Regjeringen legger i proposisjonen fram forslag til lov om helseregistre
og behandling av helseopplysninger (helseregisterloven). Siktemålet
med loven er å legge til rette for fullgod informasjonssikkerhet
ved behandling av helseopplysninger og bidra til at målene
som settes for folkehelsen og den enkeltes helse, kan nås.
Det uttales at loven skal bidra til å ivareta et sterkt
pasientvern såvel som personvern.
Det framholdes at en viktig utfordring for den utøvende
helsetjeneste er hvordan en skal sikre opplysningenes konfidensialitet
og kvalitet, og samtidig sikre helsetjenesten adekvat
tilgang på opplysninger for å kunne tilby den
enkelte pasient best mulig helsehjelp.
Det har i de siste 20 år vært nedsatt en rekke
forskjellige arbeidsgrupper og utvalg for å vurdere ulike sider
som drift, organisering, ansvarsforhold, hjemmelsspørsmål
og lignende for de epidemiologiske registrene i Norge. Det redegjøres
i proposisjonen for USEI-rapportene («Utredning vedrørende
samarbeid mellom sentrale epidemiologiske institutter»),
Lerche-utvalget, Hellandsvik-utvalgets delrapport nr. 6, NOU 1993:22
Pseudonyme helseregistre (Boe-utvalget), Sosial- og helsedepartementets
IT-plan og NOU 1997:26 Tilgang til helseregistre.
Sosial- og helsedepartementet sendte i november 1998 utkast til
lov om helseregistre og elektronisk behandling av helseopplysninger
på høring. Høringsfristen ble satt til
februar 1999. Departementet har mottatt 101 svar på høringsbrevet.
Departementet har særlig vurdert om opprettelsen av
landsomfattende helseregistre bør skje direkte i lov, ved
at det gis en lov for hvert sentralt register. Det uttales at demokratihensyn
og kanskje muligheten til bedre å sikre den politiske debatt
kunne tale for å legge en slik myndighet til Stortinget.
Departementet har imidlertid kommet til ikke å ville foreslå en
slik løsning idet det mener at personvernet kan bli like
godt, om ikke bedre, ivaretatt, ved at Stortinget gir rammebestemmelser
for sentrale helseregistre, og at det enkelte register opprettes
ved forskrift.
I arbeidet med proposisjonen har departementet særskilt
vurdert forslaget fra Den nasjonale forskningsetiske komité om å innta
et forbud mot at arbeidsgivere, forsikringsselskaper og lignende
interessenter skal kunne be om samtykke fra enkeltpersoner for å få tilgang
til data fra forskningsregistre. Departementet finner det riktig å avvente
den pågående utredning om dette før en
tar endelig stilling til forslaget.
Det vises til at Sosial- og helsedepartementet har nedsatt et
utvalg for å utrede problemstillinger knyttet til biologisk
prøvetaking i arbeidslivet. Utvalget skal bl.a. vurdere
om det er tilstrekkelig regulert hvordan helseopplysninger skal
behandles, og hva resultatet av prøvetakingen skal brukes
til. Dersom utredningen viser at det er behov for nye tiltak for å beskytte
arbeidssøkere og arbeidstakere på dette området,
bør utvalget foreslå nødvendige tiltak,
herunder forslag til endringer i regelverk/avtaler/praksis.
Utvalget skal avgi sin innstilling innen juni 2000.
Det framholdes at spørsmål om innsamling, lagring
og bruk av biologisk materiale reiser en rekke rettslige spørsmål
som dagens personvernlovgivning og helselovgivning ikke tar stilling
til. Det uttales at Sosial- og helsedepartementet arbeider med å nedsette et
utvalg som nærmere skal utrede ulike rettslige spørsmål
i forhold til bioteknologi, forskning og biobanker.
Om gjeldende rett framholdes bl.a. at når en skal vurdere
hjemmelsgrunnlaget til helseregistre og andre informasjonssystemer,
må en ta utgangspunkt i følgende forhold:
Personidentifiserbare helseopplysninger
som foreligger i helseregistre, er opplysninger som i utgangspunktet
er underlagt taushetsplikt, og det må stilles spørsmål
om det er adgang til å gjøre unntak fra taushetsplikten.
Det må skilles mellom opplysningsrett og opplysningsplikt,
og det må foreligge et rettsgrunnlag for å kunne
pålegge noen en meldeplikt.
Dersom det er tillatt å utlevere helseopplysningene
med basis i taushetspliktbestemmelsene, oppstår spørsmålet
om disse opplysningene kan registreres.
Det gis en generell redegjørelse om taushetsplikt, og
det redegjøres nærmere for relevante bestemmelser i
helselovgivningen og personregisterloven. Det framholdes bl.a. at
alle landets helseregistre bortsett fra elektroniske pasientjournaler
i den offentlige helsetjeneste er underlagt konsesjonsplikt etter
personregisterloven.
Det understrekes at både folketrygdloven og arbeidsmiljøloven
har bestemmelser som er av stor betydning for muligheten til å opprette
helseregistre utenfor helseforvaltningen og helsetjenesten.
Videre redegjøres for direktiv 95/46/EF
om beskyttelse av fysiske personer i forbindelse med behandling
av personopplysninger og om fri utveksling av slike opplysninger,
og forholdet til det foreliggende lovforslaget. Direktivet ble besluttet
innlemmet i EØS-avtalen 25. juni 1999.
Det framholdes at etter Grunnloven § 110 bokstav c
første punktum påligger det statens myndigheter å respektere
og sikre menneskerettighetene.
De mest sentrale konvensjonene av betydning for behandling av
helseopplysninger er Europarådets konvensjon av 4. november
1950 om beskyttelse av menneskerettighetene og de grunnleggende
friheter (EMK), Europarådets konvensjon av 28. januar 1981 nr.
108 om personvern i forbindelse med elektronisk behandling av personopplysninger
(personvernkonvensjonen) og De forente nasjoners internasjonale konvensjon
av 16. desember 1966 om sivile og politiske rettigheter. De nevnte
konvensjonene er folkerettslig bindende for Norge.
Det uttales at for oppfølging av personvernkonvensjonen
har Europarådet bl.a. fastsatt to rekommandasjoner av betydning
for opprettelse av helseregistre. Det er rekommandasjon av 23. januar
1981 om medisinske databanker og rekommandasjon av 23. september
1983 om forskning og statistikk. Andre relevante rekommandasjoner
som omtales, er rekommandasjonen om innsamling av epidemiologiske
data av 6. mars 1989 og rekommandasjonen om beskyttelse av medisinske
opplysninger av 13. februar 1997 som erstatter rekommandasjonen
om medisinske databanker. Rekommandasjonene er ikke rettslig bindende
for Norge, men det understrekes at de likevel vil veie tungt ved
utforming av norske regler på tilsvarende område,
da det legges til grunn at norske myndigheter så langt
som mulig vil tilstrebe å rette seg etter anbefalingene.
Slik departementet ser det, respekterer og sikrer lovforslaget
menneskerettighetene på en god måte. Dette blir
utdypet gjennom omtale av de ulike konvensjonene og rekommandasjonene.
Det redegjøres for relevant lovgivning i Finland, Sverige,
Danmark og Island.
Det redegjøres for Sosial- og helsedepartementets hovedoppgaver
og for Statens helsetilsyn som har det overordnede faglige tilsyn
med helsetjenesten i landet. Eksempler på andre institusjoner
under departementet som har ansvar for behandling av helseopplysninger
i sentrale landsomfattende registre, er Kreftregisteret, Statens
institutt for folkehelse (bl.a. Meldesystemet for smittsomme sykdommer
og Medisinsk fødselsregister i Bergen), Statens rettstoksikologiske
institutt, Statens strålevern og Statens helseundersøkelser
(bl.a. Tuberkuloseregisteret).
Det redegjøres for fylkeskommunenes og kommunenes ansvar
når det gjelder helsetjenester, og det understrekes særskilt
at kommunenes helsetjeneste for å kunne gjennomføre
sine oppgaver til enhver tid må ha oversikt over helseforholdene
til befolkningen i kommunen og de faktorer som kan virke inn på denne.
Under drøftingen av personvern og den personlige integritet
understrekes det bl.a. at det er et viktig politisk spørsmål å finne
balansen mellom samfunnets behov for opplysninger og individers ønske
om hemmeligholdelse.
Ulike involverte interesser drøftes, og det framholdes
bl.a. at pasientinteressen representerer den enkelte pasients interesse
i å kunne holde seg frisk og å få adekvat
diagnostikk og behandling når sykdom oppstår,
mens personverninteressen representerer den enkeltes interesse i
at opplysninger om vedkommende ikke spres, uten at det kan komme
han eller henne til nytte, og at opplysningene er riktige og benyttes
riktig. Det påpekes at det er en klar forbindelse mellom pasientinteressene
og samfunnets interesse for kunnskapsoppbygging, forskning og effektiv
helseadministrasjon da ulike pasientgrupper vil ha stor nytte av godt
utviklede kvalitetssikringssystemer. For pasientinteressen er det
viktig at behandling av helseopplysninger skjer på en måte
som kan sikre en effektiv og forsvarlig helsehjelp til pasienten.
Det understrekes at dersom det er konflikt mellom personvernet
til den enkelte pasient og andre interesser, skal det svært
tungtveiende argumenter til for at personvernet til enkeltindividet
skal vike.
Det framholdes at kunnskap om sykdomsårsaker er nødvendig
for å drive helsefremmende og sykdomsforebyggende helsearbeid.
Introduksjon av nye kjemiske stoffer i produksjon av varer og tjenester, nye
medikamenter og nye tilsetningsstoffer i næringsmidler
gjør at samfunnet har et økende behov for å overvåke
befolkningens helsetilstand over tid for å kunne oppdage
endring eller økning i hyppighet av sykdom og risikofaktorer.
Det framholdes videre at kunnskap er av stor betydning for styring,
planlegging og kvalitetsutvikling og kvalitetssikring av helsetjenestene.
Det uttales at opprettelse av et landsomfattende pasientregister
i Norge med personentydige data vil kunne gi sentrale myndigheter
informasjon om kvalitetsutviklingen og kvalitetssikringen i langt større
grad enn i dag.
Det redegjøres for den betydningen gode data har for
ulike typer forskning som epidemiologisk forskning, helsetjenesteforskning,
klinisk forskning og basal medisinsk forskning. Det understrekes
at et fellestrekk ved all behandling av helseopplysninger er kravet
til god datakvalitet. God datakvalitet er nødvendig for å bygge
opp god og riktig helsefaglig kunnskap, og for personvernet er det
viktig at de avgjørelser som treffes, bygger på et
fullstendig og riktig kunnskapsgrunnlag.
Om lovens formål uttaler Sosial- og helsedepartementet
bl.a. at loven skal gi det nødvendige verktøy for å kunne
ta i bruk elektroniske pasientjournaler og elektronisk informasjonsutveksling
i helsetjenesten. Videre skal loven gi det nødvendige rettsgrunnlag
for lokale, regionale og sentrale helseregistre helseforvaltningen
finner det nødvendig å opprette for å utvikle
og formidle informasjon og kunnskap, slik at de målene
som settes for folkehelsen, helsetjenesten og den enkeltes helse,
kan nås.
Personvernformålene i loven er angitt på samme måte
som i lov om behandling av personopplysninger.
Det redegjøres i proposisjonen for definisjoner av begreper
som «helseopplysninger», «avidentifiserte opplysninger», «anonyme
opplysninger», «behandling av helseopplysninger», «helseregister», «elektronisk
pasientjournal», «behandlingsrettet helseregister», «databehandlingsansvarlig», «databehandler», «registrert» og «samtykke».
Departementet har kommet til at hensynet til et enhetlig, helhetlig
og sammenhengende lovverk taler for å samle reglene om
elektronisk behandling av helseopplysninger, herunder regler om
informasjonssikkerhet, standarder, kode- og klassifikasjonssystemer, elektronisk
kommunikasjon etc. i én lov. Departementet mener at en
enhetlig og helhetlig lovstruktur særlig er viktig av hensynet
til personvernet og de registrertes muligheter til å kunne
følge med på hvordan helseopplysninger om dem
selv behandles.
Departementet foreslår at loven skal gjelde for behandling
av helseopplysninger i helseforvaltningen og helsetjenesten som
skjer helt eller delvis med elektroniske hjelpemidler for å fremme
formål som beskrevet i § 1. I tillegg
foreslår departementet at loven skal gjelde for annen behandling
av helseopplysninger, når helseopplysningene inngår
eller skal inngå i et helseregister. Departementet foreslår
at Kongen i Statsråd i forskrift kan bestemme at en eller
flere av lovens bestemmelser også skal gjelde for behandling av
helseopplysninger utenfor helseforvaltningen og helsetjenesten for å ivareta
formål som beskrevet i loven § 1. Det
uttales at en slik utvidelse av lovens virkeområde først
og fremst vil strekke seg til sosialforvaltningen og trygdeforvaltningen.
Når det gjelder helseregistre som opprettes i henhold
til arbeidsmiljøloven § 20, innebærer
avgrensningen til helseforvaltningen at disse helseregistrene i utgangspunktet
ikke omfattes av loven. Det samme gjelder Arbeidstilsynets helseregistre.
Departementet foreslår at pasientjournalen og andre
behandlingsrettede helseregistre kan føres elektronisk.
Det framholdes at målet er at elektroniske pasientjournaler,
elektronisk kommunikasjon og bruk av nett som infrastruktur skal
bli like akseptert, tillitvekkende og ha samme juridiske holdbarhet
som tradisjonell skriftlig dokumentasjon og kommunikasjon.
Departementet foreslår at Kongen i forskrift skal kunne
gi nærmere bestemmelser om behandling av helseopplysninger
i elektroniske pasientjournaler og andre behandlingsrettede helseregistre.
Loven forutsetter at før de nærmere krav til slike
pasientjournaler er utredet, vil den elektroniske pasientjournalen
ikke kunne erstatte den papirbaserte pasientjournalen.
Hjemmelen eller rettsgrunnlaget for en forskrift om elektroniske
pasientjournaler vil i tillegg til helseregisterloven være
helsepersonelloven og evt. spesialisthelsetjenesteloven.
Departementet foreslår at databehandlingsansvaret for
elektroniske pasientjournaler legges til den fylkeskommune, kommune
og annen offentlig eller privat virksomhet som tar i bruk elektroniske
pasientjournaler, eventuelt andre behandlingsrettede helseregistre.
Departementet påpeker at det er svært viktig
at innføring av ny informasjonsteknologi skjer i takt med
utbygging av sikkerhetssystemer og kompetanse på området.
Loven åpner opp for at det er tilstrekkelig å ha
elektronisk pasientjournal. Det uttales at hvordan en praktisk kan
oppfylle kravet til sikker dokumentasjon, må framgå nærmere
av forskriften, og videre at dersom den papirbaserte pasientjournalen
skal kunne erstattes av elektroniske pasientjournaler, må det
etableres en standard for arkivering av elektroniske pasientjournaler
som er så god at den også tilfredsstiller arkivlovens
regelverk.
Det gis i proposisjonen en kort omtale av sentrale landsomfattende
helseregistre som Kreftregisteret, Medisinsk fødselsregister,
Dødsårsaksregisteret og Meldingssystemet for infeksjonssykdommer.
Departementet foreslår at Kongen i Statsråd
i forskrift skal kunne gi nærmere bestemmelser om behandling
av helseopplysninger i sentrale helseregistre til bruk for administrasjon,
styring, planlegging og kvalitetssikring av helsetjenesten, forskning
og statistikk. I denne forskriften vil Kongen i Statsråd
også ta stilling til personidentifikasjonen, dvs. om opplysningene
skal registreres på navn og fødselsnummer, eller om
navn og fødselsnummer skal erstattes med et pseudonym.
Departementet påpeker at det følger av lovforslaget § 11
at helseopplysninger (personidentifiserbare opplysninger) bare kan
innsamles til sentrale helseregistre når personidentifisering
er nødvendig for å ivareta formålet med
registeret.
Det uttales at den nærmere grensetrekning av hvilke
sentrale helseregistre som bør opprettes etter beslutning
av Kongen i Statsråd, versus hvilke helseregistre Datatilsynet
bør gi konsesjon til, må vurderes ut fra helseforvaltningens
og helsetjenestens behov, og ses i forhold til personregisterloven
og lov om behandling av personopplysninger. Departementet legger
til grunn at sykdomsregistre og kvalitetsregistre som omfatter flere
diagnosetyper over hele befolkningen, bør reguleres i forskrift
av Kongen i Statsråd, og det samme gjelder sykdomsregistre,
kvalitetsregistre eller helsetjenesteregistre som inneholder svært
følsomme opplysninger som gir stor usikkerhet om virkningen
av registreringen. Mindre omfattende helseregistre som avdekker
en ikke spesielt sensitiv sykdomsgruppe, bør ifølge
proposisjonen kunne opprettes etter konsesjon fra Datatilsynet.
Departementet foreslår at forskriften som gis, også bør
gi nærmere bestemmelser om den databehandlingsansvarliges
plikt til å gjøre data tilgjengelig for at formålene
kan nås, og at det skal fastsettes i forskriften hvem som
skal være databehandlingsansvarlig for opplysningene.
Det opplyses at det har vist seg meget vanskelig å få oversikt
over regionale og lokale helseregistre i den desentraliserte helseforvaltningen.
Departementet foreslår at Kongen i Statsråd
i forskrift skal kunne gi nærmere bestemmelser om behandling
av helseopplysninger i regionale helseregistre for ivaretakelse
av oppgaver etter smittevernloven, spesialisthelsetjenesteloven
og tannhelsetjenesteloven. Forskriften skal angi formålet
med behandlingen av opplysningene og hvilke opplysninger som kan
behandles. Det framholdes at regionale sykdoms- og/eller
kvalitetsregistre vil være meget viktige verktøy
i avklaring av behandlingseffekter, virkninger og bivirkninger.
Videre foreslår departementet at Kongen i Statsråd
i forskrift også skal kunne gi nærmere bestemmelser
om behandling av helseopplysninger i lokale helseregistre for ivaretakelse
av oppgaver etter kommunehelsetjenesteloven og smittevernloven.
Departementet foreslår at det i lovens kapittel om tillatelse
til å behandle helseopplysninger, etablering av helseregistre
etc. presiseres at behandling av helseopplysninger bare kan skje
når dette er tillatt etter personopplysningsloven §§ 9
og 33 eller følger av bestemmelser fastsatt i forskrift
med hjemmel i helseregisterloven. Det samme gjelder annen behandling
av slike opplysninger dersom opplysningene inngår eller skal
inngå i et helseregister. Videre foreslår departementet
at det tas inn et tillegg om at behandlingen av opplysningene ikke
skal være forbudt ved lov eller ved annet særskilt
rettsgrunnlag som f.eks. menneskerettighetskonvensjoner Norge er
bundet av.
Departementet foreslår at hovedregelen ved innsamling
av helseopplysninger til sentrale, regionale og lokale helseregistre
skal være at den registrertes samtykke skal innhentes før
opplysningene utleveres eller overføres, evt. innhentes
fra den registrerte selv. Lovforslaget åpner opp for at
helseopplysninger etter forskrift av Kongen i Statsråd
skal kunne overføres til sentrale helseregistre selv om
den registrerte ikke har samtykket, og selv om opplysningene er
underlagt lovbestemt taushetsplikt. For bedre å synliggjøre
hovedregelen om samtykke foreslår departementet at det tas
inn et nytt annet punktum i kommunehelsetjenesteloven § 3-4
og tannhelsetjenesteloven § 3-4 om at utlevering
av taushetsbelagte opplysninger etter første punktum skal
skje etter samtykke fra den opplysningene angår, hvis ikke
annet er bestemt i eller i medhold av lov. Departementet mener dette
vil bidra til å styrke pasientenes vern mot spredning av
taushetsbelagt pasientinformasjon.
Når det gjelder innsamling av helseopplysninger etter
smittevernloven, foreslår departementet at smittevernloven
harmoniseres til helseregisterloven.
Departementet har vurdert om noen diagnosetyper (f.eks. psykiske
lidelser, kjønnssykdommer, rusmiddelavhengighet, HIV, AIDS)
er så følsomme at de bør reguleres særskilt,
slik som visse genetiske helseopplysninger i lov om bruk av medisinsk
bioteknologi § 6-4 annet ledd. Departementet har
kommet til at en ikke vil foreslå å særregulere
nærmere bestemte opplysninger i loven, men framholder at
det ikke er noe i veien for at den enkelte forskrift gjør
dette. Departementet har også vurdert om enkelte opplysninger
av betydning for helseforhold burde særreguleres, f.eks. personlige
levevaner som røyking, alkoholkonsum etc., men vil ikke
foreslå dette.
Departementet foreslår at dersom den registrerte føler
at en registrering av nærmere bestemte opplysninger er
sterkt belastende, skal han eller hun på vilkår ha
en mulighet til få slettet eller sperret opplysningene.
Departementet har vurdert om den enkelte registrerte i sin alminnelighet
bør kunne kreve at navn og fødselsnummer, eventuelt
andre personentydige data, skal fjernes fra de øvrige opplysningene,
før opplysningene overføres til sentrale, landsomfattende
helseregister, men har kommet til ikke å ville fremme et slikt
forslag.
Departementet foreslår at virksomheter og helsepersonell
som tilbyr eller yter tjenester i henhold til apotekloven, kommunehelsetjenesteloven,
smittevernloven, spesialisthelsetjenesteloven og tannhelsetjenesteloven,
bør kunne pålegges meldingsplikt til sentrale,
regionale og lokale helseregistre i forskrift.
Det foreslås at departementet skal kunne pålegge fylkeskommuner
og kommuner å innrapportere avidentifiserte eller
anonyme data til statistikk og også fastsette standarder
m.v. for dette. Dagens kommunelov gir ikke departementet nødvendig
lovhjemmel for dette, og det uttales at inntil dette endres, bør
det være et tilstrekkelig rettsgrunnlag for statstikkinnhenting
i helsesektoren i helseregisterloven.
Departementet mener det er viktig å synliggjøre krav
til formålsangivelse, relevans og saklighet i forhold til
behandling av helseopplysninger, og har lagt vekt på å harmonisere
ordlyden i sikkerhetsbestemmelsen med tilsvarende bestemmelse i
lov om behandling av personopplysninger.
For både sentrale helseregistre og regionale og lokale
helseregistre mener departementet at formålet med behandlingen
av helseopplysningene skal angis i forskrift. Slik som i lov om
behandling av personopplysninger foreslås en bestemmelse
om at helseopplysninger ikke kan anvendes til formål som
er uforenlig med det opprinnelige formålet med innsamlingen
av opplysningene, uten at den registrerte samtykker.
Departementet foreslår at helseopplysninger i elektroniske
pasientjournaler og andre behandlingsrettede helseregistre kan sammenstilles
med helseopplysninger i annen pasientjournal eller behandlingsrettet
helseregister om samme pasient i tråd med helsepersonelloven §§ 25,
26 og 45. Formålet med en slik sammenstilling vil være å skaffe
best mulig kunnskapsgrunnlag for pasientbehandling.
Departementet foreslår også at Kongen i Statsråd gis
adgang til å gi særlige regler om sammenstilling
av helseopplysninger i forskrift som gis etter loven §§ 7 og
8. Det eller de formål som kan begrunne sammenstilling
av helseopplysninger, må framgå av forskriften,
og formålet må omfattes av lovens formål.
Det framholdes at det kan stilles spørsmål
om en utlevering av helseopplysninger fra koplingsinstansen til
den instans som skal bearbeide dataene videre, har tilstrekkelig
hjemmel i lov. Rettsgrunnlag for en slik praksis foreslås
derfor tatt inn i loven.
Departementet har kommet til at taushetspliktbestemmelsen i helsergisterloven
bør ta mønster av tilsvarende bestemmelse i spesialisthelsetjenesteloven.
Departementet mener adgangen til å utlevere helseopplysninger
for sammenstilling bør framgå av loven, og foreslår
rettsgrunnlag for dette.
Departementet foreslår å lovfeste en generell
sikkerhetsbestemmelse som skal gjelde ved all behandling av helseopplysninger
i helseforvaltningen og helsetjenesten. Bestemmelsen som foreslås,
er harmonisert med sikkerhetsbestemmelsen i lov om behandling av
personopplysninger, men knytter i tillegg informasjonssikkerhet
til begrepet kvalitet.
Lovforslaget i proposisjonen gir Kongen adgang til å gi
mer utdypende sikkerhetsforskrifter, bl.a. i form av krav til elektronisk
signering, kommunikasjon og langtidslagring, om godkjenning av programvare,
og om bruk av standarder m.v. Departementet finner at en slik hjemmel
er nødvendig for å kunne gå over fra
papirbasert til elektronisk behandling av helseopplysninger i helseforvaltningen
og helsetjenesten.
Det framholdes at behandling av helseopplysninger etter lovforslaget
forutsetter at det gis nærmere regler i forskrift,
og at det i denne forbindelse blant annet må tas hensyn
til avleveringsbestemmelsene i arkivloven med forskrift.
Departementet foreslår i proposisjonen at det inntas
en bestemmelse om internkontroll, og en egen forskriftshjemmel om
dette fordi det kan bli tale om mer omfattende og utdypende regler
enn i den generelle forskriften, som blir fastsatt i henhold til
lov om behandling av personopplysninger, og fordi det kan bli nødvendig å samordne
interkontrollforskriften med den øvrige internkontrollvirksomhet
innen helsetjenesten. Departementet har i lovforslaget brukt samme formulering
som i personopplysningloven.
Ifølge departementets forslag skal den databehandlingsansvarlige
svare på henvendelser om informasjon og innsyn i behandling
av helseopplysninger, og anmodning om retting og sletting av helseopplysninger
uten ugrunnet opphold og senest innen 30 dager. Dersom særlige
grunner gjør det umulig å svare innen 30 dager,
skal det gis foreløpig svar.
Departementet mener at det i utgangspunktet ikke skal kreves
betaling for generell informasjon om helseregistre og behandling
av helseopplysninger.
Når det gjelder forespørsel om innsyn i behandling
av helseopplysninger om en selv, mener departementet at utgangspunktet
fortsatt bør være at innsyn i slike opplysninger
gis uten vederlag, men foreslår at dersom særlige
grunner gjør det nødvendig, skal Kongen kunne
gi forskrift om at den registrerte må betale vederlag inntil
det som det koster å etterkomme kravet.
Departementet mener det er meget viktig å gi informasjon
til befolkningen om behandling av helseopplysninger i sentrale,
regionale og lokale helseregistre, og databehandlingsansvarlige
for slike registre pålegges å informere allmennheten
av eget tiltak. Departementet foreslår også bestemmelser
som pålegger den databehandlingsansvarlige informasjonsplikt
til den registrerte ved innsamling av helseopplysninger, både
ved innsamling av opplysninger fra den registrerte og ved innsamling
av opplysninger fra andre enn den registrerte. Informasjonsplikten
ved innsamling av opplysninger fra den registrerte omfatter også informasjon
om helseopplysningene vil bli utlevert til andre.
Departementet foreslår å lovfeste en rett til
generell informasjon om helseregistre og elektronisk behandling
av helseopplysninger til alle som ber om det, og videre at den registrerte
skal ha en alminnelig rett til innsyn i behandling av helseopplysninger
som kan knyttes til en selv, uansett i hvilke helseregistre disse helseopplysningene
finnes. For å styrke tilliten til registre og elektronisk
behandling av helseopplysninger ønsker departementet å utvide
den registrertes innsynsrett i forhold til tidligere regelverk.
Lovforslaget innebærer at innsynsretten i utgangspunktet
også omfatter rene forskningsregistre.
Etter at de to utvalgene som departementet har opprettet til å utrede
bruk av helseopplysninger i forsikring og biologisk prøvetaking
i arbeidsforhold, har lagt fram innstilling, vil departementet vurdere
om det bør innføres ytterligere restriksjoner
på behandling av helseopplysninger.
Departementet foreslår en felles unntaksregel fra plikten
til å varsle den registrerte ved innsamling av helseopplysninger
og fra innsynsretten. Bestemmelsen har tatt utgangspunkt i en tilsvarende
unntaksregel i lov om behandling av personopplysninger. Databehandlingsansvarlige
som nekter å gi innsyn i medhold av en eller flere unntaksbestemmelser,
må begrunne dette skriftlig med presis henvisning til unntakshjemmelen.
Departementet foreslår at det inntas egne bestemmelser
om retting og sletting av helseopplysninger i helseregisterloven.
Ved utformingen av bestemmelsen har departementet tatt utgangspunkt
i de tilsvarende bestemmelsene i lov om behandling av personopplysninger.
Det er bestemmelser om retting av mangelfulle helseopplysninger,
sletting av unødvendige helseopplysninger og om sletting
eller sperring av helseopplysninger som føles belastende
for den registrerte.
Ved en inkurie ble ikke helsepersonellovens bestemmelse om sletting
av opplysninger i pasientjournaler harmonisert til arkivloven, og
med dette siktemål foreslås bestemmelsen i helsepersonelloven § 43 om
sletting endret.
Departementet foreslår at dersom det er behandlet helseopplysninger
som er uriktige, ufullstendige eller som det ikke er adgang til å behandle,
skal den databehandlingsansvarlige sørge for å rette
de mangelfulle opplysningene. Den databehandlingsansvarlige skal foreta
rettingen av eget tiltak eller på begjæring fra den
registrerte.
Når det gjelder retting av uriktige eller ufullstendige
opplysninger i sentrale, regionale og lokale helseregistre, foreslår
departementet at en bygger på tilsvarende bestemmelser
som i lov om behandling av personopplysninger.
På samme måte som i lov om behandling av personopplysninger,
foreslår departementet at Datatilsynet kan pålegge
sletting av mangelfulle helseopplysninger, dersom tungtveiende personvernhensyn
tilsier det. Et slikt pålegg vil gå foran arkivloven § 9
bokstav d. Før et slikt pålegg gis, skal Riksarkivaren
høres.
Lovforslaget fastsetter at ved retting av helseopplysninger skal
alltid eventuelle mottakere informeres.
Departementet har valgt å foreslå en egen bestemmelse
om plikt til å slette helseopplysninger som det ikke lenger
er nødvendig å oppbevare for å gjennomføre
formålet med behandlingen av opplysningene, hvis ikke arkivlovgivningen
eller annen lovgivning bestemmer at opplysningene skal oppbevares.
Bestemmelsen er utformet etter mønster av tilsvarende bestemmelse
i lov om behandling av personopplysninger.
Departementet foreslår at det inntas en generell bestemmelse
i loven om at helseopplysninger kan lagres for historiske,
statistiske eller vitenskapelige formål, dersom samfunnets
interesse i at opplysningene lagres klart overstiger de ulempene
det kan medføre for den enkelte.
Når det gjelder sletting av helseopplysninger i elektroniske
pasientjournaler og andre behandlingsrettede helseregistre, henviser
lovforslaget til bestemmelsene i helsepersonelloven. For helseopplysninger i
andre helseregistre enn behandlignsrettede helseregistre, mener
departementet det bør være en slettingsrett for
den registrerte på visse vilkår.
Departementet foreslår at den registrerte kan kreve
helseopplysninger om seg selv slettet eller sperret dersom den registrerte
føler det sterkt belastende at opplysningene behandles,
og det ikke av sterke allmenne hensyn finnes grunn til å oppbevare
opplysningene. Dersom det i arkivlovgivningen er bestemt at opplysningene
den registrerte krever slettet, skal oppbevares, kan den databehandlingsansvarlige
ikke slette opplysningene etter egen vurdering. Et vedtak på tvers
av arkivlovgivningen kan bare treffes av Datatilsynet etter at Riksarkivaren
er hørt.
Etter lovforslaget kan krav om retting eller sletting av journalopplysninger
i pasientjournalen rettes til helsepersonell som har dokumentasjonsplikt
etter helsepersonelloven § 39, eller til den databehandlingsansvarlige
for opplysningene, mens krav om retting eller sletting av helseopplysninger
i sentrale, regionale og lokale helseregistre skal kunne rettes
til den databehandlingsansvarlige for opplysningene. Dersom den
databehandlingsansvarlige avslår et krav om retting eller
sletting fra den registrerte, kan den registrerte anmode Datatilsynet
om å pålegge den databehandlingsansvarlige å rette,
evt. slette opplysningene. Departementet foreslår at Datatilsynets
vedtak om retting eller sletting går foran reglene i arkivloven. Forslaget
er i samsvar med tilsvarende bestemmelse i lov om behandling av
personopplysninger. Avslag på krav om retting og sletting
som omfattes av helsepersonelloven §§ 42
og 43, kan påklages til fylkeslegen som etter å ha
innhentet uttalelse fra Datatilsynet, avgjør om retting
evt. sletting kan foretas.
Departementet foreslår at Datatilsynet skal føre tilsyn
med at loven og forskrifter som gis i medhold av loven, overholdes,
og at feil eller mangler blir rettet, hvis ikke tilsynsoppgaven
påligger Statens helsetilsyn etter lov om statlig tilsyn
med helsetjenesten. Forholdet mellom Datatilsynets og Helsetilsynets
oppgaver, tilsynsansvar og påleggsmyndighet drøftes
nærmere, og det framholdes bl.a. at utgangspunktet for
Datatilsynets tilsynsansvar er det personvernfaglige, mens Statens
helsetilsyn skal føre tilsyn med loven i forhold til helsefaglige
spørsmål.
For å legge forholdene til rette for at det faktisk foregår
en dialog mellom Datatilsynet og den databehandlingsansvarlige før
en behandling av helseopplysninger tar til, foreslår departementet
en presisering av meldeplikten som innebærer at melding
til Datatilsynet skal gis senest 30 dager før behandling
av helseopplysninger tar til, og at Datatilsynet skal gi den databehandlingsansvarlige
kvittering for at melding er mottatt.
Departementet foreslår at opprettelse og behandling
av helseopplysninger i sentrale, landsomfattende registre, som reguleres
ved egen forskrift med hjemmel i loven, underlegges meldeplikt til
Datatilsynet. Departementet foreslår videre at helseregistre
og elektronisk behandling av helseopplysninger som kommuner og fylkeskommuner
driver for å ivareta lovpålagte oppgaver, og som
har hjemmel i forskrift i medhold av helseregisterloven, underlegges
meldeplikt til Datatilsynet. Når det gjelder hvilke opplysninger
meldingen til Datatilsynet skal inneholde, foreslås en
bestemmelse som er harmonisert med den tilsvarende bestemmelse i
lov om behandling av personopplysninger.
Departementet foreslår at Datatilsynet gis adgang til å gi
den databehandlingsansvarlige pålegg om at behandling av
helseopplysninger i strid med loven skal opphøre, eller
stille vilkår som må oppfylles for at behandlingen
av helseopplysningene skal være i samsvar med loven. Videre
foreslår departementet at Statens helsetilsyn kan gi slike
pålegg dersom det kan antas at behandlingen av helseopplysningene
kan ha skadelige følger for pasienten. Statens helsetilsyn
skal informeres når Datatilsynet treffer en avgjørelse
om pålegg, og Datatilsynet skal informeres når
Statens helsetilsyn treffer en avgjørelse om pålegg.
Pålegg skal iverksettes straks hvis ikke påleggsmyndigheten bestemmer
noe annet.
Departementet foreslår også at Datatilsynet
kan fastsette tvangsmulkt. Det uttales at da Helsetilsynet verken
etter tidligere rett eller etter de nye helselovene gis adgang til å ilegge
tvangsmulkt, er det naturlig at Helsetilsynet heller ikke gis dette
etter helseregisterloven.
Departementet har kommet til at straffebestemmelsene i helseregisterloven
i størst mulig grad bør harmonisere med tilsvarende
bestemmelser i lov om behandling av personopplysninger.
Departementet foreslår at følgende handlinger evt.
unnlatelser etter loven skal kunne straffeforfølges:
unnlatelse av å informere
den registrerte om innsamling av opplysninger
behandling av helseopplysninger i strid med bestemmelsene
om sikring av konfidensialitet, integritet, kvalitet og tilgjengelighet
behandling av helseopplysninger i strid med bestemmelsen
om databehandlers rådighet over helseopplysningene
unnlatelse av å sende melding til Datatilsynet
unnlatelse av å gi opplysninger til tilsynsmyndighetene
unnlatelse av å etterkomme pålegg fra
Datatilsynet og Statens helsetilsyn
Videre mener departementet at overtredelse av eventuell meldingsplikt
fastsatt i henhold til forskrift etter loven, bør kunne
straffesanksjoneres, og eventuelt også overtredelse av
andre krav som forskriftfestes.
Departementet foreslår at det inntas egne erstatningsregler
i loven for å synliggjøre og presisere gjeldende
rett og ny lovgivning på området.
Det vises til at når personopplysningsloven har trådt
i kraft, vil den være den generelle loven for behandling
av personopplysninger. Bestemmelsene om behandling av helseopplysninger
i helseregisterloven vil være spesialbestemmelser i forhold
til tilsvarende bestemmelser i personopplysningsloven. Departementet
foreslår at det i helseregisterloven inntas en bestemmelse
om at i den utstrekning ikke annet følger av loven, gjelder
personopplysningsloven som utfyllende bestemmelser.Videre vil de
alminnelige regler for behandling av personopplysninger i personopplysningsloven
være rettsgrunnlag for Datatilsynet i behandlingen av konsesjonspørsmål.
Det uttales at det er vanskelig å være konkret
i vurderingene knyttet til mulige administrative og økonomiske
konsekvenser av lovforslaget, men at arbeidet med forskriftene i
større grad vil kunne avdekke økonomiske og administrative
konsekvenser ved innføring av elektronisk informasjonsteknologi.
Det framholdes at journalforskriften må revideres; eventuelt
må det utarbeides en ny forskrift om elektroniske pasientjournaler.
Departementet har beregnet at arbeidet med journalforskriften vil
kreve ca. ett årsverk, eller ca. 500 000 kroner
på sentralt hold. Dette forskriftsarbeidet vil også bedre
kunne konkretisere de økonomiske kostnadene ved overgangen
til elektroniske pasientjournaler.
Overgangen til elektroniske pasientjournaler og elektronisk samhandling
og kommunikasjon antas å medføre flere praktiske
fordeler knyttet til effektivisering og kvalitet på helsetjenesten.
Det framholdes at kostnadene må veies opp mot forventet
gevinst ved gjennomføring av tiltakene.
Det uttales at gevinsten for helsevesenet og for samfunnet generelt
representerer størrelser som ikke lar seg tallfeste fordi
en ikke vil kunne se resultatene før noen tid er gått.
Gevinsten for helseforvaltningen og helsetjenesten forutsetter at
en bygger opp nødvendig kompetanse på området.
Det framholdes at lovbestemmelsene om sammenstilling og utlevering
er synlige virkemidler for å følge opp og videreutvikle
arbeidet som ble igangsatt med NOU 1997:26 «Tilgang til
helseregistre», men at arbeidet med dokumentasjon av data
vil kunne bli en tidkrevende prosess, og er en oppgave som innebærer et økt
behov for ressurser. Samlet antas det at oppfølgingen av
NOU 1997: 26 vil beløpe seg til ca. 2,9 mill. kroner første år,
2,7 mill. kroner annet og tredje driftsår, og ca. 2,5 mill.
kroner i etterfølgende år.
Det uttales at det vil knytte seg utgifter til tilpasning av
elektroniske pasientournaler, herunder behandlingsrettede helseregistre
og andre helseregistre i helsetjenesten til lovens sikkerhetsbestemmelser,
men at konkrete beløp er vanskelig å anslå,
og at det vil variere avhengig av om aktørene driver registre
og/eller hvor langt en er kommet i å ta i bruk
elektronisk kommunikasjon.
Det framholdes at innføring av internkontroll i en overgangsperiode
vil medføre etableringskostnader, men at internkontroll
som alle andre kvalitetssystemer også har som mål å effektivisere
driften.
Når det gjelder helseregistre som allerede er etablert,
vil databehandlingsansvarlige få noe utvidede plikter.
Det uttales at merkostnadene her må anses som moderate,
og at de må dekkes av de alminnelige driftsutgifter.
Det påpekes at erstatningsreglene er nye, og at en nærmere
fastleggelse av de økonomiske kostnadene etter bestemmelsene
bare kan bygge på antakelser. Departementet vil derfor
vurdere de økonomiske og administrative konsekvenser av
erstatningsreglene ca. 2 år etter lovens ikrafttreden.
Departementet forventer moderate økte kostnader for
tilsynsmyndighetene.