføre personopplysninger via Norge. Databehandlingsansvarlige skal ha en representant som er etablert i Norge. Bestemmelsene som gjelder for den databehandlingsansvarlige, gjelder også for representanten.
§ 5 Forholdet til personopplysningsloven
Personopplysningsloven gjelder så langt ikke annet følger av denne loven.
Kapittel 2 Pasientjournaler og andre behandlingsrettede helseregistre
§ 6 Rett til å behandle helseopplysninger
Behandlingsrettede helseregistre må ha hjemmel i lov. Konsesjonsplikt etter personopplysningsloven § 33 gjelder ikke for behandling av helseopplysninger som skjer med hjemmel i denne loven.
Helseopplysninger i behandlingsrettede helseregistre kan bare behandles når det er nødvendig for å kunne gi helsehjelp, eller for administrasjon, internkontroll eller kvalitetssikring av helsehjelpen.
Ved behandling av helseopplysninger til internkontroll eller kvalitetssikring skal opplysningene så langt som mulig behandles uten at den registrertes navn og fødselsnummer fremgår.
§ 7 Krav til behandlingsrettede helseregistre
Behandlingsrettede helseregistre skal understøtte pasientforløp i klinisk praksis og være lett å bruke og å finne frem i.
Behandlingsrettede helseregistre skal være utformet og organisert slik at krav fastsatt i eller i medhold av lov kan oppfylles. Dette gjelder blant annet regler om:
a) taushetsplikt, jf. § 15,
b) forbud mot urettmessig tilegnelse av helseopplysninger, jf. § 16,
c) retten til å motsette seg behandling av helseopplysninger, jf. § 17,
d) retten til informasjon og innsyn, jf. § 18,
e) helsepersonells dokumentasjonsplikt, jf. helsepersonelloven § 39,
f) tilgjengeliggjøring av helseopplysninger, jf. §§ 19 og 20 og
g) informasjonssikkerhet og internkontroll, jf. §§ 22 og 23.
Departementet kan i forskrift gi nærmere bestemmelser om plikt til å ha elektroniske systemer, om godkjenning av programvare og sertifisering og om bruk av standarder, standardsystemer, kodeverk og klassifikasjonssystemer.
§ 8 Virksomheters plikt til å sørge for behandlingsrettede helseregistre
Virksomheter som yter helsehjelp skal sørge for å ha behandlingsrettede helseregistre for gjennomføring av helsepersonells dokumentasjonsplikt, jf. helsepersonelloven § 39.
§ 9 Samarbeid mellom virksomheter om behandlingsrettede helseregistre
To eller flere virksomheter kan samarbeide om behandlingsrettede helseregistre, jf. § 8. Virksomhetene skal da inngå skriftlig avtale om
a) hva samarbeidet omfatter,
b) hvordan pasientens eller brukerens rettigheter skal ivaretas,
c) hvordan helseopplysningene skal behandles og sikres, også ved endringer i eller opphør av samarbeidet, og
d) databehandlingsansvar.
Departementet kan i forskrift eller enkeltvedtak fastsette vilkår for slikt samarbeid.
§ 10 Etablering av nasjonale behandlingsrettede helseregistre
Kongen i statsråd kan gi forskrift om etablering av nasjonale behandlingsrettede helseregistre som på bestemte områder kommer i stedet for registre etter §§ 8 og 9.
Forskriften skal gi nærmere bestemmelser om drift, behandling og sikring av helseopplysningene, om databehandlingsansvar, om tilgangskontroll og om hvordan rettighetene til pasienten eller brukeren skal ivaretas.
§ 11 Systemer for saksbehandling, administrasjon mv. av helsehjelp
Kongen i statsråd kan gi forskrift om behandling av helseopplysninger for saksbehandling, administrasjon, oppgjør og gjennomføring av helsehjelp til enkeltpersoner.
Taushetsplikt er ikke til hinder for behandlingen av opplysningene. Helseopplysningene kan behandles uten hensyn til samtykke fra pasienten. Graden av personidentifikasjon skal ikke være større enn nødvendig for det aktuelle formålet. Opplysninger om diagnose eller sykdom kan bare behandles når det er nødvendig for å nå formålet med behandlingen av opplysningen.
Forskriften skal gi nærmere bestemmelser om behandlingen av opplysningene, om hvilke opplysninger som kan behandles, om den enkeltes rett til å motsette seg behandling av opplysningene og om databehandlingsansvar.
§ 12 Reseptformidleren
Kongen i statsråd kan gi forskrift med nærmere bestemmelser om behandling av helseopplysninger i nasjonal database for resepter (Reseptformidleren).
Opplysningene kan behandles uten samtykke fra pasienten.
Forskriften skal gi nærmere bestemmelser om formålet med behandlingen av opplysningene, hvilke opplysninger som skal behandles og hvem som er databehandlingsansvarlig for opplysningene.
§ 13 Nasjonal kjernejournal
Kongen i statsråd kan gi forskrift om behandling av helseopplysninger i nasjonal kjernejournal.
Nasjonal kjernejournal er et sentralt virksomhetsovergripende behandlingsrettet helseregister. Journalen skal inneholde et begrenset sett relevante helseopplysninger som er nødvendig for å yte forsvarlig helsehjelp.
Opplysninger kan registreres og på annen måte behandles uten samtykke fra pasienten. Den registrerte har rett til å motsette seg at helseopplysninger behandles i registeret.
Helsepersonell med tjenstlig behov ved ytelse av helsehjelp kan etter samtykke fra den registrerte gis tilgang til nødvendige og relevante helseopplysninger fra nasjonal kjernejournal. Med samtykke menes en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar at det gis slik tilgang. Når det er nødvendig for å yte forsvarlig helsehjelp, kan Kongen i statsråd i forskrift gjøre unntak fra kravet om samtykke. Ved unntak fra samtykke gjelder helsepersonelloven § 45 første ledd første punktum tilsvarende.
Kongen i statsråd kan i forskrift gi nærmere bestemmelser om drift og behandling av helseopplysninger, for eksempel hvilke opplysninger som skal behandles, hvem som er databehandlingsansvarlig, regler om sletting, tilgang og tilgangskontroll, samt pasientens rettigheter.
§ 14 Registrering og melding av helseopplysninger
Virksomheter og helsepersonell som tilbyr eller yter tjenester som omfattes av apotekloven, folkehelseloven, helse- og omsorgstjenesteloven, legemiddelloven, smittevernloven, spesialisthelsetjenesteloven eller tannhelsetjenesteloven, plikter uten hinder av taushetsplikt å registrere eller melde opplysninger som bestemt i forskrifter etter §§ 11 til 13.
Kongen kan i forskrift gi nærmere bestemmelser om innhenting av helseopplysninger til registre som omfattes av §§ 11 til 13, blant annet om frister, formkrav, bruk av meldingsskjemaer og standarder.
Mottaker av opplysningene skal varsle den som har registrert eller meldt opplysningene dersom opplysningene er mangelfulle.
Kapittel 3 Taushetsplikt, innsynsrett og rett til å motsette seg behandling av helseopplysninger
§ 15 Taushetsplikt
Enhver som behandler helseopplysninger etter denne lov, har taushetsplikt etter helsepersonelloven §§ 21 flg. Andre som får adgang eller kjennskap til helseopplysninger fra et behandlingsrettet helseregister, har samme taushetsplikt.
§ 16 Forbud mot urettmessig tilegnelse av helseopplysninger
Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger fra behandlingsrettede helseregistre uten at det er begrunnet i helsehjelp til den enkelte, administrasjon av slike tjenester eller har særskilt hjemmel i lov eller forskrift.
§ 17 Rett til å motsette seg behandling av helseopplysninger
Pasienten eller brukeren kan motsette seg at
a) helseopplysninger i et behandlingsrettet helseregister etablert med hjemmel i §§ 8 til 10 gjøres tilgjengelige for helsepersonell etter § 19, jf. helsepersonelloven §§ 25 og 45 og pasient- og brukerrettighetsloven § 5-3,
b) opplysninger om betalte egenandeler i tilknytning til vedtak om frikort og refusjon registreres automatisk i system etablert med hjemmel i § 11, og
c) helseopplysninger registreres eller behandles på andre måter i nasjonal kjernejournal etablert med hjemmel i § 13.
Reglene om samtykkekompetanse i pasient- og brukerrettighetsloven §§ 4-3 til 4-7 gjelder tilsvarende for retten til å motsette seg behandling av opplysningene.
§ 18 Informasjon og innsyn
Pasienten eller brukeren har rett til informasjon og innsyn i behandlingsrettede helseregistre etter pasient- og brukerrettighetsloven § 5-1, helsepersonelloven § 41 og personopplysningsloven §§ 18 flg. Dette omfatter også innsyn i hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til pasientens eller brukerens navn eller fødselsnummer.
Når det er nødvendig for å gi innsyn, kan den databehandlingsansvarlige innhente personopplysninger fra Det sentrale folkeregisteret. Dette gjelder uten hensyn til om opplysningene er underlagt taushetsplikt etter folkeregisterloven.
Kongen kan i forskrift gi nærmere bestemmelser om retten til innsyn i behandlingsrettede helseregistre.
Kapittel 4 Virksomhetens plikter ved behandling av helseopplysninger
§ 19 Helseopplysninger ved helsehjelp
Innenfor rammen av taushetsplikten skal den databehandlingsansvarlige sørge for at relevante og nødvendige helseopplysninger er tilgjengelige for helsepersonell og annet samarbeidende personell når dette er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til den enkelte.
Den databehandlingsansvarlige bestemmer på hvilken måte opplysningene skal gjøres tilgjengelige. Opplysningene skal gjøres tilgjengelige på en måte som ivaretar informasjonssikkerheten.
Departementet kan i forskrift gi nærmere bestemmelser om hvordan helseopplysninger i behandlingsrettede helseregistre kan gjøres tilgjengelige.
§ 20 Helseopplysninger til andre formål enn helsehjelp
Den databehandlingsansvarlige kan gjøre helseopplysninger tilgjengelige for andre formål enn helsehjelp når den enkelte samtykker eller dette er fastsatt i lov eller i medhold av lov. Med samtykke menes en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar at opplysningene gjøres tilgjengelige.
§ 21 Personopplysninger fra Det sentrale folkeregisteret
Den databehandlingsansvarlige kan innhente personopplysninger fra Det sentrale folkeregisteret når dette er nødvendig for å oppfylle den databehandlingsansvarliges plikter etter loven. Dette gjelder uten hensyn til om opplysningene er underlagt taushetsplikt etter folkeregisterloven.
§ 22 Sikring av konfidensialitet, integritet og tilgjengelighet
Den databehandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av helseopplysninger. Dette omfatter blant annet å sørge for tilgangsstyring, logging og etterfølgende kontroll.
For å oppnå tilfredsstillende informasjonssikkerhet skal den databehandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den databehandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for tilsynsmyndighetene.
En databehandlingsansvarlig som lar andre få tilgang til helseopplysninger, for eksempel en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og andre ledd.
Departementet kan i forskrift fastsette nærmere krav til informasjonssikkerhet ved behandling av helseopplysninger, blant annet om organisatoriske og tekniske tiltak.
§ 23 Internkontroll
Den databehandlingsansvarlige skal etablere og holde ved like planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven.
Den databehandlingsansvarlige skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den databehandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for tilsynsmyndighetene.
Departementet kan i forskrift gi nærmere bestemmelser om internkontroll.
§ 24 Overdragelse eller opphør av virksomhet
Ved overdragelse eller opphør av virksomhet kan behandlingsrettet helseregister overføres til en annen virksomhet. Den enkelte pasient eller bruker kan motsette seg overføring av sin journal og i stedet kreve at registeret overføres til en annen bestemt virksomhet. Dersom det er praktisk mulig, skal pasienten eller brukeren gjøres kjent med denne retten.
Departementet kan i forskrift gi nærmere bestemmelser om overføring av helseopplysninger ved opphør eller overdragelse av virksomhet.
§ 25 Plikt til bevaring eller sletting
Helseopplysninger skal oppbevares til det av hensyn til helsehjelpens karakter ikke lenger antas å bli bruk for dem. Det samme gjelder opplysninger om hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til pasientens eller brukerens navn eller fødselsnummer.
Hvis ikke opplysningene deretter skal bevares etter arkivloven eller annen lovgivning, skal de slettes.
Kongen kan i forskrift gi nærmere bestemmelser om bevaring eller sletting av opplysninger som nevnt i første ledd.
Kapittel 5 Tilsyn og sanksjoner
§ 26 Tilsynsmyndighetene
Datatilsynet fører tilsyn med at bestemmelsene i loven blir fulgt og at feil eller mangler blir rettet, jf. personopplysningsloven § 42. Dette gjelder ikke for tilsynsoppgaver som påligger Statens helsetilsyn eller Fylkesmannen etter helsetilsynsloven.
Tilsynsmyndighetene kan kreve de opplysninger som trengs for at de kan gjennomføre sine oppgaver.
Tilsynsmyndighetene kan, som ledd i sin kontroll med at lovens regler etterleves, kreve adgang til steder hvor det finnes helseregistre, helseopplysninger som behandles elektronisk og hjelpemidler for slik behandling av opplysninger. Tilsynsmyndighetene kan gjennomføre de prøver eller kontroller som de finner nødvendig, og kreve bistand fra personalet på stedet i den grad dette må til for å få utført prøvene eller kontrollene.
Retten til å kreve opplysninger eller tilgang til lokaler og hjelpemidler i medhold av andre og tredje ledd gjelder uten hinder av taushetsplikt.
Tilsynsmyndighetene og andre som utfører tjeneste for tilsynsmyndighetene, har taushetsplikt etter § 15. Taushetsplikten omfatter også opplysninger om sikkerhetstiltak.
Avgjørelser som Datatilsynet fatter etter denne bestemmelsen eller etter §§ 27, 28 eller 29, kan påklages til Personvernnemnda.
Kongen kan gi forskrift om unntak fra første til fjerde ledd av hensyn til rikets sikkerhet. Kongen kan også gi forskrift om dekning av utgiftene ved kontroll. Skyldige bidrag til dekning av utgiftene er tvangsgrunnlag for utlegg.
§ 27 Adgang til å gi pålegg
Datatilsynet kan gi pålegg om at behandling av helseopplysninger i strid med bestemmelser i eller i medhold av denne loven skal opphøre, eller stille vilkår som må oppfylles for at behandlingen av helseopplysningene skal være i samsvar med loven. Statens helsetilsyn kan gi pålegg dersom det i tillegg må antas at behandlingen av helseopplysningene kan ha skadelige følger for pasienter eller brukere.
Når Datatilsynet har gitt et pålegg, skal Statens helsetilsyn informeres om dette. Når Statens helsetilsyn har gitt et pålegg, skal Datatilsynet informeres om dette.
Det skal settes en frist for å rette seg etter pålegget.
§ 28 Tvangsmulkt
Ved pålegg etter § 27 kan Datatilsynet fastsette en tvangsmulkt som løper for hver dag som går etter utløpet av den fristen som er satt for oppfylling av pålegget, inntil pålegget er oppfylt.
Tvangsmulkten løper ikke før klagefristen er ute. Hvis vedtaket påklages, løper ikke tvangsmulkt før klageinstansen har bestemt det.
Datatilsynet kan frafalle påløpt tvangsmulkt.
§ 29 Overtredelsesgebyr
Datatilsynet kan pålegge den som har overtrådt denne loven eller forskrifter i medhold av den, å betale et pengebeløp til statskassen (overtredelsesgebyr) på inntil ti ganger grunnbeløpet i folketrygden. Fysiske personer kan bare ilegges overtredelsesgebyr for forsettlige eller uaktsomme overtredelser. Et foretak kan ikke ilegges overtredelsesgebyr dersom overtredelsen skyldes forhold utenfor foretakets kontroll.
Ved vurderingen av om overtredelsesgebyr skal ilegges, og ved utmålingen, skal det særlig legges vekt på
a) hvor alvorlig overtredelsen har krenket de interesser loven verner,
b) graden av skyld,
c) om overtrederen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget overtredelsen,
d) om overtredelsen er begått for å fremme overtrederens interesser,
e) om overtrederen har hatt eller kunne ha oppnådd noen fordel ved overtredelsen,
f) om det foreligger gjentakelse,
g) om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen som har handlet på vegne av denne, blant annet om noen enkeltperson blir ilagt straff, og
h) overtrederens økonomiske evne.
Oppfyllelsesfristen er fire uker etter at vedtaket om overtredelsesgebyr er endelig. Dersom et vedtak om overtredelsesgebyr bringes inn for en domstol, kan den prøve alle sider av saken.
§ 30 Straff
Den som forsettlig eller grovt uaktsomt overtrer § 15 om taushetsplikt eller § 16 om forbud mot urettmessig tilegnelse av helseopplysninger, straffes med bøter eller fengsel i inntil tre måneder.
Med bøter eller fengsel inntil ett år eller begge deler straffes den som forsettlig eller grovt uaktsomt
a) behandler helseopplysninger i strid med § 22,
b) unnlater å informere den registrerte etter § 18, jf. personopplysningsloven §§ 19 eller 20,
c) unnlater å gi opplysninger til tilsynsmyndighetene etter § 26, eller
d) unnlater å etterkomme pålegg eller overtrer vilkår fra tilsynsmyndighetene etter § 27.
Ved særdeles skjerpende omstendigheter kan fengsel inntil tre år idømmes. Ved avgjørelsen av om det foreligger særdeles skjerpende omstendigheter skal det blant annet legges vekt på faren for stor skade eller ulempe for pasienten eller brukeren, den tilsiktede vinningen ved overtredelsen, overtredelsens varighet og omfang, utvist skyld, og om den databehandlingsansvarlige tidligere er straffet for å ha overtrådt tilsvarende bestemmelser.
Medvirkning straffes på samme måte.
I forskrift som gis i medhold av loven, kan det fastsettes at den som forsettlig eller grovt uaktsomt overtrer forskriften skal straffes med bøter eller fengsel inntil ett år eller begge deler.
§ 31 Erstatning
Den databehandlingsansvarlige skal erstatte skade som er oppstått som følge av at helseopplysninger er behandlet i strid med bestemmelser i eller i medhold av loven, med mindre det godtgjøres at skaden ikke skyldes feil eller forsømmelse på den databehandlingsansvarliges side.
Erstatningen skal svare til det økonomiske tapet som den skadelidte er påført som følge av den ulovlige behandlingen av helseopplysningene. Virksomheten kan også pålegges å betale slik erstatning for skade av ikke-økonomisk art (oppreisning) som synes rimelig.
Kapittel 6 Ikraftsetting mv.
§ 32 Ikraftsetting
Loven trer i kraft fra den tid Kongen bestemmer. Kongen kan bestemme at de enkelte bestemmelsene i loven skal tre i kraft til ulik tid.
§ 33 Videreføring av forskrifter
Forskrifter gitt i medhold av lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger, gjelder også etter at loven her har trådt i kraft.
B.
Vedtak til lov
om helseregistre og behandling av helseopplysninger (helseregisterloven)
Kapittel 1 Generelle bestemmelser
§ 1 Lovens formål
Formålet med loven er å legge til rette for innsamling og annen behandling av helseopplysninger, for å fremme helse, forebygge sykdom og skade og gi bedre helse- og omsorgstjenester. Loven skal sikre at behandlingen foretas på en etisk forsvarlig måte, ivaretar den enkeltes personvern og brukes til individets og samfunnets beste.
§ 2 Definisjoner
I denne loven forstås med:
a) helseopplysninger: taushetsbelagte opplysninger etter helsepersonelloven § 21, og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson,
b) indirekte identifiserbare helseopplysninger: helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, men hvor opplysningene likevel kan knyttes til en enkeltperson,
c) behandling av helseopplysninger: enhver bruk av helseopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering, eller en kombinasjon av slike bruksmåter,
d) helseregister: register, fortegnelser, mv. der helseopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen,
e) databehandlingsansvarlig: den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes, og den som i eller i medhold av lov er pålagt et databehandlingsansvar,
f) samtykke: en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av helseopplysninger om seg selv.
§ 3 Saklig virkeområde
Loven gjelder for behandling av helseopplysninger til statistikk, helseanalyser, forskning, kvalitetsforbedring, planlegging, styring og beredskap i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten.
Loven gjelder også behandling av helseopplysninger i Helsearkivregisteret i Norsk helsearkiv.
Loven gjelder ikke for behandling av helseopplysninger som reguleres av helseforskningsloven eller pasientjournalloven.
Kongen i statsråd kan i forskrift bestemme at loven helt eller delvis skal gjelde for behandling av helseopplysninger utenfor helse- og omsorgsforvaltningen eller helse- og omsorgstjenesten.
§ 4 Geografisk virkeområde
Loven gjelder for databehandlingsansvarlige som er etablert i Norge. Kongen kan i forskrift bestemme at loven helt eller delvis skal gjelde for Svalbard og Jan Mayen, og kan fastsette særlige regler om behandling av helseopplysninger i forbindelse med helsehjelp for disse områdene.
Loven gjelder også for databehandlingsansvarlige som er etablert i stater utenfor EØS-området dersom den databehandlingsansvarlige benytter hjelpemidler i Norge. Dette gjelder likevel ikke dersom hjelpemidlene bare brukes til å overføre personopplysninger via Norge. Databehandlingsansvarlige skal ha en representant som er etablert i Norge. Bestemmelsene som gjelder for den databehandlingsansvarlige, gjelder også for representanten.
§ 5 Forholdet til personopplysningsloven
Personopplysningsloven gjelder så langt ikke annet følger av denne loven.
Kapittel 2 Tillatelse til å behandle helseopplysninger og etablering av helseregistre
§ 6 Alminnelige vilkår for å behandle helseopplysninger
Helseopplysninger kan bare behandles når det er tillatt etter denne loven eller andre lover.
Behandling av helseopplysninger krever den registrertes samtykke, dersom ikke annet har hjemmel i lov.
Den databehandlingsansvarlige skal sørge for at helseopplysningene som behandles
a) er tilstrekkelige og relevante for formålet med behandlingen,
b) bare brukes til uttrykkelige angitte formål som er saklig begrunnet i den databehandlingsansvarliges virksomhet,
c) ikke brukes senere til formål som er uforenlig med det opprinnelige formålet med innsamlingen av opplysningene, uten at den registrerte samtykker, og
d) er korrekte og oppdaterte og ikke lagres lenger enn det som er nødvendig ut fra formålet med behandlingen.
Graden av personidentifikasjon skal ikke være større enn nødvendig for det aktuelle formålet. Graden av personidentifikasjon skal begrunnes. Tilsynsmyndigheten kan kreve at den databehandlingsansvarlige legger frem begrunnelsen.
Departementet kan gi forskrift om godkjenning av programvare, sertifisering og om bruk av standarder, klassifikasjonssystemer og kodeverk, samt hvilke nasjonale eller internasjonale standardsystemer som skal følges ved behandling av helseopplysninger etter denne loven.
§ 7 Konsesjon fra Datatilsynet
Datatilsynet kan gi konsesjon for etablering av helseregistre og annen behandling av helseopplysninger. Konsesjon kan gis når vilkårene i denne loven § 6 og personopplysningsloven § 9 jf. §§ 33 til 35 er oppfylt.
Konsesjonsplikt etter personopplysningsloven § 33 gjelder ikke for behandling av helseopplysninger som skjer med hjemmel i denne loven §§ 8 til 12.
§ 8 Vilkår for etablering av helseregistre ved forskrift
Kongen i statsråd kan i forskrift gi nærmere bestemmelser om etablering av helseregistre og behandling av helseopplysninger i registre etter §§ 9, 10 eller 11, når vilkårene i denne bestemmelsen og § 6 er oppfylt.
Den helsefaglige eller samfunnsmessige nytten av registeret må klart overstige personvernulempene.
Registrene skal ivareta oppgaver etter apotekloven, folkehelseloven, helse- og omsorgstjenesteloven, legemiddelloven, smittevernloven, spesialisthelsetjenesteloven og tannhelsetjenesteloven.
Forskriften skal blant annet angi
a) formålet med behandlingen av helseopplysningene,
b) hvilke typer opplysninger som kan behandles,
c) krav til identitetsforvaltning,
d) krav til sikring av opplysningene, og
e) hvem som er databehandlingsansvarlig.
§ 9 Registre som er samtykkebaserte eller uten direkte personidentifiserende kjennetegn
Kongen i statsråd kan, i samsvar med vilkår i § 8, gi forskrift om behandling av opplysninger i helseregistre dersom
a) den registrerte samtykker, eller
b) opplysningene behandles uten at den databehandlingsansvarlige har tilgang til navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn.
§ 10 Helseregistre der den registrerte har rett til å motsette seg behandling av helseopplysninger
Kongen i statsråd kan i samsvar med vilkårene i § 8 gi forskrift om behandling av opplysninger i helseregistre der navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn skal kunne behandles uten samtykke fra den registrerte. Slike forskrifter kan gis dersom
a) det for å oppnå formålet med behandlingen av opplysningene, og av hensyn til registerets kvalitet, ikke kan kreves at samtykke innhentes, og
b) den registrerte har rett til å motsette seg at helseopplysninger behandles i registeret.
§ 11 Lovbestemte helseregistre
Kongen i statsråd kan i samsvar med vilkårene i § 8 gi forskrift om behandling av opplysninger i helseregistre der navn, fødselsnummer og andre direkte personidentifiserende kjennetegn skal kunne behandles uten samtykke fra den registrerte i den utstrekning det er nødvendig for å nå formålet med registeret.
Det kan gis forskrifter om følgende registre:
a) Dødsårsaksregisteret
b) Kreftregisteret
c) Medisinsk fødselsregister
d) Meldingssystem for smittsomme sykdommer (MSIS)
e) System for vaksinasjonskontroll (SYSVAK)
f) Forsvarets helseregister
g) Norsk pasientregister
h) Nasjonalt register over hjerte- og karlidelser
i) System for bivirkningsrapportering.
Kreftregisteret kan inneholde helseopplysninger om personer som har deltatt i undersøkelsesprogram for tidlig diagnose og kontroll for kreftsykdom. Ved negativt funn kan opplysninger om navn, fødselsnummer, adresse, bostedskommune og sivilstand registreres permanent, med mindre den registrerte motsetter seg det. Dersom den registrerte har motsatt seg permanent registrering, skal opplysningene slettes etter at de er kvalitetssikret og senest seks måneder etter innsamlingen. Dette leddet gjelder også funn som er innsamlet før 1. januar 2014.
§ 12 Helsearkivregisteret
Kongen i statsråd kan i forskrift gi bestemmelser om etablering av Helsearkivregisteret.
Helsearkivregisteret er et helseregister med personidentifiserbar pasientdokumentasjon om avdøde pasienter. Opplysningene i Helsearkivregisteret behandles uten de registrertes samtykke.
Riksarkivaren er databehandlingsansvarlig for opplysningene i Helsearkivregisteret, jf. arkivloven § 4.
Kongen i statsråd kan i forskrift gi nærmere bestemmelser om behandlingen av helseopplysningene i registeret og formålet med behandlingen. Forskriften skal angi den databehandlingsansvarliges plikt til å gjøre data tilgjengelig.
Kongen i statsråd kan i forskriften gi nærmere bestemmelser om bevaring, kassasjon og avlevering av pasientdokumentasjon for private virksomheter som yter tjenester etter spesialisthelsetjenesteloven.
§ 13 Innmelding av helseopplysninger til helseregistre
Virksomheter og helsepersonell som tilbyr eller yter tjenester som omfattes av apotekloven, folkehelseloven, helse- og omsorgstjenesteloven, legemiddelloven, smittevernloven, spesialisthelsetjenesteloven eller tannhelsetjenesteloven plikter å melde opplysninger som bestemt i forskrifter etter §§ 8 til 12. Innmelding til registre etter §§ 9 bokstav b, 10, 11 og 12 kan skje uten hinder av taushetsplikt.
Kongen kan gi forskrifter om innmelding av helseopplysninger til registre som omfattes av §§ 8 til 12, blant annet om hvem som skal gi og motta opplysningene og om frister, formkrav, bruk av meldingsskjemaer og standarder. Den som mottar opplysningene, skal varsle avsenderen dersom opplysningene er mangelfulle.
§ 14 Opplysninger fra Det sentrale folkeregisteret
Databehandlingsansvarlige kan innhente personopplysninger de har tillatelse til å behandle etter §§ 8 til 12, fra Det sentrale folkeregisteret.
§ 15 Hvem som har samtykkekompetanse
Rett til å samtykke til behandling av helseopplysninger har
For samtykke til behandling av opplysninger som gjelder personer under 16 år, gjelder pasient- og brukerrettighetsloven § 4-4 tilsvarende. Dersom barn mellom 12 og 16 år, av grunner som bør respekteres, ikke ønsker at foreldrene, andre med foreldreansvar eller barnevernstjenesten gjøres kjent med opplysninger om barnet, skal dette ivaretas.
For personer uten samtykkekompetanse etter pasient- og brukerrettighetsloven § 4-3 andre ledd, skal nærmeste pårørende etter pasient- og brukerrettighetsloven § 1-3 bokstav b gi samtykke.
For personer som er fratatt rettslig handleevne på det personlige området, gjelder pasient- og brukerrettighetsloven § 4-7 tilsvarende.
Departementet kan i forskrift bestemme at barn mellom 12 og 16 år kan samtykke til behandling av helseopplysninger for nærmere bestemte spesielle formål.
§ 16 Plikt til å innrapportere data til statistikk
Departementet kan i forskrift eller ved enkeltvedtak pålegge regionale helseforetak, helseforetak, fylkeskommuner og kommuner å innrapportere anonyme data eller indirekte identifiserbare helseopplysninger, uten hensyn til taushetsplikt, til statistikk. Forskriften kan ha nærmere regler om blant annet bruk av standarder, klassifikasjonssystemer og kodeverk.
Kapittel 3 Alminnelige bestemmelser om behandling av helseopplysninger
§ 17 Taushetsplikt
Enhver som behandler helseopplysninger etter denne loven, har taushetsplikt etter helsepersonelloven §§ 21 flg. Andre som får adgang eller kjennskap til helseopplysninger fra helseregistre, har samme taushetsplikt.
§ 18 Forbud mot urettmessig tilegnelse av taushetsbelagte helseopplysninger
Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger som behandles etter denne loven, uten særskilt hjemmel i lov eller forskrift.
§ 19 Sammenstilling av helseopplysninger
Kongen i statsråd kan gi forskrift om sammenstilling av helseopplysninger innsamlet etter § 13. Sammenstilling kan tillates for opplysninger i helseregistre etablert med hjemmel i §§ 8 til 12. Kongen i statsråd kan bestemme at opplysningene i disse registrene også skal kunne sammenstilles med opplysninger i Det sentrale folkeregisteret eller andre registre.
Den databehandlingsansvarlige kan utlevere helseopplysninger for sammenstillingen. Med mindre annet følger av lov eller i medhold av lov skal resultatet av sammenstillingen ikke inneholde navn, fødselsnummer eller andre direkte identifiserende kjennetegn. Sammenstillingen skal gjøres av den databehandlingsansvarlige for et av registrene eller en virksomhet departementet bestemmer.
Ut over dette kan helseopplysninger bare sammenstilles med andre opplysninger når dette er tillatt etter personopplysningsloven § 9, jf. §§ 33 til 35.
§ 20 Unntak fra taushetsplikten for indirekte identifiserbare helseopplysninger
Taushetsplikt er ikke til hinder for at den databehandlingsansvarlige kan utlevere indirekte identifiserbare helseopplysninger til forskning, helseanalyser, og kvalitetssikring, administrasjon, planlegging eller styring av helse- og omsorgstjenesten. Dette gjelder bare helseopplysninger i registre som er etablert med hjemmel i § 11.
Helseopplysningene kan bare utleveres dersom behandlingen av dem er av vesentlig interesse for samfunnet, hensynet til pasientens integritet og konfidensialitet er ivaretatt, og behandlingen er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn. Den databehandlingsansvarlige kan stille vilkår for utleveringen.
§ 21 Sikring av konfidensialitet, integritet og tilgjengelighet
Den databehandlingsansvarlige og databehandler skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av helseopplysninger. Dette gjelder blant annet å sørge for tilgangsstyring, logging og etterfølgende kontroll.
I registre som er etablert med hjemmel i §§ 10 eller 11, skal direkte personidentifiserende kjennetegn lagres kryptert.
For å oppnå tilfredsstillende informasjonssikkerhet skal den databehandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den databehandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for tilsynsmyndighetene.
En databehandlingsansvarlig som lar andre få tilgang til helseopplysninger, for eksempel en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første, andre og tredje ledd.
Departementet kan i forskrift fastsette nærmere krav til informasjonssikkerhet ved behandling av helseopplysninger, blant annet om organisatoriske og tekniske tiltak.
§ 22 Internkontroll
Den databehandlingsansvarlige skal etablere og holde ved like planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven.
Den databehandlingsansvarlige skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den databehandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for tilsynsmyndighetene.
Departementet kan i forskrift gi nærmere regler om internkontroll.
Kapittel 4 Informasjon, innsyn, retting, sletting og sperring
§ 23 Informasjon til allmennheten om behandling av helseopplysninger
En databehandlingsansvarlig som behandler opplysninger etter forskrift i medhold av §§ 8 til 11, skal av eget tiltak informere allmennheten om hva slags behandling av helseopplysninger som foretas.
§ 24 Rett til informasjon og innsyn
Rett til informasjon og innsyn følger av personopplysningsloven §§ 18 flg.
Den registrerte har rett til innsyn i hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til den registrertes navn eller fødselsnummer, fra helseregistre etter §§ 8 til 11. Departementet kan i særlige tilfeller gi den databehandlingsansvarlige en tidsbegrenset dispensasjon fra plikten til å gi innsyn etter dette leddet.
Når det er nødvendig for å vurdere innsyn kan den databehandlingsansvarlige innhente personopplysninger fra Det sentrale folkeregisteret. Dette gjelder uten hensyn til taushetsplikt.
Kongen kan i forskrift gi nærmere bestemmelser om retten til innsyn i helseregistrene.
§ 25 Sletting eller sperring av helseopplysninger
Den registrerte kan kreve at helseopplysninger som behandles etter §§ 8 til 11 skal slettes eller sperres, dersom behandling av opplysningene føles sterkt belastende for den registrerte og det ikke finnes sterke allmenne hensyn som tilsier at opplysningene behandles. Krav om sletting eller sperring av slike opplysninger rettes til den databehandlingsansvarlige for opplysningene.
Datatilsynet kan, etter at Riksarkivaren er hørt, treffe vedtak om at retten til sletting etter første ledd går foran reglene i arkivloven §§ 9 og 18. Hvis dokumentet som inneholdt de slettede opplysningene, gir et åpenbart misvisende bilde etter slettingen, skal hele dokumentet slettes.
Kapittel 5 Tilsyn og sanksjoner
§ 26 Tilsynsmyndighetene
Datatilsynet fører tilsyn med at bestemmelsene i loven blir fulgt og at feil eller mangler blir rettet, jf. personopplysningsloven § 42. Dette gjelder ikke for tilsynsoppgaver som påligger Statens helsetilsyn eller Fylkesmannen etter helsetilsynsloven.
Tilsynsmyndighetene kan kreve de opplysninger som trengs for at de kan gjennomføre sine oppgaver.
Tilsynsmyndighetene kan, som ledd i sin kontroll med at lovens regler etterleves, kreve adgang til steder hvor det finnes helseregistre, helseopplysninger som behandles elektronisk og hjelpemidler for slik behandling av opplysninger. Tilsynsmyndighetene kan gjennomføre de prøver eller kontroller som de finner nødvendig, og kreve bistand fra personalet på stedet i den grad dette må til for å få utført prøvene eller kontrollene.
Retten til å kreve opplysninger, eller tilgang til lokaler og hjelpemidler i medhold av andre og tredje ledd, gjelder uten hinder av taushetsplikt.
Tilsynsmyndighetene og andre som utfører tjeneste for tilsynsmyndighetene, har taushetsplikt etter § 17. Taushetsplikten omfatter også opplysninger om sikkerhetstiltak.
Avgjørelser som Datatilsynet fatter etter denne bestemmelsen eller etter §§ 7, 25, 27, 28 eller 29, kan påklages til Personvernnemnda.
Kongen kan gi forskrift om unntak fra første til fjerde ledd av hensyn til rikets sikkerhet. Kongen kan også gi forskrift om dekning av utgiftene ved kontroll. Skyldige bidrag til dekning av utgiftene er tvangsgrunnlag for utlegg.
§ 27 Adgang til å gi pålegg
Datatilsynet kan gi pålegg om at behandling av helseopplysninger i strid med bestemmelser i eller i medhold av denne loven skal opphøre, eller stille vilkår som må oppfylles for at behandlingen av helseopplysningene skal være i samsvar med loven. Statens helsetilsyn kan gi pålegg dersom det i tillegg må antas at behandlingen av helseopplysningene kan ha skadelige følger for pasienter eller brukere.
Når Datatilsynet har gitt et pålegg, skal Statens helsetilsyn informeres om dette. Når Statens helsetilsyn har gitt et pålegg, skal Datatilsynet informeres om dette.
Pålegg etter første ledd skal inneholde en frist for å rette seg etter pålegget.
§ 28 Tvangsmulkt
Ved pålegg etter § 27 kan Datatilsynet fastsette en tvangsmulkt som løper for hver dag som går etter utløpet av den fristen som er satt for oppfylling av pålegget, inntil pålegget er oppfylt.
Tvangsmulkten løper ikke før klagefristen er ute. Hvis vedtaket påklages, løper ikke tvangsmulkt før klageinstansen har bestemt det.
Datatilsynet kan frafalle påløpt tvangsmulkt.
§ 29 Overtredelsesgebyr
Datatilsynet kan pålegge den som har overtrådt denne loven eller forskrifter i medhold av den, å betale et pengebeløp til statskassen (overtredelsesgebyr) på inntil ti ganger grunnbeløpet i folketrygden. Fysiske personer kan bare ilegges overtredelsesgebyr for forsettlige eller uaktsomme overtredelser. Et foretak kan ikke ilegges overtredelsesgebyr dersom overtredelsen skyldes forhold utenfor foretakets kontroll.
Ved vurderingen av om overtredelsesgebyr skal ilegges, og ved utmålingen, skal det særlig legges vekt på
a) hvor alvorlig overtredelsen har krenket de interesser loven verner,
b) graden av skyld, om overtrederen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget overtredelsen,
c) om overtredelsen er begått for å fremme overtrederens interesser,
d) om overtrederen har hatt eller kunne ha oppnådd noen fordel ved overtredelsen,
e) om det foreligger gjentakelse,
f) om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen som har handlet på vegne av denne, blant annet om noen enkeltperson blir ilagt straff, og
g) overtrederens økonomiske evne.
Oppfyllelsesfristen er fire uker etter at vedtaket om overtredelsesgebyr er endelig. Dersom et vedtak om overtredelsesgebyr bringes inn for en domstol, kan den prøve alle sider av saken.
§ 30 Straff
Den som forsettlig eller grovt uaktsomt overtrer § 17 om taushetsplikt eller § 18 om forbud mot urettmessig tilegnelse av helseopplysninger, straffes med bøter eller fengsel i inntil tre måneder.
Med bøter eller fengsel inntil ett år eller begge deler straffes den som forsettlig eller grovt uaktsomt
a) behandler helseopplysninger uten nødvendig konsesjon eller i strid med konsesjonsvilkår etter § 7,
b) behandler helseopplysninger i strid med § 21,
c) unnlater å informere den registrerte etter § 24, jf. personopplysningsloven §§ 19 eller 20,
d) unnlater å gi opplysninger til tilsynsmyndighetene etter § 26, eller
e) unnlater å etterkomme pålegg eller overtrer vilkår fra tilsynsmyndighetene etter § 27.
Ved særdeles skjerpende omstendigheter kan fengsel inntil tre år idømmes. Ved avgjørelsen av om det foreligger særdeles skjerpende omstendigheter skal det blant annet legges vekt på faren for stor skade eller ulempe for den registrerte, den tilsiktede vinningen ved overtredelsen, overtredelsens varighet og omfang, utvist skyld, og om den databehandlingsansvarlige tidligere er straffet for å ha overtrådt tilsvarende bestemmelser.
Medvirkning straffes på samme måte.
I forskrift som gis i medhold av loven, kan det fastsettes at den som forsettlig eller grovt uaktsomt overtrer forskriften skal straffes med bøter eller fengsel inntil ett år eller begge deler.
§ 31 Erstatning
Den databehandlingsansvarlige skal erstatte skade som er oppstått som følge av at helseopplysninger er behandlet i strid med bestemmelser i eller i medhold av loven, med mindre det godtgjøres at skaden ikke skyldes feil eller forsømmelse på den databehandlingsansvarliges side.
Erstatningen skal svare til det økonomiske tapet som den skadelidte er påført som følge av den ulovlige behandlingen av helseopplysningene. Den databehandlingsansvarlige kan også pålegges å betale slik erstatning for skade av ikke-økonomisk art (oppreisning) som synes rimelig.
Kapittel 6 Ikraftsetting m.m.
§ 32 Ikraftsetting
Loven trer i kraft fra den tid Kongen bestemmer. Fra samme tid oppheves lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger.
Kongen kan bestemme at de enkelte bestemmelsene i loven skal tre i kraft til ulik tid.
§ 33 Videreføring av forskrifter
Forskrifter gitt i medhold av lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger gjelder også etter at loven her har trådt i kraft. Dette gjelder selv om forskriften ikke har alle bestemmelser som kreves etter § 8 fjerde ledd.
§ 34 Endringer i andre lover
Fra den tid loven trer i kraft gjøres følgende endringer i andre lover:
kasserast. Dette forbodet går framom føresegner om kassasjon i eller i medhald av andre lover. Personregister eller delar av personregister kan likevel slettast etter føresegnene i personopplysningslova, helseregisterlova og etter føresegner i medhald av helseregisterlova §§ 8 til 12. Slik sletting kan først gjerast etter at det er innhenta fråsegn frå Riksarkivaren.
Nasjonalt folkehelseinstitutt skal overvåke den nasjonale og delta i overvåkingen av den internasjonale epidemiologiske situasjonen, utføre helseanalyser, drive forskning på smittevernområdet og sikre nødvendig vaksineforsyning og vaksineberedskap, herunder egen vaksineproduksjon.
§ 25 første ledd andre punktum oppheves.
§ 26 nytt andre ledd:
Ved samarbeid om behandlingsrettede helseregistre etter pasientjournalloven § 9 kan slike opplysninger også gis til ledelsen i samarbeidende virksomhet.
Nåverende andre og tredje ledd blir tredje og fjerde ledd.
§ 29 b skal lyde:
§ 29 b. Opplysninger til helseanalyser, kvalitetssikring, administrasjon mv.
Departementet kan bestemme at helseopplysninger kan eller skal gis til bruk for helseanalyser og kvalitetssikring, administrasjon, planlegging eller styring av helse- og omsorgstjenesten, og at det skal skje uten hensyn til taushetsplikt. Dette kan bare skje dersom behandlingen av opplysningene er av vesentlig interesse for samfunnet og hensynet til pasientens integritet og velferd er ivaretatt. Graden av personidentifikasjon skal ikke være større enn nødvendig for det aktuelle formålet. Kun i særskilte tilfeller kan det gis tillatelse til bruk av direkte personidentifiserbare opplysninger som for eksempel navn eller fødselsnummer. Reglene om taushetsplikt gjelder tilsvarende for den som mottar opplysningene.
Departementet kan sette vilkår for bruken av opplysninger etter paragrafen her.
§ 29 c skal lyde:
Med mindre pasienten motsetter seg det, kan taushetsbelagte opplysninger etter særskilt anmodning gis til annet helsepersonell som tidligere har ytt helsehjelp til pasienten i et konkret behandlingsforløp, for kvalitetssikring av helsehjelpen eller egen læring. Behandlingen av anmodningen kan automatiseres. Helsepersonell kan bare gis de opplysninger som er nødvendige og relevante for formålet. I pasientens journal skal det dokumenteres hvem opplysninger har blitt utlevert til og hvilke opplysninger som har blitt utlevert, jf. § 40.
§ 45 første ledd andre punktum oppheves. Nåværende første ledd tredje punktum blir første ledd andre punktum.
§ 25 femte ledd skal lyde:
Departementet kan i forskrift gi bestemmelser om opprettelse og annen behandling av humant biologisk materiale i biobanker som er tilknyttet helseregistre etter helseregisterloven §§ 8 til 11.
§ 33 andre ledd skal lyde:
Behandling av helseopplysninger fra helseregistre etter helseregisterloven §§ 8 til 11 krever ikke tillatelser etter første ledd, med mindre annet følger av forskriftene til registrene.
Nasjonalt folkehelseinstitutt skal overvåke utviklingen av folkehelsen, utarbeide oversikt over befolkningens helsetilstand og faktorer som påvirker denne, samt utføre helseanalyser og drive forskning på folkehelseområdet.
Presidenten: Det voteres først over A, § 10.
Venstre og Sosialistisk Venstreparti har varslet at de vil stemme imot.
Votering:
Komiteens innstilling til A, § 10 ble bifalt med 96 mot 8 stemmer.(Voteringsutskrift kl. 22.57.06)Presidenten: Det voteres over B og resten av A.
Venstre har varslet at de vil stemme imot.
Votering:
Komiteens innstilling til B og resten av A ble bifalt med 99 mot 4 stemmer.(Voteringsutskrift kl. 22.57.58)Presidenten: Det voteres over lovens overskrift og loven i sin helhet.
Presidenten regner med at Venstre også vil stemme imot her.
Votering:
Lovens overskrift og loven i sin helhet ble bifalt med 96 mot 5 stemmer.(Voteringsutskrift kl. 22.58.27)Presidenten: Lovvedtaket vil bli ført opp til andre gangs behandling i et senere møte i Stortinget.