Til Odelstinget
Regjeringen legger i proposisjonen fram forslag til lov om helseregistre
og behandling av helseopplysninger (helseregisterloven). Siktemålet
med loven er å legge til rette for fullgod informasjonssikkerhet
ved behandling av helseopplysninger og bidra til at målene
som settes for folkehelsen og den enkeltes helse, kan nås.
Det uttales at loven skal bidra til å ivareta et sterkt
pasientvern såvel som personvern.
Det framholdes at en viktig utfordring for den utøvende
helsetjeneste er hvordan en skal sikre opplysningenes konfidensialitet
og kvalitet, og samtidig sikre helsetjenesten adekvat
tilgang på opplysninger for å kunne tilby den
enkelte pasient best mulig helsehjelp.
Det har i de siste 20 år vært nedsatt en rekke
forskjellige arbeidsgrupper og utvalg for å vurdere ulike sider
som drift, organisering, ansvarsforhold, hjemmelsspørsmål
og lignende for de epidemiologiske registrene i Norge. Det redegjøres
i proposisjonen for USEI-rapportene («Utredning vedrørende
samarbeid mellom sentrale epidemiologiske institutter»),
Lerche-utvalget, Hellandsvik-utvalgets delrapport nr. 6, NOU 1993:22
Pseudonyme helseregistre (Boe-utvalget), Sosial- og helsedepartementets
IT-plan og NOU 1997:26 Tilgang til helseregistre.
Sosial- og helsedepartementet sendte i november 1998 utkast til
lov om helseregistre og elektronisk behandling av helseopplysninger
på høring. Høringsfristen ble satt til
februar 1999. Departementet har mottatt 101 svar på høringsbrevet.
Departementet har særlig vurdert om opprettelsen av
landsomfattende helseregistre bør skje direkte i lov, ved
at det gis en lov for hvert sentralt register. Det uttales at demokratihensyn
og kanskje muligheten til bedre å sikre den politiske debatt
kunne tale for å legge en slik myndighet til Stortinget.
Departementet har imidlertid kommet til ikke å ville foreslå en
slik løsning idet det mener at personvernet kan bli like
godt, om ikke bedre, ivaretatt, ved at Stortinget gir rammebestemmelser
for sentrale helseregistre, og at det enkelte register opprettes
ved forskrift.
I arbeidet med proposisjonen har departementet særskilt
vurdert forslaget fra Den nasjonale forskningsetiske komité om å innta
et forbud mot at arbeidsgivere, forsikringsselskaper og lignende
interessenter skal kunne be om samtykke fra enkeltpersoner for å få tilgang
til data fra forskningsregistre. Departementet finner det riktig å avvente
den pågående utredning om dette før en
tar endelig stilling til forslaget.
Det vises til at Sosial- og helsedepartementet har nedsatt et
utvalg for å utrede problemstillinger knyttet til biologisk
prøvetaking i arbeidslivet. Utvalget skal bl.a. vurdere
om det er tilstrekkelig regulert hvordan helseopplysninger skal
behandles, og hva resultatet av prøvetakingen skal brukes
til. Dersom utredningen viser at det er behov for nye tiltak for å beskytte
arbeidssøkere og arbeidstakere på dette området,
bør utvalget foreslå nødvendige tiltak,
herunder forslag til endringer i regelverk/avtaler/praksis.
Utvalget skal avgi sin innstilling innen juni 2000.
Det framholdes at spørsmål om innsamling, lagring
og bruk av biologisk materiale reiser en rekke rettslige spørsmål
som dagens personvernlovgivning og helselovgivning ikke tar stilling
til. Det uttales at Sosial- og helsedepartementet arbeider med å nedsette et
utvalg som nærmere skal utrede ulike rettslige spørsmål
i forhold til bioteknologi, forskning og biobanker.
Om gjeldende rett framholdes bl.a. at når en skal vurdere
hjemmelsgrunnlaget til helseregistre og andre informasjonssystemer,
må en ta utgangspunkt i følgende forhold:
Personidentifiserbare helseopplysninger
som foreligger i helseregistre, er opplysninger som i utgangspunktet
er underlagt taushetsplikt, og det må stilles spørsmål
om det er adgang til å gjøre unntak fra taushetsplikten.
Det må skilles mellom opplysningsrett og opplysningsplikt,
og det må foreligge et rettsgrunnlag for å kunne
pålegge noen en meldeplikt.
Dersom det er tillatt å utlevere helseopplysningene
med basis i taushetspliktbestemmelsene, oppstår spørsmålet
om disse opplysningene kan registreres.
Det gis en generell redegjørelse om taushetsplikt, og
det redegjøres nærmere for relevante bestemmelser i
helselovgivningen og personregisterloven. Det framholdes bl.a. at
alle landets helseregistre bortsett fra elektroniske pasientjournaler
i den offentlige helsetjeneste er underlagt konsesjonsplikt etter
personregisterloven.
Det understrekes at både folketrygdloven og arbeidsmiljøloven
har bestemmelser som er av stor betydning for muligheten til å opprette
helseregistre utenfor helseforvaltningen og helsetjenesten.
Videre redegjøres for direktiv 95/46/EF
om beskyttelse av fysiske personer i forbindelse med behandling
av personopplysninger og om fri utveksling av slike opplysninger,
og forholdet til det foreliggende lovforslaget. Direktivet ble besluttet
innlemmet i EØS-avtalen 25. juni 1999.
Det framholdes at etter Grunnloven § 110 bokstav c
første punktum påligger det statens myndigheter å respektere
og sikre menneskerettighetene.
De mest sentrale konvensjonene av betydning for behandling av
helseopplysninger er Europarådets konvensjon av 4. november
1950 om beskyttelse av menneskerettighetene og de grunnleggende
friheter (EMK), Europarådets konvensjon av 28. januar 1981 nr.
108 om personvern i forbindelse med elektronisk behandling av personopplysninger
(personvernkonvensjonen) og De forente nasjoners internasjonale konvensjon
av 16. desember 1966 om sivile og politiske rettigheter. De nevnte
konvensjonene er folkerettslig bindende for Norge.
Det uttales at for oppfølging av personvernkonvensjonen
har Europarådet bl.a. fastsatt to rekommandasjoner av betydning
for opprettelse av helseregistre. Det er rekommandasjon av 23. januar
1981 om medisinske databanker og rekommandasjon av 23. september
1983 om forskning og statistikk. Andre relevante rekommandasjoner
som omtales, er rekommandasjonen om innsamling av epidemiologiske
data av 6. mars 1989 og rekommandasjonen om beskyttelse av medisinske
opplysninger av 13. februar 1997 som erstatter rekommandasjonen
om medisinske databanker. Rekommandasjonene er ikke rettslig bindende
for Norge, men det understrekes at de likevel vil veie tungt ved
utforming av norske regler på tilsvarende område,
da det legges til grunn at norske myndigheter så langt
som mulig vil tilstrebe å rette seg etter anbefalingene.
Slik departementet ser det, respekterer og sikrer lovforslaget
menneskerettighetene på en god måte. Dette blir
utdypet gjennom omtale av de ulike konvensjonene og rekommandasjonene.
Det redegjøres for relevant lovgivning i Finland, Sverige,
Danmark og Island.
Det redegjøres for Sosial- og helsedepartementets hovedoppgaver
og for Statens helsetilsyn som har det overordnede faglige tilsyn
med helsetjenesten i landet. Eksempler på andre institusjoner
under departementet som har ansvar for behandling av helseopplysninger
i sentrale landsomfattende registre, er Kreftregisteret, Statens
institutt for folkehelse (bl.a. Meldesystemet for smittsomme sykdommer
og Medisinsk fødselsregister i Bergen), Statens rettstoksikologiske
institutt, Statens strålevern og Statens helseundersøkelser
(bl.a. Tuberkuloseregisteret).
Det redegjøres for fylkeskommunenes og kommunenes ansvar
når det gjelder helsetjenester, og det understrekes særskilt
at kommunenes helsetjeneste for å kunne gjennomføre
sine oppgaver til enhver tid må ha oversikt over helseforholdene
til befolkningen i kommunen og de faktorer som kan virke inn på denne.
Under drøftingen av personvern og den personlige integritet
understrekes det bl.a. at det er et viktig politisk spørsmål å finne
balansen mellom samfunnets behov for opplysninger og individers ønske
om hemmeligholdelse.
Ulike involverte interesser drøftes, og det framholdes
bl.a. at pasientinteressen representerer den enkelte pasients interesse
i å kunne holde seg frisk og å få adekvat
diagnostikk og behandling når sykdom oppstår,
mens personverninteressen representerer den enkeltes interesse i
at opplysninger om vedkommende ikke spres, uten at det kan komme
han eller henne til nytte, og at opplysningene er riktige og benyttes
riktig. Det påpekes at det er en klar forbindelse mellom pasientinteressene
og samfunnets interesse for kunnskapsoppbygging, forskning og effektiv
helseadministrasjon da ulike pasientgrupper vil ha stor nytte av godt
utviklede kvalitetssikringssystemer. For pasientinteressen er det
viktig at behandling av helseopplysninger skjer på en måte
som kan sikre en effektiv og forsvarlig helsehjelp til pasienten.
Det understrekes at dersom det er konflikt mellom personvernet
til den enkelte pasient og andre interesser, skal det svært
tungtveiende argumenter til for at personvernet til enkeltindividet
skal vike.
Det framholdes at kunnskap om sykdomsårsaker er nødvendig
for å drive helsefremmende og sykdomsforebyggende helsearbeid.
Introduksjon av nye kjemiske stoffer i produksjon av varer og tjenester, nye
medikamenter og nye tilsetningsstoffer i næringsmidler
gjør at samfunnet har et økende behov for å overvåke
befolkningens helsetilstand over tid for å kunne oppdage
endring eller økning i hyppighet av sykdom og risikofaktorer.
Det framholdes videre at kunnskap er av stor betydning for styring,
planlegging og kvalitetsutvikling og kvalitetssikring av helsetjenestene.
Det uttales at opprettelse av et landsomfattende pasientregister
i Norge med personentydige data vil kunne gi sentrale myndigheter
informasjon om kvalitetsutviklingen og kvalitetssikringen i langt større
grad enn i dag.
Det redegjøres for den betydningen gode data har for
ulike typer forskning som epidemiologisk forskning, helsetjenesteforskning,
klinisk forskning og basal medisinsk forskning. Det understrekes
at et fellestrekk ved all behandling av helseopplysninger er kravet
til god datakvalitet. God datakvalitet er nødvendig for å bygge
opp god og riktig helsefaglig kunnskap, og for personvernet er det
viktig at de avgjørelser som treffes, bygger på et
fullstendig og riktig kunnskapsgrunnlag.
Om lovens formål uttaler Sosial- og helsedepartementet
bl.a. at loven skal gi det nødvendige verktøy for å kunne
ta i bruk elektroniske pasientjournaler og elektronisk informasjonsutveksling
i helsetjenesten. Videre skal loven gi det nødvendige rettsgrunnlag
for lokale, regionale og sentrale helseregistre helseforvaltningen
finner det nødvendig å opprette for å utvikle
og formidle informasjon og kunnskap, slik at de målene
som settes for folkehelsen, helsetjenesten og den enkeltes helse,
kan nås.
Personvernformålene i loven er angitt på samme måte
som i lov om behandling av personopplysninger.
Det redegjøres i proposisjonen for definisjoner av begreper
som «helseopplysninger», «avidentifiserte opplysninger», «anonyme
opplysninger», «behandling av helseopplysninger», «helseregister», «elektronisk
pasientjournal», «behandlingsrettet helseregister», «databehandlingsansvarlig», «databehandler», «registrert» og «samtykke».
Departementet har kommet til at hensynet til et enhetlig, helhetlig
og sammenhengende lovverk taler for å samle reglene om
elektronisk behandling av helseopplysninger, herunder regler om
informasjonssikkerhet, standarder, kode- og klassifikasjonssystemer, elektronisk
kommunikasjon etc. i én lov. Departementet mener at en
enhetlig og helhetlig lovstruktur særlig er viktig av hensynet
til personvernet og de registrertes muligheter til å kunne
følge med på hvordan helseopplysninger om dem
selv behandles.
Departementet foreslår at loven skal gjelde for behandling
av helseopplysninger i helseforvaltningen og helsetjenesten som
skjer helt eller delvis med elektroniske hjelpemidler for å fremme
formål som beskrevet i § 1. I tillegg
foreslår departementet at loven skal gjelde for annen behandling
av helseopplysninger, når helseopplysningene inngår
eller skal inngå i et helseregister. Departementet foreslår
at Kongen i Statsråd i forskrift kan bestemme at en eller
flere av lovens bestemmelser også skal gjelde for behandling av
helseopplysninger utenfor helseforvaltningen og helsetjenesten for å ivareta
formål som beskrevet i loven § 1. Det
uttales at en slik utvidelse av lovens virkeområde først
og fremst vil strekke seg til sosialforvaltningen og trygdeforvaltningen.
Når det gjelder helseregistre som opprettes i henhold
til arbeidsmiljøloven § 20, innebærer
avgrensningen til helseforvaltningen at disse helseregistrene i utgangspunktet
ikke omfattes av loven. Det samme gjelder Arbeidstilsynets helseregistre.
Departementet foreslår at pasientjournalen og andre
behandlingsrettede helseregistre kan føres elektronisk.
Det framholdes at målet er at elektroniske pasientjournaler,
elektronisk kommunikasjon og bruk av nett som infrastruktur skal
bli like akseptert, tillitvekkende og ha samme juridiske holdbarhet
som tradisjonell skriftlig dokumentasjon og kommunikasjon.
Departementet foreslår at Kongen i forskrift skal kunne
gi nærmere bestemmelser om behandling av helseopplysninger
i elektroniske pasientjournaler og andre behandlingsrettede helseregistre.
Loven forutsetter at før de nærmere krav til slike
pasientjournaler er utredet, vil den elektroniske pasientjournalen
ikke kunne erstatte den papirbaserte pasientjournalen.
Hjemmelen eller rettsgrunnlaget for en forskrift om elektroniske
pasientjournaler vil i tillegg til helseregisterloven være
helsepersonelloven og evt. spesialisthelsetjenesteloven.
Departementet foreslår at databehandlingsansvaret for
elektroniske pasientjournaler legges til den fylkeskommune, kommune
og annen offentlig eller privat virksomhet som tar i bruk elektroniske
pasientjournaler, eventuelt andre behandlingsrettede helseregistre.
Departementet påpeker at det er svært viktig
at innføring av ny informasjonsteknologi skjer i takt med
utbygging av sikkerhetssystemer og kompetanse på området.
Loven åpner opp for at det er tilstrekkelig å ha
elektronisk pasientjournal. Det uttales at hvordan en praktisk kan
oppfylle kravet til sikker dokumentasjon, må framgå nærmere
av forskriften, og videre at dersom den papirbaserte pasientjournalen
skal kunne erstattes av elektroniske pasientjournaler, må det
etableres en standard for arkivering av elektroniske pasientjournaler
som er så god at den også tilfredsstiller arkivlovens
regelverk.
Det gis i proposisjonen en kort omtale av sentrale landsomfattende
helseregistre som Kreftregisteret, Medisinsk fødselsregister,
Dødsårsaksregisteret og Meldingssystemet for infeksjonssykdommer.
Departementet foreslår at Kongen i Statsråd
i forskrift skal kunne gi nærmere bestemmelser om behandling
av helseopplysninger i sentrale helseregistre til bruk for administrasjon,
styring, planlegging og kvalitetssikring av helsetjenesten, forskning
og statistikk. I denne forskriften vil Kongen i Statsråd
også ta stilling til personidentifikasjonen, dvs. om opplysningene
skal registreres på navn og fødselsnummer, eller om
navn og fødselsnummer skal erstattes med et pseudonym.
Departementet påpeker at det følger av lovforslaget § 11
at helseopplysninger (personidentifiserbare opplysninger) bare kan
innsamles til sentrale helseregistre når personidentifisering
er nødvendig for å ivareta formålet med
registeret.
Det uttales at den nærmere grensetrekning av hvilke
sentrale helseregistre som bør opprettes etter beslutning
av Kongen i Statsråd, versus hvilke helseregistre Datatilsynet
bør gi konsesjon til, må vurderes ut fra helseforvaltningens
og helsetjenestens behov, og ses i forhold til personregisterloven
og lov om behandling av personopplysninger. Departementet legger
til grunn at sykdomsregistre og kvalitetsregistre som omfatter flere
diagnosetyper over hele befolkningen, bør reguleres i forskrift
av Kongen i Statsråd, og det samme gjelder sykdomsregistre,
kvalitetsregistre eller helsetjenesteregistre som inneholder svært
følsomme opplysninger som gir stor usikkerhet om virkningen
av registreringen. Mindre omfattende helseregistre som avdekker
en ikke spesielt sensitiv sykdomsgruppe, bør ifølge
proposisjonen kunne opprettes etter konsesjon fra Datatilsynet.
Departementet foreslår at forskriften som gis, også bør
gi nærmere bestemmelser om den databehandlingsansvarliges
plikt til å gjøre data tilgjengelig for at formålene
kan nås, og at det skal fastsettes i forskriften hvem som
skal være databehandlingsansvarlig for opplysningene.
Det opplyses at det har vist seg meget vanskelig å få oversikt
over regionale og lokale helseregistre i den desentraliserte helseforvaltningen.
Departementet foreslår at Kongen i Statsråd
i forskrift skal kunne gi nærmere bestemmelser om behandling
av helseopplysninger i regionale helseregistre for ivaretakelse
av oppgaver etter smittevernloven, spesialisthelsetjenesteloven
og tannhelsetjenesteloven. Forskriften skal angi formålet
med behandlingen av opplysningene og hvilke opplysninger som kan
behandles. Det framholdes at regionale sykdoms- og/eller
kvalitetsregistre vil være meget viktige verktøy
i avklaring av behandlingseffekter, virkninger og bivirkninger.
Videre foreslår departementet at Kongen i Statsråd
i forskrift også skal kunne gi nærmere bestemmelser
om behandling av helseopplysninger i lokale helseregistre for ivaretakelse
av oppgaver etter kommunehelsetjenesteloven og smittevernloven.
Departementet foreslår at det i lovens kapittel om tillatelse
til å behandle helseopplysninger, etablering av helseregistre
etc. presiseres at behandling av helseopplysninger bare kan skje
når dette er tillatt etter personopplysningsloven §§ 9
og 33 eller følger av bestemmelser fastsatt i forskrift
med hjemmel i helseregisterloven. Det samme gjelder annen behandling
av slike opplysninger dersom opplysningene inngår eller skal
inngå i et helseregister. Videre foreslår departementet
at det tas inn et tillegg om at behandlingen av opplysningene ikke
skal være forbudt ved lov eller ved annet særskilt
rettsgrunnlag som f.eks. menneskerettighetskonvensjoner Norge er
bundet av.
Departementet foreslår at hovedregelen ved innsamling
av helseopplysninger til sentrale, regionale og lokale helseregistre
skal være at den registrertes samtykke skal innhentes før
opplysningene utleveres eller overføres, evt. innhentes
fra den registrerte selv. Lovforslaget åpner opp for at
helseopplysninger etter forskrift av Kongen i Statsråd
skal kunne overføres til sentrale helseregistre selv om
den registrerte ikke har samtykket, og selv om opplysningene er
underlagt lovbestemt taushetsplikt. For bedre å synliggjøre
hovedregelen om samtykke foreslår departementet at det tas
inn et nytt annet punktum i kommunehelsetjenesteloven § 3-4
og tannhelsetjenesteloven § 3-4 om at utlevering
av taushetsbelagte opplysninger etter første punktum skal
skje etter samtykke fra den opplysningene angår, hvis ikke
annet er bestemt i eller i medhold av lov. Departementet mener dette
vil bidra til å styrke pasientenes vern mot spredning av
taushetsbelagt pasientinformasjon.
Når det gjelder innsamling av helseopplysninger etter
smittevernloven, foreslår departementet at smittevernloven
harmoniseres til helseregisterloven.
Departementet har vurdert om noen diagnosetyper (f.eks. psykiske
lidelser, kjønnssykdommer, rusmiddelavhengighet, HIV, AIDS)
er så følsomme at de bør reguleres særskilt,
slik som visse genetiske helseopplysninger i lov om bruk av medisinsk
bioteknologi § 6-4 annet ledd. Departementet har
kommet til at en ikke vil foreslå å særregulere
nærmere bestemte opplysninger i loven, men framholder at
det ikke er noe i veien for at den enkelte forskrift gjør
dette. Departementet har også vurdert om enkelte opplysninger
av betydning for helseforhold burde særreguleres, f.eks. personlige
levevaner som røyking, alkoholkonsum etc., men vil ikke
foreslå dette.
Departementet foreslår at dersom den registrerte føler
at en registrering av nærmere bestemte opplysninger er
sterkt belastende, skal han eller hun på vilkår ha
en mulighet til få slettet eller sperret opplysningene.
Departementet har vurdert om den enkelte registrerte i sin alminnelighet
bør kunne kreve at navn og fødselsnummer, eventuelt
andre personentydige data, skal fjernes fra de øvrige opplysningene,
før opplysningene overføres til sentrale, landsomfattende
helseregister, men har kommet til ikke å ville fremme et slikt
forslag.
Departementet foreslår at virksomheter og helsepersonell
som tilbyr eller yter tjenester i henhold til apotekloven, kommunehelsetjenesteloven,
smittevernloven, spesialisthelsetjenesteloven og tannhelsetjenesteloven,
bør kunne pålegges meldingsplikt til sentrale,
regionale og lokale helseregistre i forskrift.
Det foreslås at departementet skal kunne pålegge fylkeskommuner
og kommuner å innrapportere avidentifiserte eller
anonyme data til statistikk og også fastsette standarder
m.v. for dette. Dagens kommunelov gir ikke departementet nødvendig
lovhjemmel for dette, og det uttales at inntil dette endres, bør
det være et tilstrekkelig rettsgrunnlag for statstikkinnhenting
i helsesektoren i helseregisterloven.
Departementet mener det er viktig å synliggjøre krav
til formålsangivelse, relevans og saklighet i forhold til
behandling av helseopplysninger, og har lagt vekt på å harmonisere
ordlyden i sikkerhetsbestemmelsen med tilsvarende bestemmelse i
lov om behandling av personopplysninger.
For både sentrale helseregistre og regionale og lokale
helseregistre mener departementet at formålet med behandlingen
av helseopplysningene skal angis i forskrift. Slik som i lov om
behandling av personopplysninger foreslås en bestemmelse
om at helseopplysninger ikke kan anvendes til formål som
er uforenlig med det opprinnelige formålet med innsamlingen
av opplysningene, uten at den registrerte samtykker.
Departementet foreslår at helseopplysninger i elektroniske
pasientjournaler og andre behandlingsrettede helseregistre kan sammenstilles
med helseopplysninger i annen pasientjournal eller behandlingsrettet
helseregister om samme pasient i tråd med helsepersonelloven §§ 25,
26 og 45. Formålet med en slik sammenstilling vil være å skaffe
best mulig kunnskapsgrunnlag for pasientbehandling.
Departementet foreslår også at Kongen i Statsråd gis
adgang til å gi særlige regler om sammenstilling
av helseopplysninger i forskrift som gis etter loven §§ 7 og
8. Det eller de formål som kan begrunne sammenstilling
av helseopplysninger, må framgå av forskriften,
og formålet må omfattes av lovens formål.
Det framholdes at det kan stilles spørsmål
om en utlevering av helseopplysninger fra koplingsinstansen til
den instans som skal bearbeide dataene videre, har tilstrekkelig
hjemmel i lov. Rettsgrunnlag for en slik praksis foreslås
derfor tatt inn i loven.
Departementet har kommet til at taushetspliktbestemmelsen i helsergisterloven
bør ta mønster av tilsvarende bestemmelse i spesialisthelsetjenesteloven.
Departementet mener adgangen til å utlevere helseopplysninger
for sammenstilling bør framgå av loven, og foreslår
rettsgrunnlag for dette.
Departementet foreslår å lovfeste en generell
sikkerhetsbestemmelse som skal gjelde ved all behandling av helseopplysninger
i helseforvaltningen og helsetjenesten. Bestemmelsen som foreslås,
er harmonisert med sikkerhetsbestemmelsen i lov om behandling av
personopplysninger, men knytter i tillegg informasjonssikkerhet
til begrepet kvalitet.
Lovforslaget i proposisjonen gir Kongen adgang til å gi
mer utdypende sikkerhetsforskrifter, bl.a. i form av krav til elektronisk
signering, kommunikasjon og langtidslagring, om godkjenning av programvare,
og om bruk av standarder m.v. Departementet finner at en slik hjemmel
er nødvendig for å kunne gå over fra
papirbasert til elektronisk behandling av helseopplysninger i helseforvaltningen
og helsetjenesten.
Det framholdes at behandling av helseopplysninger etter lovforslaget
forutsetter at det gis nærmere regler i forskrift,
og at det i denne forbindelse blant annet må tas hensyn
til avleveringsbestemmelsene i arkivloven med forskrift.
Departementet foreslår i proposisjonen at det inntas
en bestemmelse om internkontroll, og en egen forskriftshjemmel om
dette fordi det kan bli tale om mer omfattende og utdypende regler
enn i den generelle forskriften, som blir fastsatt i henhold til
lov om behandling av personopplysninger, og fordi det kan bli nødvendig å samordne
interkontrollforskriften med den øvrige internkontrollvirksomhet
innen helsetjenesten. Departementet har i lovforslaget brukt samme formulering
som i personopplysningloven.
Ifølge departementets forslag skal den databehandlingsansvarlige
svare på henvendelser om informasjon og innsyn i behandling
av helseopplysninger, og anmodning om retting og sletting av helseopplysninger
uten ugrunnet opphold og senest innen 30 dager. Dersom særlige
grunner gjør det umulig å svare innen 30 dager,
skal det gis foreløpig svar.
Departementet mener at det i utgangspunktet ikke skal kreves
betaling for generell informasjon om helseregistre og behandling
av helseopplysninger.
Når det gjelder forespørsel om innsyn i behandling
av helseopplysninger om en selv, mener departementet at utgangspunktet
fortsatt bør være at innsyn i slike opplysninger
gis uten vederlag, men foreslår at dersom særlige
grunner gjør det nødvendig, skal Kongen kunne
gi forskrift om at den registrerte må betale vederlag inntil
det som det koster å etterkomme kravet.
Departementet mener det er meget viktig å gi informasjon
til befolkningen om behandling av helseopplysninger i sentrale,
regionale og lokale helseregistre, og databehandlingsansvarlige
for slike registre pålegges å informere allmennheten
av eget tiltak. Departementet foreslår også bestemmelser
som pålegger den databehandlingsansvarlige informasjonsplikt
til den registrerte ved innsamling av helseopplysninger, både
ved innsamling av opplysninger fra den registrerte og ved innsamling
av opplysninger fra andre enn den registrerte. Informasjonsplikten
ved innsamling av opplysninger fra den registrerte omfatter også informasjon
om helseopplysningene vil bli utlevert til andre.
Departementet foreslår å lovfeste en rett til
generell informasjon om helseregistre og elektronisk behandling
av helseopplysninger til alle som ber om det, og videre at den registrerte
skal ha en alminnelig rett til innsyn i behandling av helseopplysninger
som kan knyttes til en selv, uansett i hvilke helseregistre disse helseopplysningene
finnes. For å styrke tilliten til registre og elektronisk
behandling av helseopplysninger ønsker departementet å utvide
den registrertes innsynsrett i forhold til tidligere regelverk.
Lovforslaget innebærer at innsynsretten i utgangspunktet
også omfatter rene forskningsregistre.
Etter at de to utvalgene som departementet har opprettet til å utrede
bruk av helseopplysninger i forsikring og biologisk prøvetaking
i arbeidsforhold, har lagt fram innstilling, vil departementet vurdere
om det bør innføres ytterligere restriksjoner
på behandling av helseopplysninger.
Departementet foreslår en felles unntaksregel fra plikten
til å varsle den registrerte ved innsamling av helseopplysninger
og fra innsynsretten. Bestemmelsen har tatt utgangspunkt i en tilsvarende
unntaksregel i lov om behandling av personopplysninger. Databehandlingsansvarlige
som nekter å gi innsyn i medhold av en eller flere unntaksbestemmelser,
må begrunne dette skriftlig med presis henvisning til unntakshjemmelen.
Departementet foreslår at det inntas egne bestemmelser
om retting og sletting av helseopplysninger i helseregisterloven.
Ved utformingen av bestemmelsen har departementet tatt utgangspunkt
i de tilsvarende bestemmelsene i lov om behandling av personopplysninger.
Det er bestemmelser om retting av mangelfulle helseopplysninger,
sletting av unødvendige helseopplysninger og om sletting
eller sperring av helseopplysninger som føles belastende
for den registrerte.
Ved en inkurie ble ikke helsepersonellovens bestemmelse om sletting
av opplysninger i pasientjournaler harmonisert til arkivloven, og
med dette siktemål foreslås bestemmelsen i helsepersonelloven § 43 om
sletting endret.
Departementet foreslår at dersom det er behandlet helseopplysninger
som er uriktige, ufullstendige eller som det ikke er adgang til å behandle,
skal den databehandlingsansvarlige sørge for å rette
de mangelfulle opplysningene. Den databehandlingsansvarlige skal foreta
rettingen av eget tiltak eller på begjæring fra den
registrerte.
Når det gjelder retting av uriktige eller ufullstendige
opplysninger i sentrale, regionale og lokale helseregistre, foreslår
departementet at en bygger på tilsvarende bestemmelser
som i lov om behandling av personopplysninger.
På samme måte som i lov om behandling av personopplysninger,
foreslår departementet at Datatilsynet kan pålegge
sletting av mangelfulle helseopplysninger, dersom tungtveiende personvernhensyn
tilsier det. Et slikt pålegg vil gå foran arkivloven § 9
bokstav d. Før et slikt pålegg gis, skal Riksarkivaren
høres.
Lovforslaget fastsetter at ved retting av helseopplysninger skal
alltid eventuelle mottakere informeres.
Departementet har valgt å foreslå en egen bestemmelse
om plikt til å slette helseopplysninger som det ikke lenger
er nødvendig å oppbevare for å gjennomføre
formålet med behandlingen av opplysningene, hvis ikke arkivlovgivningen
eller annen lovgivning bestemmer at opplysningene skal oppbevares.
Bestemmelsen er utformet etter mønster av tilsvarende bestemmelse
i lov om behandling av personopplysninger.
Departementet foreslår at det inntas en generell bestemmelse
i loven om at helseopplysninger kan lagres for historiske,
statistiske eller vitenskapelige formål, dersom samfunnets
interesse i at opplysningene lagres klart overstiger de ulempene
det kan medføre for den enkelte.
Når det gjelder sletting av helseopplysninger i elektroniske
pasientjournaler og andre behandlingsrettede helseregistre, henviser
lovforslaget til bestemmelsene i helsepersonelloven. For helseopplysninger i
andre helseregistre enn behandlignsrettede helseregistre, mener
departementet det bør være en slettingsrett for
den registrerte på visse vilkår.
Departementet foreslår at den registrerte kan kreve
helseopplysninger om seg selv slettet eller sperret dersom den registrerte
føler det sterkt belastende at opplysningene behandles,
og det ikke av sterke allmenne hensyn finnes grunn til å oppbevare
opplysningene. Dersom det i arkivlovgivningen er bestemt at opplysningene
den registrerte krever slettet, skal oppbevares, kan den databehandlingsansvarlige
ikke slette opplysningene etter egen vurdering. Et vedtak på tvers
av arkivlovgivningen kan bare treffes av Datatilsynet etter at Riksarkivaren
er hørt.
Etter lovforslaget kan krav om retting eller sletting av journalopplysninger
i pasientjournalen rettes til helsepersonell som har dokumentasjonsplikt
etter helsepersonelloven § 39, eller til den databehandlingsansvarlige
for opplysningene, mens krav om retting eller sletting av helseopplysninger
i sentrale, regionale og lokale helseregistre skal kunne rettes
til den databehandlingsansvarlige for opplysningene. Dersom den
databehandlingsansvarlige avslår et krav om retting eller
sletting fra den registrerte, kan den registrerte anmode Datatilsynet
om å pålegge den databehandlingsansvarlige å rette,
evt. slette opplysningene. Departementet foreslår at Datatilsynets
vedtak om retting eller sletting går foran reglene i arkivloven. Forslaget
er i samsvar med tilsvarende bestemmelse i lov om behandling av
personopplysninger. Avslag på krav om retting og sletting
som omfattes av helsepersonelloven §§ 42
og 43, kan påklages til fylkeslegen som etter å ha
innhentet uttalelse fra Datatilsynet, avgjør om retting
evt. sletting kan foretas.
Departementet foreslår at Datatilsynet skal føre tilsyn
med at loven og forskrifter som gis i medhold av loven, overholdes,
og at feil eller mangler blir rettet, hvis ikke tilsynsoppgaven
påligger Statens helsetilsyn etter lov om statlig tilsyn
med helsetjenesten. Forholdet mellom Datatilsynets og Helsetilsynets
oppgaver, tilsynsansvar og påleggsmyndighet drøftes
nærmere, og det framholdes bl.a. at utgangspunktet for
Datatilsynets tilsynsansvar er det personvernfaglige, mens Statens
helsetilsyn skal føre tilsyn med loven i forhold til helsefaglige
spørsmål.
For å legge forholdene til rette for at det faktisk foregår
en dialog mellom Datatilsynet og den databehandlingsansvarlige før
en behandling av helseopplysninger tar til, foreslår departementet
en presisering av meldeplikten som innebærer at melding
til Datatilsynet skal gis senest 30 dager før behandling
av helseopplysninger tar til, og at Datatilsynet skal gi den databehandlingsansvarlige
kvittering for at melding er mottatt.
Departementet foreslår at opprettelse og behandling
av helseopplysninger i sentrale, landsomfattende registre, som reguleres
ved egen forskrift med hjemmel i loven, underlegges meldeplikt til
Datatilsynet. Departementet foreslår videre at helseregistre
og elektronisk behandling av helseopplysninger som kommuner og fylkeskommuner
driver for å ivareta lovpålagte oppgaver, og som
har hjemmel i forskrift i medhold av helseregisterloven, underlegges
meldeplikt til Datatilsynet. Når det gjelder hvilke opplysninger
meldingen til Datatilsynet skal inneholde, foreslås en
bestemmelse som er harmonisert med den tilsvarende bestemmelse i
lov om behandling av personopplysninger.
Departementet foreslår at Datatilsynet gis adgang til å gi
den databehandlingsansvarlige pålegg om at behandling av
helseopplysninger i strid med loven skal opphøre, eller
stille vilkår som må oppfylles for at behandlingen
av helseopplysningene skal være i samsvar med loven. Videre
foreslår departementet at Statens helsetilsyn kan gi slike
pålegg dersom det kan antas at behandlingen av helseopplysningene
kan ha skadelige følger for pasienten. Statens helsetilsyn
skal informeres når Datatilsynet treffer en avgjørelse
om pålegg, og Datatilsynet skal informeres når
Statens helsetilsyn treffer en avgjørelse om pålegg.
Pålegg skal iverksettes straks hvis ikke påleggsmyndigheten bestemmer
noe annet.
Departementet foreslår også at Datatilsynet
kan fastsette tvangsmulkt. Det uttales at da Helsetilsynet verken
etter tidligere rett eller etter de nye helselovene gis adgang til å ilegge
tvangsmulkt, er det naturlig at Helsetilsynet heller ikke gis dette
etter helseregisterloven.
Departementet har kommet til at straffebestemmelsene i helseregisterloven
i størst mulig grad bør harmonisere med tilsvarende
bestemmelser i lov om behandling av personopplysninger.
Departementet foreslår at følgende handlinger evt.
unnlatelser etter loven skal kunne straffeforfølges:
unnlatelse av å informere
den registrerte om innsamling av opplysninger
behandling av helseopplysninger i strid med bestemmelsene
om sikring av konfidensialitet, integritet, kvalitet og tilgjengelighet
behandling av helseopplysninger i strid med bestemmelsen
om databehandlers rådighet over helseopplysningene
unnlatelse av å sende melding til Datatilsynet
unnlatelse av å gi opplysninger til tilsynsmyndighetene
unnlatelse av å etterkomme pålegg fra
Datatilsynet og Statens helsetilsyn
Videre mener departementet at overtredelse av eventuell meldingsplikt
fastsatt i henhold til forskrift etter loven, bør kunne
straffesanksjoneres, og eventuelt også overtredelse av
andre krav som forskriftfestes.
Departementet foreslår at det inntas egne erstatningsregler
i loven for å synliggjøre og presisere gjeldende
rett og ny lovgivning på området.
Det vises til at når personopplysningsloven har trådt
i kraft, vil den være den generelle loven for behandling
av personopplysninger. Bestemmelsene om behandling av helseopplysninger
i helseregisterloven vil være spesialbestemmelser i forhold
til tilsvarende bestemmelser i personopplysningsloven. Departementet
foreslår at det i helseregisterloven inntas en bestemmelse
om at i den utstrekning ikke annet følger av loven, gjelder
personopplysningsloven som utfyllende bestemmelser.Videre vil de
alminnelige regler for behandling av personopplysninger i personopplysningsloven
være rettsgrunnlag for Datatilsynet i behandlingen av konsesjonspørsmål.
Det uttales at det er vanskelig å være konkret
i vurderingene knyttet til mulige administrative og økonomiske
konsekvenser av lovforslaget, men at arbeidet med forskriftene i
større grad vil kunne avdekke økonomiske og administrative
konsekvenser ved innføring av elektronisk informasjonsteknologi.
Det framholdes at journalforskriften må revideres; eventuelt
må det utarbeides en ny forskrift om elektroniske pasientjournaler.
Departementet har beregnet at arbeidet med journalforskriften vil
kreve ca. ett årsverk, eller ca. 500 000 kroner
på sentralt hold. Dette forskriftsarbeidet vil også bedre
kunne konkretisere de økonomiske kostnadene ved overgangen
til elektroniske pasientjournaler.
Overgangen til elektroniske pasientjournaler og elektronisk samhandling
og kommunikasjon antas å medføre flere praktiske
fordeler knyttet til effektivisering og kvalitet på helsetjenesten.
Det framholdes at kostnadene må veies opp mot forventet
gevinst ved gjennomføring av tiltakene.
Det uttales at gevinsten for helsevesenet og for samfunnet generelt
representerer størrelser som ikke lar seg tallfeste fordi
en ikke vil kunne se resultatene før noen tid er gått.
Gevinsten for helseforvaltningen og helsetjenesten forutsetter at
en bygger opp nødvendig kompetanse på området.
Det framholdes at lovbestemmelsene om sammenstilling og utlevering
er synlige virkemidler for å følge opp og videreutvikle
arbeidet som ble igangsatt med NOU 1997:26 «Tilgang til
helseregistre», men at arbeidet med dokumentasjon av data
vil kunne bli en tidkrevende prosess, og er en oppgave som innebærer et økt
behov for ressurser. Samlet antas det at oppfølgingen av
NOU 1997: 26 vil beløpe seg til ca. 2,9 mill. kroner første år,
2,7 mill. kroner annet og tredje driftsår, og ca. 2,5 mill.
kroner i etterfølgende år.
Det uttales at det vil knytte seg utgifter til tilpasning av
elektroniske pasientournaler, herunder behandlingsrettede helseregistre
og andre helseregistre i helsetjenesten til lovens sikkerhetsbestemmelser,
men at konkrete beløp er vanskelig å anslå,
og at det vil variere avhengig av om aktørene driver registre
og/eller hvor langt en er kommet i å ta i bruk
elektronisk kommunikasjon.
Det framholdes at innføring av internkontroll i en overgangsperiode
vil medføre etableringskostnader, men at internkontroll
som alle andre kvalitetssystemer også har som mål å effektivisere
driften.
Når det gjelder helseregistre som allerede er etablert,
vil databehandlingsansvarlige få noe utvidede plikter.
Det uttales at merkostnadene her må anses som moderate,
og at de må dekkes av de alminnelige driftsutgifter.
Det påpekes at erstatningsreglene er nye, og at en nærmere
fastleggelse av de økonomiske kostnadene etter bestemmelsene
bare kan bygge på antakelser. Departementet vil derfor
vurdere de økonomiske og administrative konsekvenser av
erstatningsreglene ca. 2 år etter lovens ikrafttreden.
Departementet forventer moderate økte kostnader for
tilsynsmyndighetene.
Komiteen, medlemmene fra Arbeiderpartiet, Bendiks
H. Arnesen, Reidun Gravdahl, Asmund Kristoffersen, Karin Lian, Einar
Olav Skogholt og Gunhild Øyangen, fra Kristelig Folkeparti, Åse Gunhild
Woie Duesund og Are Næss, fra Høyre, Annelise
Høegh og Sonja Irene Sjøli, fra Fremskrittspartiet,
lederen John I. Alvheim og Harald T. Nesvik, fra Senterpartiet,
Ola D. Gløtvold, og fra Sosialistisk Venstreparti, Olav
Gunnar Ballo, vil påpeke at det foreliggende utkast
til lov om helseregistre og behandling av personopplysninger klargjør
hjemmelen for eksisterende helseregistre. Komiteen er
kjent med at en slik klargjøring tidligere har vært
etterlyst fra flere hold som ledd i å sikre gode retningslinjer
for databaserte personopplysninger, og vil påpeke det positive
i at lovutkastet ivaretar dette behovet.
Komiteen mener generelt at det skal stilles strengere
krav til å godta opprettelse av et helseregister for forvaltningen
enn for helsetjenesten. Fordi forvaltningens behov for informasjon
ut fra ønsket om bedre forebyggingsstrategier egentlig
ikke har noen grenser, kan i prinsippet hele befolkningens livsførsel registreres.
Etter komiteens oppfatning bør en derfor
være tilbakeholden med å opprette slike registre. Disse
bør være avidentifiserte eller pseudonymiserte slik
at ingen risikerer at opplysninger om ens livsstil og livsførsel
kommer på avveie.
Komiteen viser til at siktemålet med
loven er å legge til rette for fullgod informasjonssikkerhet
ved behandling av helseopplysninger og bidra til at målene
som kan settes for folkehelsen og den enkeltes helse kan nås.
Komiteen peker på at stadig mer omfattende informasjon
er nødvendig for at helsetjenesten og helseforvaltningen
på alle nivåer skal tilby den enkelte en best
mulig helsehjelp, og for å kunne bedre befolkningens helsetilstand
og utvikle effektive sykdomsforebyggende tiltak. Komiteen har
merket seg at det hittil ikke har vært noen samlet lov
for helseregistre og behandling av helseopplysninger. Det er etter komiteens mening
hensiktsmessig å samle slike bestemmelser i én
lov, slik det nå foreslås. Dette er viktig, både
ut fra personverninteresse og samfunnsinteresse. Disse
interessene vil oftest være sammenfallende, men ikke alltid.
Komiteen vil anmerke at det i Ot.prp. nr. 5 (1999-2000)
foreslås at Stortinget skal gi fullmakt til at registre
på sentrale, regionale og lokale nivåer kan etableres
ved forskrift, jf. §§ 7 og 8. I samme
forskrift kan det bestemmes at innsamlingen av helseopplysninger
skal gjøres selv om den registrerte ikke har samtykket,
jf. § 9.
Komiteens medlemmer fra Kristelig Folkeparti,
Høyre, Senterpartiet og Sosialistisk Venstreparti er
av den oppfatning at disse forhold kan medvirke til at tillitsforholdet
mellom befolkningen og helsevesenet svekkes. Krav ved etablering
av helseregistre må ta hensyn til at informasjon om enkeltmenneskers
helseforhold er sensitiv i den forstand at den informasjonen gjelder,
vil ønske at informasjonen benyttes til det formål
den er innhentet for, og spres minst mulig. Enhver sammenstilling
av helseinformasjon om enkeltmennesker vil innebære risiko
for lekkasjer, misbruk og maktbruk ved at informasjonen benyttes
i andre sammenhenger.
Det må derfor etter komiteens syn
være et mål å finne registerløsninger
som i rimelig grad tilgodeser hensynet til folkehelsen uten å krenke
personvernet. Helseregistre med avidentifiserte eller pseudonymiserte
helseopplysninger kan ivareta disse hensyn og bør etter komiteens syn
benyttes der dette er hensiktsmessig. I den grad det er nødvendig
ut fra hensynet til pasienten å benytte helseregistre med
personidentifiserbare opplysninger, bør dette
etter komiteens syn gjøres etter vedtak
av Stortinget eller etter samtykke fra den registrerte. Ved å kreve
stortingsbehandling før slike registre etableres sikres
en demokratisk prosess som kan bidra til at nødvendige
avveininger mellom hensynet til behovet for registre og hensynet
til personvern foretas før vedtak treffes.
Komiteen vil påpeke at loven skal bidra
til å ivareta et sterkt personvern på et område
der det behandles følsomme opplysninger, og der grunnlaget
for opplysningene bygger på et absolutt tillitsforhold mellom
pasientene og helsepersonellet.
Dersom en skal utvikle effektive sykdomsforebyggende tiltak,
behandlingsprosedyrer og behandlingsformer, trenger både
helseforvaltningen og helsetjenesten på alle nivåer
omfattende kunnskap, forståelse og informasjon. Det hevdes
at det i dag mangler tilfredsstillende kvalitets- og styringsinformasjon
som igjen har betydning for kvaliteten både på planleggingssida
og behandlingssida. Både helseforvaltningen og helsetjenesten
trenger dokumenterte kunnskaper om årsak til sykdom og
nedsatt helse, såvel som årsaker til god helse.
Dette har stor betydning både i det forebyggende helsearbeidet
og i den behandlende delen av helsetjenesten. Dette har også betydning
for kapasitetsutbygging, kvalitet og effektivitet i helsetjenesten. Komiteen viser
til at god oversikt over årsaksforhold både kan
hindre pasientskader og utløse en bedre oppfølging
av pasienter. Dessuten kan gode data fortelle om en behandlingsmetode
er vellykket eller ikke vellykket. Noen av de helseregistre vi har
i Norge, har nettopp bidratt til slike avklaringer.
Komiteen har merket seg at i de tilfeller der
det blir gitt tillatelse til å samle data i registre, så skal
opplysningene ligge i lukkete og interne systemer, som bl.a. betyr
at disse systemer ikke kan tilkoples internett-løsninger.
Komiteen har også merket seg at det er
klare restriksjoner på bruken av registre gjennom fastlagte regler
for godkjenning. Kopling av registre kan bare skje gjennom godkjenning
av det enkelte prosjekt eller formål.
Komiteen mener at det er viktig at personvernet
sikres ved at personopplysninger avidentifiseres slik at opplysninger
ikke kan tilbakeføres til den enkelte pasient. Komiteen vil
også påpeke viktigheten av at i de tilfeller der
det oppstår konflikt mellom personvernet og samfunnsinteresser,
skal som hovedregel personvernet gå foran samfunnsinteressene,
dog med unntak av opplysninger som er pålagt i henhold til
andre lover, eksempelvis smittevernloven. Personvernhensyn må også vike
når liv og helse står i fare for enkeltmennesker
eller grupper av mennesker. Komiteen er av den oppfatning
at lovens forskrifter skal forelegges Datatilsynet til uttalelse
før ikrafttredelse.
Komiteen har merket seg at det i proposisjonen stilles
krav om begrunnelse for nødvendigheten av å benytte
personidentifiserbare opplysninger, både til regionale,
lokale og sentrale helseregistre. Imidlertid kan slike registre
opprettes i henhold til forskrift. Komiteen mener
det er grunn til å iaktta særlig vaktsomhet når
det gjelder bruk av personidentifiserbare opplysninger. Komiteen mener
derfor at helseregistre som benytter personidentifiserbare opplysninger,
og kombinasjoner av slike registre, ikke skal kunne opprettes gjennom
forskrift.
Komiteen tror i likhet med det som
sies i proposisjonen, at kunnskap om sykdomsårsaker er
nødvendig for å drive helsefremmende og sykdomsforebyggende
helsearbeid.
Det er flere faktorer som tilsier behov for å overvåke
befolkningens helsetilstand over tid for å kunne oppdage
endring i hyppighet av sykdom og risikofaktorer. På samme
måte er kunnskap viktig for styring, planlegging, kvalitetsutvikling
og kvalitetssikring av helsetjenestene.
Komiteen viser til at det i lovforslaget
legges til grunn at ved innsamling av helseopplysninger til sentrale,
regionale eller lokale helseregistre, skal hovedregelen være
at den registrertes samtykke skal innhentes før opplysningene
utleveres eller overføres, noe som tydeliggjøres
ytterligere ved at kommunehelsetjenesteloven § 3-4
og tannhelsetjenesteloven § 3-4 om utlevering
av taushetsbelagte opplysninger innskjerpes. Dette vil bidra til å gi
pasienten et bedre vern mot spredning av taushetsbelagt pasientinformasjon.
Komiteen viser også til at det i loven
foreslås at dersom en pasient føler at registrering
av bestemte opplysninger er belastende, skal denne på visse
vilkår ha mulighet til å få slettet eller
sperret opplysningene.
Komiteen har merket seg at det må lovhjemles at
behandlingsrettete registre kan føres elektronisk når dette
er i samsvar med annen lovgivning, f.eks. personopplysningsloven §§ 9
og 33.
Komiteen viser til at det i §§ 7
til 8 i proposisjonen er åpnet for en adgang til at Kongen
i Statsråd i forskrift kan etablere helseregistre med helseopplysninger. Komiteen mener
at denne adgang kun skal gjelde i de tilfeller der den registrerte
aktivt har gitt sitt samtykke eller identiteten er pseudonymisert
eller opplysningene er avidentifisert. I andre tilfeller enn disse
kan registre bare opprettes etter vedtak i Stortinget, enten gjennom
egen lov eller proposisjon som inneholder en supplering av listen
over lovbestemte registre.
Komiteen mener for øvrig at en lovregulerer dagens
praksis for de allerede eksisterende registrene. Det vises i denne
sammenheng til forslag til tredje ledd i § 8.
Komiteen har merket seg at formålet
med behandlingen av helseopplysninger for alle registres vedkommende
skal være kjent og klar. Helseopplysninger kan ikke brukes
til formål som er uforenlig med det opprinnelige formålet
med innsamlingen av opplysninger, med mindre at den registrerte
samtykker.
Komiteen har merket seg at det stilles klare betingelser
for å kunne sammenstille opplysninger fra to eller flere
registre, og at dette må hjemles i forskrift og dessuten
være hjemlet i lovens formål. Komiteen viser
til at lovforslaget gir Kongen i Statsråd adgang til å gi
mer utdypende sikkerhetsforskrifter.
Komiteen har merket seg at den databehandlingsansvarlige
har plikt til å informere befolkningen om behandlingen
av helseopplysninger i både sentrale, regionale og lokale
registre på samme måte som slik informasjon skal
gis til den registrerte. Det skal også gis informasjon
om at helseopplysninger kan bli utlevert til andre, og eventuelt
om hvem som er mottaker.
Komiteen ser det også som en betydelig
styrking av personvernet at det nå blir en lovfestet rett
til innsyn i behandlingen av helseopplysninger som kan knyttes til
en selv, uavhengig av i hvilke helseregistre disse opplysningene
finnes. Dette gjelder også innsyn i rene forskningsregistre.
Komiteen er tilfreds med at departementet vil vurdere
om det bør innføres ytterligere restriksjoner på behandling
av helseregistre etter at det er utredet bruk av helseopplysninger
i forsikring og biologisk prøvetaking i arbeidsforhold.
Komiteen har merket seg ordninger for
den enkelte til å få rettet mangelfulle helseopplysninger, sletting
av unødvendige opplysninger og slettet eller sperret opplysninger
som den registrerte føler er belastende. Disse bestemmelsene
må slik det går fram av lovforslaget, holdes opp
mot arkivlovgivningen som håndteres av Datatilsynet og
Riksantikvaren.
Komiteen har merket seg at Datatilsynet
skal føre tilsyn med at loven og forskriftene gitt i medhold av
loven følges spesielt på det personvernfaglige.
Statens helsetilsyn har tilsvarende ansvar i forhold til helsefaglige
spørsmål. Komiteen har også merket
seg at all opprettelse og behandling av helseopplysninger i alle
registre skal underlegges meldeplikt til Datatilsynet.
Datatilsynet får også lovhjemmel til å stoppe
behandling av helseopplysninger som er i strid med loven, eller
gi pålegg om eventuelle vilkår som må oppfylles
for at behandlingen skal være i samsvar med loven.
Komiteen viser til at det også innføres
klare straffebestemmelser med fengsel og/eller bøter
for brudd på loven.
Komiteen viser til at formålsparagrafen
må legge meget klare føringer for å sikre
at personvernet ikke blir krenket, ved at personvernhensyn ved behandlingen
av helseopplysninger skal tillegges avgjørende vekt.
Komiteen viser også til at formålsparagrafen må legge
grunnlaget for at systematisk og kvalitativ god informasjon og kunnskap
skal være med å sikre at helsehjelp kan gis på en
forsvarlig og effektiv måte.
På samme måte legges det til grunn at informasjon og
kunnskap om helseforhold, årsaker til nedsatt helse og
sykdomsutvikling kan brukes i helseplanleggingsarbeid, administrasjon,
forskning og kvalitetssikring.
Formålsbestemmelsen skal gi føringer for hvilke hensyn
som skal begrunne opprettelsen av helseregistre og behandlingen
av denne informasjon, med andre ord hvilke krav som skal stilles.
Ved opprettingen av helseregistre er helseforvaltningen og helsetjenestens
behov for sammenstilling av informasjon og kunnskap om flere pasienter
et sentralt hensyn. Dette hensyn må etter komiteens syn avveies
mot hensynet til den enkelte pasients personvern.
Komiteen fremmer følgende forslag:
«I lov om helseregistre og behandling av
helseopplysninger skal § 1 lyde:
§ 1 Lovens
formål
Formålet med denne lov er å bidra til å gi
helsetjenesten og helseforvaltningen informasjon og kunnskap uten å krenke
personvernet slik at helsehjelp kan gis på en forsvarlig
og effektiv måte. Gjennom forskning og statistikk
skal loven bidra til informasjon og kunnskap om befolkningens helseforhold, årsaker
til nedsatt helse og utvikling av sykdom for administrasjon, kvalitetssikring,
planlegging og styring. Loven skal sikre at helseopplysninger blir
behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet
for personlig integritet, privatlivets fred og tilstrekkelig kvalitet
på helseopplysninger.»
Komiteen mener at det under definisjonene
i § 2 bør vedtas et nytt punkt 4 om pseudonyme
helseopplysninger for å få tydelig fram hva som
er forskjellen på avidentifiserte opplysninger (nr. 2),
anonyme opplysninger (nr. 3) og pseudonyme opplysninger (nytt nr.
4). Det vises for øvrig til forslag til lovtekst til §§ 7
og 8.
Komiteen fremmer følgende forslag:
«I lov om helseregistre og behandling av
helseopplysninger skal § 2 nr. 4
lyde:
4. pseudonyme helseopplysninger: helseopplysninger
der identitet er kryptert eller skjult på annet vis, men
likevel individualisert slik at det lar seg gjøre å følge
hver person gjennom helsesystemet uten at identiteten røpes.
Proposisjonens forslag til nr. 4-10 blir nr. 5-11.»
Komiteen viser til den beskrivelsen og definisjonen
som er gitt av «behandlingsrettet register» i proposisjonens
forslag til § 2 nr. 6 som etter forslag til ny
nr. 4 vil bli nr. 7.
Komiteen slutter seg til denne definisjonen, men
foreslår at formuleringen «pasientjournal eller annet
helseregister» endres til «journal- og informasjonssystem».
Dette endrer ikke innholdet i definisjonen, men synliggjør
klart at det er det elektroniske systemet for pasientjournaler og
ikke den enkelte pasientjournalen en tar sikte på å regulere,
slik det også er lagt til grunn i proposisjonens tekst.
Det vises til at bl.a. helsepersonalets dokumentasjonsplikt,
innholdet i pasientjournalen og helsepersonalets taushetsplikt reguleres
i helsepersonelloven.
Komiteen fremmer følgende forslag:
«I lov om helseregistre og behandling av
helseopplysninger skal § 2 nr. 7
lyde:
7. Behandlingsrettet helseregister: journal-
og informasjonssystem eller annet helseregister som har til formål å gi
grunnlag for handlinger som har forebyggende, diagnostisk, behandlende,
helsebevarende eller rehabiliterende mål i forhold til
den enkelte pasient og som utføres av helsepersonell, samt
administrasjon av slike handlinger.»
Komiteens medlemmer fra Kristelig Folkeparti,
Høyre, Senterpartiet og Sosialistisk Venstreparti er
av den oppfatning at verken den enkelte pasientjournal eller en
samling pasientjournaler kan ansees som et register. Et register blir
det dersom opplysninger fra journal trekkes ut og oppbevares som
en enhet.
Pasientjournalen bør på denne bakgrunn etter disse
medlemmers syn skilles ut fra definisjonen av helseregister.
Definisjonen bør formuleres slik at det først
er når opplysninger fra journal trekkes ut og sammenstilles
på bakgrunn av et bestemt formål, og/eller
entydige kriterier, at opplysningene favnes av definisjonen helseregister.
Pasientadministrative systemer som i dag er konsesjonsbasert,
bør etter disse medlemmers syn omfattes
av loven for å sikre den registrertes rettigheter. Denne
typen register vil være omfattet av definisjonen av helseregister.
Komiteen slutter seg til at loven skal
gjelde for det virkeområdet som proposisjonen beskriver.
Komiteen viser til at helseregistre
skal opprettes etter lov, og derfor må dette inntas i § 5
der ordene «eller følger av lov» tas
inn i paragrafens første ledd. Komiteen fremmer
følgende forslag:
«I lov om helseregistre og behandling av
helseopplysninger skal § 5 første ledd
lyde:
Helseopplysninger kan bare behandles elektronisk
når dette er tillatt etter personopplysningsloven §§ 9
og 33 eller følger av lov, og behandlingen ikke er forbudt
ved annet særskilt rettsgrunnlag. Det samme gjelder annen
behandling av helseopplysninger, dersom opplysningene inngår
eller skal inngå i et helseregister.»
Komiteen viser til at det i proposisjonens
forslag til § 6 første ledd annet punktum
er tatt med følgende:
«Helsepersonell som yter helsehjelp, skal registrere
opplysningene i pasientjournalen i samsvar med dokumentasjonsplikt
etter helsepersonalloven §§ 39 og 49.»
Komiteen foreslår å ta ut denne
setningen da den er overflødig, idet en viser til at helsepersonellets dokumentasjonsplikt
ved helsehjelp til den enkelte pasient reguleres av helsepersonelloven.
Komiteen fremmer følgende forslag:
«I lov om helseregistre og behandling av
helseopplysninger skal § 6 første ledd
lyde:
Behandlingsrettede helseregistre kan føres
elektronisk. Det skal framgå av registeret hvem som har registrert
opplysningene. Dette kan gjøres ved hjelp av elektronisk
signatur eller tilsvarende sikker dokumentasjon.»
Komiteen viser til nedenstående
forslag til § 7 og viser til at bestemmelsen i
paragrafen innebærer at det gis forbud mot å etablere
regionale og lokale helseregistre, med mindre det følger
av denne eller annen lov.
Det vises videre til at det følger av bestemmelsene i
annet og tredje ledd at Kongen i Statsråd kan gi forskrift
om regionale og lokale helseregistre, men at navn, fødselsnummer
eller andre direkte personidentifiserende kjennetegn bare kan innsamles
og behandles i slike registre etter samtykke fra den registrerte.
Komiteen viser til at dette innebærer
at uten den registrertes samtykke må navn, fødselsnummer eller
andre direkte personidentifiserende kjennetegn pseudonymiseres/krypteres
før opplysninger oversendes til et regionalt eller lokalt
helseregister, og mottaker må ikke kunne dekryptere opplysningene.
Komiteen viser til omtale av pseudonyme helseopplysninger
i § 2 og foreslår at helseopplysninger i
pseudonymisert form eller avidentifisert form kan danne grunnlag
for registre uten samtykke fra den registrerte. Dette tas inn i
denne paragrafen i tillegg til i § 8.
Komiteen viser til at det følger av annet
ledd i bestemmelsene at Kongen i Statsråd for visse formål kan
gi forskrift om sentrale helseregistre, men at navn, fødselsnummer
eller andre direkte personidentifiserende kjennetegn bare kan innsamles
og behandles i slike registre etter samtykke fra den registrerte. Dette
innebærer at uten den registrertes samtykke, må navn,
fødselsnummer eller andre direkte personidentifiserende
kjennetegn, pseudonymiseres/avidentifiseres før
opplysninger oversendes til et sentralt helseregister, og mottaker
må ikke kunne dekryptere opplysningene. Dette framgår
nå tydelig av annet ledd tredje punktum og tredje ledd
tredje punktum.
Komiteens medlemmer fra Kristelig Folkeparti,
Høyre, Senterpartiet og Sosialistisk Venstreparti vil
anmerke at ved å sammenstille opplysninger fra flere helseregistre
vil opplysningene akkumuleres. Med moderne informasjonsteknologi
kan det bli mulig å stille opplysninger sammen uten at
opplysningene blir akkumulert i et nytt register. Komiteen mener
at denne måten å stille opplysninger sammen på,
vil tilgodese behovet for å få stilt opplysningene
sammen for den enkelte anledning, samtidig som man unngår å skape
nye, større registre ved sammenstillingen.
Komiteen mener enhver opprettelse av
helseregister må gjøres på bakgrunn av
en avveining mellom det formålet registeret skal ivareta,
og personverninteresser, jf. § 1. I
forbindelse med etablering av helseregisteret bør formålet
etter komiteens syn være entydig. I tillegg
må det etter komiteens syn klart framgå hvilke
opplysninger som kan innhentes, og begrunnelsen for å benytte
helseopplysninger.
Komiteen fremmer følgende forslag:
«I lov om helseregistre og behandling av
helse- opplysninger skal § 7 lyde:
§ 7 Regionale
og lokale helseregistre
Det kan ikke etableres andre regionale og lokale helseregistre
med helseopplysninger enn det som følger av denne eller
annen lov.
Kongen i Statsråd kan i forskrift gi nærmere
bestemmelser om etablering av regionale helseregistre og behandling
av helseopplysninger i regionale helseregistre for ivaretakelse
av oppgaver etter smittevernloven, spesialisthelsetjenesteloven
og tannhelsetjenesteloven. Navn, fødselsnummer eller andre
direkte personidentifiserende kjennetegn kan bare behandles etter
samtykke fra den registrerte. Samtykke fra den registrerte er ikke
nødvendig, dersom det i forskriften bestemmes at helseopplysningene
bare kan behandles i pseudonymisert eller avidentifisert form. Forskriften skal
angi formålet med behandlingen av helseopplysningene, hvilke
opplysninger som kan behandles, og eventuelt nærmere regler
om hvem som skal foreta pseudonymiseringen og prinsipper for hvordan
det skal gjøres. Fylkeskommunen er databehandlingsansvarlig
for opplysningene, med mindre noe annet er bestemt i forskriften.
Databehandlingsansvaret kan delegeres.
Kongen i Statsråd kan i forskrift gi nærmere
bestemmelser om etablering av lokale helseregistre og behandling
av helseopplysninger i lokale helseregistre for ivaretakelse av
oppgaver etter kommunehelsetjenesteloven og smittevernloven. Navn,
fødselsnummer eller andre direkte personidentifiserende
kjennetegn kan bare behandles etter samtykke fra den registrerte. Samtykke
fra den registrerte er ikke nødvendig, dersom det i forskriften
bestemmes at helseopplysningene bare kan behandles i pseudonymisert
eller avidentifisert form. Forskriften skal angi formålet
med behandlingen av helseopplysningene, hvilke opplysninger som
kan behandles, og eventuelt nærmere regler om hvem som
skal foreta pseudonymiseringen og prinsipper for hvordan det skal
gjøres. Kommunen er databehandlingsansvarlig for opplysningene,
med mindre noe annet er bestemt i forskriften. Databehandlingsansvaret
kan delegeres.»
Komiteen viser til sine merknader til § 7
og at disse også gjelder for § 8. Komiteen viser
spesielt til tredje ledd i nedenstående forslag til § 8
som gir det lovmessige grunnlag for å videreføre
dagens praksis for eksisterende registre.
Komiteen viser til sine merknader under § 7 om
etablering av helseregistre med avidentifiserte eller pseudonyme
helseopplysninger.
Komiteen mener Stortinget må ta konkret
stilling til om det skal opprettes helseregistre med personopplysninger,
dersom det skal utløse opplysningsplikt fra helsepersonell
uten tillatelse fra den opplysningene gjelder.
Enhver opprettelse av helseregister må etter komiteens syn
gjøres på bakgrunn av en avveining mellom det
formål registeret skal ivareta og personverninteresser,
jf. § 1. I forbindelse med etablering av helseregisteret
bør formålet etter komiteens syn være
entydig. I tillegg må det etter komiteens syn klart
fremgå hvilke opplysninger som kan innhentes og begrunnelsen
for å benytte helseopplysninger.
Komiteen fremmer følgende forslag:
«I lov om helseregistre og behandling av
helseopplysninger skal § 8 lyde:
§ 8 Sentrale helseregistre
Det kan ikke etableres andre sentrale helseregistre med
helseopplysninger enn det som følger av denne eller annen
lov.
Kongen i Statsråd kan i forskrift gi nærmere
bestemmelser om etablering av sentrale helseregistre og behandling
av helseopplysninger i sentrale helseregistre for ivaretakelse av
oppgaver etter apotekloven, kommunehelsetjenesteloven, tannhelsetjenesteloven, smittevernloven
og spesialisthelsetjenesteloven, herunder overordnet styring og
planlegging av tjenestene, kvalitetsutvikling, forskning og statistikk.
Navn, fødselsnummer eller andre direkte personidentifiserende
kjennetegn kan bare behandles etter samtykke fra den registrerte.
Samtykke fra den registrerte er ikke nødvendig, dersom
det i forskriften bestemmes at helseopplysningene bare kan behandles
i psudonymisert eller avidentifisert form. Forskriften skal eventuelt
fastsette nærmere regler om hvem som skal foreta pseudonymiseringen
og prinsipper for hvordan det skal gjøres.
I følgende registre kan navn, fødselsnummer
og andre direkte personidentifiserende kjennetegn behandles uten
samtykke fra den registrerte i den utstrekning det er nødvendig
for å nå formålet med registeret:
1 Dødsårsaksregisteret
2 Kreftregisteret
3 Medisinsk fødselsregister
4 Meldesystemet for infeksjonssykdommer
5 Det sentrale tuberkuloseregisteret
6 System for vaksinasjonskontroll (SYSVAK)
Kongen i Statsråd kan i forskrift gi nærmere
bestemmelser om behandlingen av helseopplysningene i helseregistrene.
Forskriftene etter annet og tredje ledd skal angi formålet
med behandlingen av helseopplysningene og hvilke opplysninger som
skal behandles. Forskriften skal videre angi hvem som er databehandlingsansvarlig
for opplysningene.
Databehandlingsansvaret kan delegeres. Forskriftene bør
også gi bestemmelser om den databehandlingsansvarliges
plikt til å gjøre data tilgjengelig for at formålene
kan nås.»
Komiteen viser til merknader knyttet til § 2, der
komiteen også har tatt inn en definisjon av pseudonyme
helseregistre, fordi komiteen ser behovet for å tilrettelegge
for forskjellige typer registre i andre former enn personidentifiserbar
form. Etter komiteens syn bør det i forskrifter
til denne lov utarbeides klare retningslinjer for opprettelsen av
sentrale helseregistre med avidentifiserte eller pseudonyme helseopplysninger.
I disse forskriftene må det etter komiteens syn
klargjøres på hvilke vilkår helseopplysningene
skal avidentifiseres eller pseudonymiseres, og med det formål
at personvernet sikres for den enkelte. Etter komiteens syn
bør Statistisk sentralbyrå spille en nøkkelrolle
i avidentifiseringen sammen med et annet organ som råder
over koder for identifisering, og da på en slik måte
at personvernet for den enkelte er sikret best mulig ved avidentifiseringen
eller pseudonymiseringen.
Komiteen vil under henvisning til de
foreslåtte endringer i §§ 7
og 8 tilpasse § 9 til disse paragrafene.
Komiteen fremmer følgende forslag:
«I lov om helseregistre og behandling av
helseopplysninger skal § 9 lyde:
§ 9 Særlig
om innsamling av helseopplysninger til sentrale, regionale og lokale
helseregistre,
meldingsplikt m.v.
Virksomheter og helsepersonell som tilbyr eller yter tjenester
i henhold til apotekloven, kommunehelsetjenesteloven, smittevernloven,
spesialisthelsetjenesteloven eller tannhelsetjenesteloven, plikter å utlevere
eller overføre opplysninger som bestemt i forskrifter etter §§ 7
og 8 samt etter paragrafen her.
Kongen kan gi forskrifter om innsamling av helseopplysninger
etter §§ 7 og 8, herunder bestemmelser
om hvem som skal gi og motta opplysningene og om frister, formkrav
og meldingsskjemaer. Den som mottar opplysningene, skal varsle avsenderen
av opplysningene dersom opplysningene er mangelfulle.»
Komiteen vil påpeke at den
databehandlingsansvarlige skal være ansvarlig for at de
opplysninger som behandles, er nødvendige og relevante
for formålet med behandlingen av opplysningene, og dermed altså for
at opplysningene må være nødvendige,
i stedet for tilstrekkelige, som er opprinnelig ordlyd i lovforslaget.
Komiteen fremmer følgende forslag:
«I lov om helseregistre og behandling av
helseopplysninger skal § 11 første ledd
annet punktum lyde:
Den databehandlingsansvarlige skal sørge
for at helseopplysningene som behandles er relevante og nødvendige
for formålet med behandlingen av opplysningene.»
Komiteen slutter seg til proposisjonens
forslag til lovformulering.
Komiteen understreker at helsepersonellovens taushetspliktbestemmelser
også setter rammer for kommunikasjonen av pasientopplysninger
i pasientadministrative systemer.
Komiteen viser til sine merknader til § 7.
Komiteen slutter seg til proposisjonens
forslag til lovformulering om taushetsplikt etter reglene i forvaltningslovens §§ 13
til 13 e, men med tillegg av henvisning også til
helsepersonellovens bestemmelser om taushetsplikt.
I kontakten mellom pasient og helsearbeider og den informasjon
dette genererer, gjelder selvsagt taushetspliktreglene i profesjonslovgivningen
for de forhold dette er relevant for.
Komiteen viser til at omtalen av pseudonyme helseopplysninger
foran også får konsekvens for teksten i § 15,
der ordet «pseudonym» inntas i opplistingen over
hva taushetsplikten gjelder.
Komiteen fremmer følgende forslag.
«I lov om helseregistre og behandling av
helseopplysninger skal § 15 første og
annet ledd lyde:
Enhver som behandler helseoplysninger etter denne
lov, har taushetsplikt etter forvaltningsloven §§ 13 til
13e og helsepersonelloven.
Taushetsplikten etter første ledd gjelder også pasientents
fødested, fødselsdato, personnummer, pseudonym,
statsborgerforhold, sivilstand, yrke, bopel og arbeidssted.»
Komiteen viser til at denne paragrafen
er en parallell til § 20 i lov om behandling av
personopplysninger, og at det i § 20 annet ledd
i denne loven heter at
«Den registrerte har ikke krav på varsel etter
første ledd dersom
På denne bakgrunn fremmer komiteen følgende
forslag:
«I lov om helseregistre og behandling av
helseopplysninger skal § 24 annet ledd pkt. 1
lyde:
1 innsamlingen eller formidlingen av opplysningene
er uttrykkelig fastsatt i lov,»
Komiteen viser til at forslagene i
proposisjonen til endring av helsepersonelloven § 43
ble vedtatt i forbindelse med behandlingen av Ot.prp. nr. 14 (2000-2001),
jf. Innst. O. nr. 38 (2000-2001). Disse forslagene blir følgelig
ikke fremmet i denne innstillingen.
Komiteen viser videre til at forslag til lov om pasientskader
m.v. (jf. Ot.prp. nr. 31 (1998-1999) og Ot.prp. nr. 55 (1999-2000)
ennå ikke er behandlet av Stortinget, og fremmer følgelig
ikke forslaget til endring av § 4 annet ledd i
pasientskadeloven.
Komiteens flertall, medlemmene fra Arbeiderpartiet
og Fremskrittspartiet, viser til ovenstående forslag
til forandringer i helseregisterloven som krever at andre lover
må harmoniseres slik at bestemmelser i disse lovene samsvarer
med bestemmelsene i helseregisterloven.
Flertallet fremmer følgende forslag:
«I lov 5. august 1994 nr. 55 om vern mot
smittsomme sykdommer skal § 2-3 lyde:
§ 2-3 Meldingsplikt for leger.
Varslingsplikt for sykepleiere og jordmødre
En lege som oppdager en smittet person, har meldingsplikt
etter forskrifter gitt i medhold av fjerde ledd uten hinder av lovbestemt
taushetsplikt. En sykepleier eller jordmor som i sin virksomhet
oppdager en smittet person har varslingsplikt etter forskrifter
gitt i medhold av fjerde ledd uten hinder av lovbestemt taushetsplikt.
Den som etter første ledd mottar opplysninger
undergitt taushetsplikt, har samme taushetsplikt som dem som gir
opplysningene.
Når en lege som er meldingspliktig etter bestemmelsen
i første ledd, gir en melding som identifiserer en person,
skal legen informere den meldingen angår, om hvem som skal
få meldingene og hva de skal brukes til.
Kongen i Statsråd kan gi forskrifter om behandling
av helseopplysninger, herunder om bruk av navn, fødselsnummer
eller andre personidentifiserende kjennetegn i samsvar med helseregisterloven.
Forskriftene skal angi formålet med behandlingen av opplysningene,
og hvilke smittsomme sykdommer som skal meldes eller varsles. Kongen
i Statsråd kan også gi forskrifter om meldingsplikt
for bivirkninger av forebyggende tiltak, og om undersøkelse,
behandling og andre tiltak etter loven. Kongen kan gi nærmere
bestemmelser om hvem som skal melde eller varsle, og om formkrav,
meldingsskjemaer og frister for meldingene og varslene, herunder
om hvem som kan eller skal motta meldinger og varsler.
Uten samtykke fra departementet kan verken private eller
offentlige sette i verk meldingsordninger for smittsomme sykdommer
hos mennesker. Dette gjelder ikke interne systemer.
Ved utbrudd av allmennfarlig smittsom sykdom, eller når
det er fare for slikt utbrudd, og når det er nødvendig
av hensyn til smittevernet, kan Statens helsetilsyn med øyeblikkelig
virkning pålegge personer som nevnt i første ledd
midlertidige meldings- og varslingsplikter som fraviker fra forskrifter
etter fjerde ledd uten hinder av lovbestemt taushetsplikt.»
Komiteens medlemmer fra Kristelig Folkeparti,
Høyre, Senterpartiet og Sosialistisk Venstreparti vil
anmerke at krav til behandling av opplysninger i helseregistre vedrørende smittsomme
sykdommer bør hjemles på samme måte som
krav til andre registre, og reguleres etter §§ 7,
8 og 9 i denne lov. På denne bakgrunn finner disse medlemmer ikke
grunn til å endre § 2-3 i smittevernloven.
Komiteen fremmer følgende
forslag:
«I lov om helsepersonell skal § 37
lyde:
§ 37 Melding til helseregistre
m.v.
Kongen kan pålegge helsepersonell med autorisasjon
eller lisens å gi opplysninger til helseregistre i samsvar
med forskrift gitt i medhold av helseregisterloven.»
Komiteens medlemmer fra Kristelig Folkeparti,
Høyre, Senterpartiet og Sosialistisk Venstreparti viser
til at den foreslåtte endring i helsepersonelloven § 37
gir en åpen fullmakt til Kongen i Statsråd til å etablere
de helseregistre som anses nødvendig ut fra helseadministrative formål.
Komiteen viser for øvrig til
proposisjonen og det som står foran, og rår Odelstinget
til å gjøre slikt
vedtak til lov
om helseregistre og behandling av helseopplysninger (helseregisterloven)
Kapittel 1 Lovens formål, definisjoner
og
virkeområde
§ 1 Lovens formål
Formålet med denne lov er å bidra til å gi
helsetjenesten og helseforvaltningen informasjon og kunnskap uten å krenke
personvernet, slik at helsehjelp kan gis på en forsvarlig
og effektiv måte. Gjennom forskning og statistikk
skal loven bidra til informasjon og kunnskap om befolkningens helseforhold, årsaker
til nedsatt helse og utvikling av sykdom for administrasjon, kvalitetssikring,
planlegging og styring. Loven skal sikre at helseopplysninger blir
behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet
for personlig integritet, privatlivets fred og tilstrekkelig kvalitet
på helseopplysninger.
§ 2 Definisjoner
I denne loven forstås med:
1 helseopplysninger: taushetsbelagte opplysninger
i henhold til helsepersonelloven § 21 og andre opplysninger
og vurderinger om helseforhold eller av betydning for helseforhold,
som kan knyttes til en enkeltperson,
2 avidentifiserte helseopplysninger: helseopplysninger der
navn, fødselsnummer og andre personentydige kjennetegn
er fjernet, slik at opplysningene ikke lenger kan knyttes til en
enkeltperson, og hvor identitet bare kan tilbakeføres ved
sammenstilling med de samme opplysninger som tidligere ble fjernet,
3 anonyme opplysninger: opplysninger der navn, fødselsnummer
og andre personentydige kjennetegn er fjernet, slik at opplysningene
ikke lenger kan knyttes til en enkeltperson,
4 pseudonyme helseopplysninger: helseopplysninger der identitet
er kryptert eller skjult på annet vis, men likevel individualisert
slik at det lar seg gjøre å følge hver
person gjennom helsesystemet uten at identiteten røpes,
5 behandling av helseopplysninger: enhver formålsbestemt
bruk av helseopplysninger, som f.eks. innsamling, registrering,
sammenstilling, lagring og utlevering eller en kombinasjon av slike
bruksmåter,
6 helseregister: registre, fortegnelser, m.v. der helseopplysninger
er lagret systematisk slik at opplysninger om den enkelte kan finnes
igjen,
7 behandlingsrettet helseregister: journal- og informasjonssystem
eller annet helseregister som har til formål å gi
grunnlag for handlinger som har forebyggende, diagnostisk, behandlende,
helsebevarende eller rehabiliterende mål i forhold til
den enkelte pasient og som utføres av helsepersonell, samt
administrasjon av slike handlinger,
8 databehandlingsansvarlig: den som bestemmer formålet
med behandlingen av helseopplysningene og hvilke hjelpemidler som
skal brukes, hvis ikke databehandlingsansvaret er særskilt
angitt i loven eller i forskrift i medhold av loven,
9 databehandler: den som behandler helseopplysninger på vegne
av den databehandlingsansvarlige,
10 registrert: den som helseopplysninger kan knyttes til,
11 samtykke: en frivillig, uttrykkelig og informert erklæring
fra den registrerte om at han eller hun godtar behandling av helseopplysninger
om seg selv.
§ 3 Saklig virkeområde
Loven gjelder for
1 behandling av helseopplysninger i helseforvaltningen
og helsetjenesten som skjer helt eller delvis med elektroniske hjelpemidler
for å fremme formål som beskrevet i § 1,
og
2 annen behandling av helseopplysninger i helseforvaltningen
og helsetjenesten til slike formål, når helseopplysningene
inngår eller skal inngå i et helseregister.
Loven gjelder både offentlig og privat virksomhet.
Kongen i Statsråd kan i forskrift bestemme at
loven helt eller delvis skal gjelde for behandling av helseopplysninger
utenfor helseforvaltningen og helsetjenesten for å ivareta
formål som beskrevet i § 1.
Det som er fastsatt for fylkeskommuner i denne lov, gjelder
også for Oslo kommune.
§ 4 Geografisk virkeområde
Loven gjelder for databehandlingsansvarlige som er etablert
i Norge. Kongen kan i forskrift bestemme at loven helt eller delvis
skal gjelde for Svalbard og Jan Mayen, og kan fastsette særlige
regler om behandling av helseopplysninger for disse områdene.
Loven gjelder også for databehandlingsansvarlige som
er etablert i stater utenfor EØS-området, dersom den
databehandlingsansvarlige benytter hjelpemidler i Norge. Dette gjelder
likevel ikke dersom hjelpemidlene bare brukes til å overføre
helseopplysninger via Norge.
Databehandlingsansvarlige som nevnt i annet ledd, skal
ha en representant som er etablert i Norge. Bestemmelsene som gjelder
for den databehandlingsansvarlige, gjelder også for representanten.
Kapittel 2 Tillatelse til å behandle helseopplysninger,
etablering av helseregistre, innsamling av opplysninger, meldingsplikt
m.m.
§ 5 Behandling av helseopplysninger, konsesjonsplikt
m.m.
Helseopplysninger kan bare behandles elektronisk når
dette er tillatt etter personopplysningsloven §§ 9
og 33, eller følger av lov og behandlingen ikke er forbudt
ved annet særskilt rettsgrunnlag. Det samme gjelder annen
behandling av helseopplysninger, dersom opplysningene inngår
eller skal inngå i et helseregister.
Konsesjonsplikt etter personopplysningsloven § 33
gjelder ikke for behandling av helseopplysninger som skjer med hjemmel
i forskrift etter §§ 6 til 8.
Før helseopplysninger innhentes for behandling etter
første ledd, skal samtykke fra den registrerte foreligge,
hvis ikke annet er bestemt i eller i medhold av lov.
Pasientrettighetsloven §§ 4-3 til 4-8
gjelder tilsvarende for samtykke etter denne lov. Barn mellom 12 og
16 år kan selv treffe beslutning om samtykke, dersom pasienten
av grunner som bør respekteres, ikke ønsker at
opplysningene gjøres kjent for foreldrene eller andre med
foreldreansvar.
§ 6 Behandlingsrettet helseregister
Behandlingsrettede helseregistre kan føres elektronisk.
Det skal fremgå av registeret hvem som har registrert opplysningene.
Dette kan gjøres ved hjelp av elektronisk signatur eller
tilsvarende sikker dokumentasjon.
Fylkeskommune, kommune og annen offentlig eller privat
virksomhet som tar i bruk behandlingsrettede helseregistre, er databehandlingsansvarlig
for opplysningene. Fylkeskommunen og kommunen kan delegere databehandlingsansvaret.
Kongen kan i forskrift gi nærmere bestemmelser om
behandling av helseopplysninger i behandlingsrettede helseregistre,
herunder om godkjenning av programvare og andre forhold som nevnt
i § 16 fjerde ledd.
§ 7 Regionale og lokale helseregistre
Det kan ikke etableres andre regionale og lokale helseregistre
med helseopplysninger enn det som følger av denne eller
annen lov.
Kongen i Statsråd kan i forskrift gi nærmere
bestemmelser om etablering av regionale helseregistre og behandling
av helseopplysninger i regionale helseregistre for ivaretakelse
av oppgaver etter smittevernloven, spesialisthelsetjenesteloven
og tannhelsetjenesteloven. Navn, fødselsnummer eller andre
direkte personidentifiserende kjennetegn kan bare behandles etter
samtykke fra den registrerte. Samtykke fra den registrerte er ikke
nødvendig, dersom det i forskriften bestemmes at helseopplysningene
bare kan behandles i pseudonymisert eller avidentifisert form. Forskriften skal
angi formålet med behandlingen av helseopplysningene, hvilke
opplysninger som kan behandles, og eventuelt nærmere regler
om hvem som skal foreta pseudonymiseringen og prinsipper for hvordan
det skal gjøres. Fylkeskommunen er databehandlingsansvarlig
for opplysningene, med mindre noe annet er bestemt i forskriften.
Databehandlingsansvaret kan delegeres.
Kongen i Statsråd kan i forskrift gi nærmere
bestemmelser om etablering av lokale helseregistre og behandling
av helseopplysninger i lokale helseregistre for ivaretakelse av
oppgaver etter kommunehelsetjenesteloven og smittevernloven. Navn,
fødselsnummer eller andre direkte personidentifiserende
kjennetegn kan bare behandles etter samtykke fra den registrerte. Samtykke
fra den registrerte er ikke nødvendig, dersom det i forskriften
bestemmes at helseopplysningene bare kan behandles i pseudonymisert
eller avidentifisert form. Forskriften skal angi formålet
med behandlingen av helseopplysningene, hvilke opplysninger som
kan behandles, og eventuelt nærmere regler om hvem som
skal foreta pseudonymiseringen og prinsipper for hvordan det skal
gjøres. Kommunen er databehandlingsansvarlig for opplysningene,
med mindre noe annet er bestemt i forskriften. Databehandlingsansvaret
kan delegeres.
§ 8 Sentrale helseregistre
Det kan ikke etableres andre sentrale helseregistre med
helseopplysninger enn det som følger av denne eller annen
lov.
Kongen i Statsråd kan i forskrift gi nærmere
bestemmelser om etablering av sentrale helseregistre og behandling
av helseopplysninger i sentrale helseregistre for ivaretakelse av
oppgaver etter apotekloven, kommunehelsetjenesteloven, tannhelsetjenesteloven, smittevernloven
og spesialisthelsetjenesteloven, herunder overordnet styring og
planlegging av tjenestene, kvalitetsutvikling, forskning og statistikk.
Navn, fødselsnummer eller andre direkte personidentifiserende
kjennetegn kan bare behandles etter samtykke fra den registrerte.
Samtykke fra den registrerte er ikke nødvendig, dersom
det i forskriften bestemmes at helseopplysningene bare kan behandles
i psudonymisert eller avidentifisert form. Forskriften skal eventuelt
fastsette nærmere regler om hvem som skal foreta pseudonymiseringen
og prinsipper for hvordan det skal gjøres.
I følgende registre kan navn, fødselsnummer
og andre direkte personidentifiserende kjennetegn behandles uten
samtykke fra den registrerte i den utstrekning det er nødvendig
for å nå formålet med registeret:
1 Dødsårsaksregisteret
2 Kreftregisteret
3 Medisinsk fødselsregister
4 Meldesystemet for infeksjonssykdommer
5 Det sentrale tuberkuloseregisteret
6 System for vaksinasjonskontroll (SYSVAK)
Kongen i Statsråd kan i forskrift gi nærmere
bestemmelser om behandlingen av helseopplysningene i helseregistrene.
Forskriftene etter annet og tredje ledd skal angi formålet
med behandlingen av helseopplysningene og hvilke opplysninger som
skal behandles. Forskriften skal videre angi hvem som er databehandlingsansvarlig
for opplysningene.
Databehandlingsansvaret kan delegeres. Forskriftene bør
også gi bestemmelser om den databehandlingsansvarliges
plikt til å gjøre data tilgjengelig for at formålene
kan nås.
§ 9 Særlig
om innsamling av helseopplysninger til sentrale, regionale og lokale
helseregistre,
meldingsplikt m.v.
Virksomheter og helsepersonell som tilbyr eller yter tjenester
i henhold til apotekloven, kommunehelsetjenesteloven, smittevernloven,
spesialisthelsetjenesteloven eller tannhelsetjenesteloven, plikter å utlevere
eller overføre opplysninger som bestemt i forskrifter etter §§ 7
og 8 samt etter paragrafen her.
Kongen kan gi forskrifter om innsamling av helseopplysninger
etter §§ 7 og 8, herunder bestemmelser
om hvem som skal gi og motta opplysningene og om frister, formkrav
og meldingsskjemaer. Den som mottar opplysningene, skal varsle avsenderen
av opplysningene dersom opplysningene er mangelfulle.
§ 10 Særlig om plikt til å innrapportere
data til
statistikk
Departementet kan i forskrift eller ved enkeltvedtak pålegge
fylkeskommuner og kommuner å innrapportere avidentifiserte
eller anonyme data til statistikk, herunder gi nærmere
regler om bruk av standarder, klassifikasjonssystemer og kodeverk.
Kapittel 3 Alminnelige bestemmelser om
behandling av helseopplysninger
§ 11 Krav til formålsbestemthet,
saklighet, relevans m.v.
Enhver behandling av helseopplysninger skal ha et uttrykkelig
angitt formål som er saklig begrunnet i den databehandlingsansvarliges
virksomhet. Den databehandlingsansvarlige skal sørge for
at helseopplysningene som behandles, er relevante og nødvendige for
formålet med behandlingen av opplysningene.
Helseopplysninger kan bare anvendes til andre formål
enn helsehjelp til den enkelte pasient eller administrasjon av slik
hjelp når personidentifisering er nødvendig for å fremme
disse formålene. Det skal alltid begrunnes hvorfor det
er nødvendig å benytte personidentifiserbare opplysninger.
Tilsynsmyndigheten kan i medhold av § 31 kreve at den databehandlingsansvarlige
legger frem begrunnelsen.
Helseopplysninger kan ikke anvendes til formål som
er uforenlig med det opprinnelige formålet med innsamlingen
av opplysningene, uten at den registrerte samtykker.
§ 12 Sammenstilling av helseopplysninger
Helseopplysninger i behandlingsrettet helseregister kan
sammenstilles med opplysninger om samme pasient i annet behandlingsrettet
helseregister, i den grad helseopplysningene kan utleveres etter
helsepersonelloven §§ 25, 26 og 45. Helseopplysninger
som nevnt kan dessuten sammenstilles med folkeregisteropplysninger
om den registrerte.
Helseopplysninger innsamlet etter § 9, kan sammenstilles
etter nærmere bestemmelser fastsatt i forskrift etter §§ 7
og 8.
Ut over det som følger av første og annet
ledd, kan helseopplysninger bare sammenstilles når dette
er tillatt etter personopplysningsloven §§ 9 og
33.
§ 13 Tilgang til helseopplysninger i den
databehandlingsansvarliges og databehandlers
institusjon
Bare den databehandlingsansvarlige, databehandlere og den
som arbeider under den databehandlingsansvarliges eller databehandlers
instruksjonsmyndighet, kan gis tilgang til helseopplysninger. Tilgang
kan bare gis i den grad dette er nødvendig for vedkommendes
arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt.
§ 14 Utlevering av helseopplysninger
Helseopplysninger kan utleveres eller overføres for
sammenstilling som er tillatt etter § 12. Sammenstilte
helseopplysninger kan, etter at navn og fødselsnummer er
fjernet, utleveres eller overføres til en virksomhet som
bestemt av departementet, når formålet er å avidentifisere
eller å anonymisere opplysningene.
Helseopplysninger kan dessuten utleveres eller overføres
når utlevering eller overføring har hjemmel i
eller i medhold av lov, og den som mottar opplysningene har adgang
til å behandle dem etter personopplysningsloven.
§ 15 Taushetsplikt
Enhver som behandler helseopplysninger etter denne lov,
har taushetsplikt etter forvaltningsloven §§ 13
til 13e og helsepersonelloven.
Taushetsplikten etter første ledd gjelder også pasientens
fødested, fødselsdato, personnummer, pseudonym,
statsborgerforhold, sivilstand, yrke, bopel og arbeidssted.
Opplysninger til andre forvaltningsorganer etter forvaltningsloven § 13
b nr. 5 og 6 kan bare gis når det er nødvendig
for å bidra til løsning av oppgaver etter loven
her, eller for å forebygge vesentlig fare for liv eller
alvorlig skade for noens helse.
§ 16 Sikring av konfidensialitet, integritet,
kvalitet og tilgjengelighet
Den databehandlingsansvarlige og databehandleren skal gjennom
planlagte og systematiske tiltak sørge for tilfredsstillende
informasjonssikkerhet med hensyn til konfidensialitet, integritet,
kvalitet og tilgjengelighet ved behandling av helseopplysninger.
For å oppnå tilfredsstillende informasjonssikkerhet
skal den databehandlingsansvarlige og databehandleren dokumentere
informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal
være tilgjengelig for medarbeiderne hos den databehandlingsansvarlige
og hos databehandleren. Dokumentasjonen skal også være
tilgjengelig for tilsynsmyndighetene.
En databehandlingsansvarlig som lar andre få tilgang
til helseopplysninger, for eksempel en databehandler eller andre
som utfører oppdrag i tilknytning til informasjonssystemet,
skal påse at disse oppfyller kravene i første
og annet ledd.
Kongen kan gi forskrift om sikkerhet ved behandling av
helseopplysninger etter denne lov. Kongen kan herunder sette nærmere
krav til elektronisk signatur, kommunikasjon og langtidslagring,
om godkjenning (autorisasjon) av programvare og om bruk av standarder,
klassifikasjonssystemer og kodeverk, samt hvilke nasjonale eller
internasjonale standardsystemer som skal følges.
§ 17 Internkontroll
Den databehandlingsansvarlige skal etablere og holde vedlike
planlagte og systematiske tiltak som er nødvendige for å oppfylle
kravene i eller i medhold av denne loven, herunder sikre helseopplysningenes
kvalitet.
Den databehandlingsansvarlige skal dokumentere tiltakene.
Dokumentasjonen skal være tilgjengelig for medarbeiderne
hos den databehandlingsansvarlige og hos databehandleren. Dokumentasjonen
skal også være tilgjengelig for tilsynsmyndighetene.
Kongen kan i forskrift gi nærmere regler om internkontroll.
§ 18 Databehandlers rådighet over
helseopplysninger
En databehandler kan ikke behandle helseopplysninger på annen
måte enn det som er skriftlig avtalt med den databehandlingsansvarlige.
Opplysningene kan heller ikke uten slik avtale overlates til noen
andre for lagring eller bearbeidelse. I avtalen med den databehandlingsansvarlige
skal det også gå frem at databehandleren plikter å gjennomføre
slike sikringstiltak som følger av § 16.
§ 19 Frist for å svare på henvendelser
m.v.
Den databehandlingsansvarlige skal svare på henvendelser
om innsyn eller andre rettigheter etter §§ 21,
22, 26 og 28 uten ugrunnet opphold og senest innen 30 dager fra
den dagen henvendelsen kom inn.
Dersom særlige forhold gjør det umulig å svare
på henvendelsen innen 30 dager, kan gjennomføringen utsettes
inntil det er mulig å gi svar. Den databehandlingsansvarlige
skal i så fall gi et foreløpig svar med opplysninger
om grunnen til forsinkelsen og sannsynlig tidspunkt for når
svar kan gis.
Kapittel 4 Databehandlingsansvarliges informasjonsplikt
og den registrertes
innsynsrett
§ 20 Informasjon til allmennheten om behandling
av helseopplysninger etter loven §§ 7 og 8
Når helseopplysninger behandles etter forskrift
i medhold av §§ 7 og 8, skal den databehandlingsansvarlige
av eget tiltak informere allmennheten om hva slags behandling av
helseopplysninger som foretas.
§ 21 Rett til generell informasjon om helseregistre
og behandling av helseopplysninger
Enhver som ber om det, skal få vite hva slags
behandling av helseopplysninger en databehandlingsansvarlig foretar,
og kan kreve å få følgende informasjon om
en bestemt type behandling av helseopplysninger:
1 navn og adresse på den databehandlingsansvarlige
og dennes eventuelle representant,
2 hvem som har det daglige ansvaret for å oppfylle den
databehandlingsansvarliges plikter,
3 formålet med behandlingen av helseopplysningene,
4 beskrivelser av hvilke typer helseopplysninger som behandles,
5 hvor opplysningene er hentet fra, og
6 om helseopplysningene vil bli utlevert, og eventuelt hvem
som er mottaker.
Informasjonen kan kreves hos den databehandlingsansvarlige
eller hos dennes databehandler som nevnt i § 18.
§ 22 Rett til innsyn
Den som ber om det, har rett til innsyn i behandlingsrettet
helseregister i den grad dette følger av pasientrettighetsloven § 5-1
og helsepersonelloven § 41.
Når helseopplysninger behandles etter §§ 5,
7 og 8, har den registrerte på forespørsel i tillegg
til informasjon som nevnt i § 21 første ledd,
rett til å få opplyst
1 hvilke helseopplysninger om den registrerte som behandles,
og
2 sikkerhetstiltakene ved behandlingen av helseopplysningene
så langt innsyn ikke svekker sikkerheten.
Den registrerte kan også kreve at den databehandlingsansvarlige
utdyper informasjonen som nevnt i § 21 første
ledd i den grad dette er nødvendig for at den registrerte
skal kunne vareta egne interesser.
Informasjon etter første og annet ledd kan kreves skriftlig
hos den databehandlingsansvarlige eller hos dennes databehandler
som nevnt i § 18. Den som blir bedt om å gi innsyn,
kan kreve at den registrerte leverer en skriftlig og undertegnet
begjæring.
Kongen kan i forskrift gi nærmere bestemmelser om
retten til innsyn i behandling av helseopplysninger etter annet
og tredje ledd. Dersom særlige grunner gjør det
nødvendig, kan Kongen gi forskrift om at den registrerte
må betale vederlag til den databehandlingsansvarlige. Vederlaget
kan ikke overstige de faktiske kostnadene ved å etterkomme
kravet.
§ 23 Informasjonsplikt når det
samles inn
opplysninger fra den registrerte
Når det samles inn helseopplysninger fra den registrerte
selv, skal den databehandlingsansvarlige av eget tiltak først
informere den registrerte om
1 navn og adresse på den databehandlingsansvarlige
og dennes eventuelle representant,
2 formålet med behandlingen av helseopplysningene,
3 opplysningene vil bli utlevert, og eventuelt hvem som
er mottaker,
4 det er frivillig å gi fra seg helseopplysningene,
og
5 annet som gjør den registrerte i stand til å bruke sine
rettigheter etter loven her på best mulig måte, som
for eksempel informasjon om retten til å kreve innsyn,
jf. § 22, og retten til å kreve retting og sletting,
jf. §§ 26 og 28.
Varsling er ikke påkrevd dersom det er på det
rene at den registrerte allerede kjenner til informasjonen i første
ledd.
§ 24 Informasjonsplikt når det
samles inn
opplysninger fra andre enn den registrerte
En databehandlingsansvarlig som samler inn helseopplysninger
fra andre enn den registrerte selv, skal av eget tiltak informere
den registrerte om hvilke opplysninger som samles inn og gi informasjon
som nevnt i § 23 første ledd så snart
opplysningene er innhentet. Dersom formålet med innsamlingen
av opplysningene er å gi dem videre til andre, kan den
databehandlingsansvarlige vente med å varsle den registrerte
til utleveringen skjer.
Den registrerte har ikke krav på varsel etter
første ledd dersom
1 innsamlingen eller formidlingen av opplysningene
er uttrykkelig fastsatt i lov,
2 varsling er umulig eller uforholdsmessig vanskelig, eller
3 det er på det rene at den registrerte allerede
kjenner til informasjonen som varslet skal inneholde.
Når varsling unnlates med hjemmel i annet ledd nr.
2, skal informasjon likevel gis senest når det gjøres en
henvendelse til den registrerte på grunnlag av opplysningene.
§ 25 Unntak fra retten til informasjon og
innsyn
Det kan nektes innsyn i behandlingsrettet helseregister
etter reglene i pasientrettighetsloven § 5-1.
Retten til innsyn etter §§ 21 og 22 annet
ledd og plikten til å gi informasjon etter §§ 20,
23 og 24, omfatter ikke opplysninger som
1 om de ble kjent, ville kunne skade rikets sikkerhet,
landets forsvar eller forholdet til fremmede makter eller internasjonale
organisasjoner,
2 det er påkrevd å hemmeligholde av hensyn
til forebygging, etterforskning, avsløring og rettslig forfølging
av straffbare handlinger,
3 det må anses utilrådelig at den registrerte
får kjennskap til, av hensyn til vedkommendes helse eller
forholdet til personer som står vedkommende nær,
4 det i medhold av lov gjelder taushetsplikt for,
5 utelukkende finnes i tekst som er utarbeidet for den interne
saksforberedelse og som heller ikke er utlevert til andre,
6 det vil være i strid med åpenbare og
grunnleggende private eller offentlige interesser å informere om,
herunder hensynet til den registrerte selv.
Opplysninger som den registrerte nektes innsyn i etter
første ledd og etter annet ledd nr. 3, har en representant
for pasienten rett til innsyn i, med mindre representanten anses
uskikket for dette. En lege eller advokat kan ikke nektes innsyn,
med mindre særlige grunner taler for dette.
Den som nekter å gi innsyn i medhold av første
eller annet ledd, må begrunne dette skriftlig med presis henvisning
til unntakshjemmelen.
Kapittel 5 Særlige bestemmelser om retting
og sletting av helseopplysninger
§ 26 Retting av mangelfulle helseopplysninger
Dersom det er behandlet helseopplysninger etter §§ 5,
7 og 8 som er uriktige, ufullstendige eller som det ikke er adgang
til å behandle, skal den databehandlingsansvarlige av eget
tiltak eller på begjæring av den registrerte rette
de mangelfulle opplysningene. Den databehandlingsansvarlige skal
om mulig sørge for at feilen ikke får betydning
for den registrerte. Dersom helseopplysningene er utlevert, skal
den databehandlingsansvarlige varsle mottakere av utleverte opplysninger.
Retting av uriktige eller ufullstendige helseopplysninger
som kan ha betydning som dokumentasjon, skal skje ved at opplysningene
tydelig markeres og suppleres med korrekte opplysninger.
Dersom tungtveiende personvernhensyn tilsier det, kan Datatilsynet
uten hinder av annet ledd bestemme at retting skal skje ved at de
mangelfulle helseopplysningene slettes eller sperres. Hvis opplysningene
ikke kan kasseres i medhold av arkivloven, skal Riksarkivaren høres
før det treffes vedtak om sletting. Vedtaket går
foran reglene i arkivloven 4. desember 1992 nr. 126 §§ 9
og 18.
Sletting bør suppleres med registrering av korrekte
og fullstendige opplysninger. Dersom dette ikke er mulig, og dokumentet
som inneholdt de slettede opplysningene av den grunn gir et åpenbart
misvisende bilde, skal hele dokumentet slettes.
For retting og sletting av helseopplysninger i behandlingesrettet
helseregister gjelder helsepersonellloven §§ 42
til 44. Første ledd annet og tredje punktum gjelder tilsvarende.
§ 27 Forbud mot å lagre unødvendige
helseopplysninger
Den databehandlingsansvarlige skal ikke lagre helseopplysninger
lenger enn det som er nødvendig for å gjennomføre
formålet med behandlingen av helseopplysningene. Hvis ikke
helseopplysningene deretter skal oppbevares i henhold til arkivloven
eller annen lovgivning, skal de slettes.
I forskrift etter §§ 6 til 8 kan det
bestemmes at helseopplysninger kan lagres for historiske, statistiske
eller vitenskapelige formål, dersom samfunnets interesse
i at opplysningene lagres klart overstiger de ulempene den kan medføre
for den enkelte. Den databehandlingsansvarlige skal i så fall
sørge for at opplysningene ikke oppbevares på måter
som gjør det mulig å identifisere den registrerte
lenger enn nødvendig.
§ 28 Sletting eller sperring av helseopplysninger
som føles belastende for den registrerte
Den registrerte kan kreve at helseopplysninger som behandles
etter §§ 5, 7 og 8, skal slettes eller sperres,
dersom behandling av opplysningene føles sterkt belastende
for den registrerte og det ikke finnes sterke allmenne hensyn som
tilsier at opplysningene behandles. Krav om sletting eller sperring
av slike opplysninger rettes til den databehandlingsansvarlige for
opplysningene.
Datatilsynet kan, etter at Riksarkivaren er hørt, treffe
vedtak om at retten til sletting etter første ledd går
foran reglene i arkivloven 4. desember 1992 nr. 126 §§ 9
og 18. Hvis dokumentet som inneholdt de slettede opplysningene,
gir et åpenbart misvisende bilde etter slettingen, skal
hele dokumentet slettes.
Krav om sletting av helseopplysninger i behandlingsrettede
helseregistre avgjøres etter helsepersonelloven § 43.
Kapittel 6 Tilsyn, kontroll og sanksjoner
§ 29 Meldeplikt til Datatilsynet
Den databehandlingsansvarlige skal gi melding til Datatilsynet
før behandling av helseopplysninger med elektroniske hjelpemidler
og før opprettelse av manuelt helseregister.
Meldingen skal gis senest 30 dager før behandlingen
av opplysningene tar til. Datatilsynet skal gi den databehandlingsansvarlige
kvittering for at melding er mottatt.
Ny melding må gis før behandling av helseopplysninger
som går ut over den rammen for behandling av helseopplysninger
som er angitt i medhold av § 30. Selv om det ikke har skjedd
endringer, skal det gis ny melding tre år etter at forrige
melding ble gitt.
Kongen kan gi forskrift om at visse typer behandling av
helseopplysninger eller databehandlingsansvarlige er unntatt fra
meldeplikt eller er underlagt forenklet meldeplikt.
§ 30 Meldepliktens innhold
Meldingen til Datatilsynet skal opplyse om
1 navn og adresse på den databehandlingsansvarlige
og på dennes eventuelle representant og databehandler,
2 når behandlingen av helseopplysningene starter,
3 hvem som har det daglige ansvaret for å oppfylle den
databehandlingsansvarliges plikter,
4 formålet med behandlingen av helseopplysningene,
5 oversikt over hvilke typer helseopplysninger som skal
behandles,
6 hvor helseopplysningene hentes fra,
7 det rettslige grunnlaget for innsamlingen av helseopplysningene,
8 hvem helseopplysningene vil bli utlevert til, herunder
eventuelle mottakere i andre stater, og
9 hvilke sikkerhetstiltak som er knyttet til behandlingen
av helseopplysningene.
Kongen kan gi forskrift om hvilke opplysninger meldingene
skal inneholde og om gjennomføringen av meldeplikten.
§ 31 Tilsynsmyndighetene
Datatilsynet fører tilsyn med at bestemmelsene
i loven blir fulgt og at feil eller mangler blir rettet, jf. personopplysningsloven § 42,
med mindre tilsynsoppgaven påligger Statens helsetilsyn
eller fylkeslegen etter lov 30. mars 1984 nr. 15 om statlig tilsyn med
helsetjenesten.
Tilsynsmyndighetene kan kreve de opplysninger som trengs
for at de kan gjennomføre sine oppgaver.
Tilsynsmyndighetene kan som ledd i sin kontroll med at
lovens regler etterleves, kreve adgang til steder hvor det finnes
helseregistre, helseopplysninger som behandles elektronisk og hjelpemidler
for slik behandling av opplysninger. Tilsynsmyndighetene kan gjennomføre
de prøver eller kontroller som de finner nødvendig,
og kreve bistand fra personalet på stedet i den grad dette
må til for å få utført prøvene
eller kontrollene.
Retten til å kreve opplysninger eller tilgang
til lokaler og hjelpemidler i henhold til annet og tredje ledd gjelder
uten hinder av taushetsplikt.
Tilsynsmyndighetene og andre som utfører tjeneste
for tilsynsmyndighetene, har taushetsplikt etter § 15.
Taushetsplikten omfatter også opplysninger om sikkerhetstiltak.
Kongen kan gi forskrift om unntak fra første til fjerde
ledd av hensyn til rikets sikkerhet. Kongen kan også gi
forskrift om dekning av utgiftene ved kontroll. Skyldige bidrag
til dekning av utgiftene er tvangsgrunnlag for utlegg.
§ 32 Adgang til å gi pålegg
Datatilsynet kan gi pålegg om at behandling av helseopplysninger
i strid med bestemmelser i eller i medhold av denne loven skal opphøre,
eller stille vilkår som må oppfylles for at behandlingen
av helseopplysningene skal være i samsvar med loven. Dersom
det i tillegg må antas at behandlingen av helseopplysningene
kan ha skadelige følger for pasienter, kan Statens helsetilsyn
gi pålegg som nevnt. Når Datatilsynet har gitt
et pålegg, skal Statens helsetilsyn informeres om dette.
Når Statens helsetilsyn har gitt et pålegg, skal
Datatilsynet informeres om dette.
Pålegg etter første ledd skal inneholde
en frist for å rette seg etter pålegget.
Avgjørelser som Datatilsynet fatter i medhold
av §§ 26, 28, 31, 32 og 33, kan påklages
til Personvernnemnda.
§ 33 Tvangsmulkt
Ved pålegg etter § 32 kan Datatilsynet
fastsette en tvangsmulkt som løper for hver dag som går
etter utløpet av den fristen som er satt for oppfylling
av pålegget, inntil pålegget er oppfylt.
Tvangsmulkten løper ikke før klagefristen
er ute. Hvis vedtaket påklages, løper ikke tvangsmulkt
før klageinstansen har bestemt det.
Datatilsynet kan frafalle påløpt tvangsmulkt.
§ 34 Straff
Med bøter eller fengsel inntil ett år
eller begge deler straffes den som forsettlig eller grovt uaktsomt
1 behandler helseopplysninger i strid med §§ 16
eller 18,
2 unnlater å gi opplysninger til den registrerte
etter §§ 23 eller 24,
3 unnlater å sende melding til Datatilsynet etter § 29,
4 unnlater å gi opplysninger til tilsynsmyndighetene etter § 31,
eller
5 unnlater å etterkomme pålegg fra tilsynsmyndighetene
etter § 32.
Ved særdeles skjerpende omstendigheter kan fengsel
inntil tre år idømmes. Ved avgjørelsen
av om det foreligger særdeles skjerpende omstendigheter skal
det blant annet legges vekt på faren for stor skade eller
ulempe for den registrerte, den tilsiktede vinningen ved overtredelsen,
overtredelsens varighet og omfang, utvist skyld, og om den databehandlingsansvarlige
tidligere er straffet for å ha overtrådt tilsvarende bestemmelser.
Medvirkning straffes på samme måte.
I forskrift som gis i medhold av loven, kan det fastsettes
at den som forsettlig eller grovt uaktsomt overtrer forskriften
skal straffes med bøter eller fengsel inntil ett år
eller begge deler.
§ 35 Erstatning
Den databehandlingsansvarlige skal erstatte skade som er
oppstått som følge av at helseopplysninger er behandlet
i strid med bestemmelser i eller i medhold av loven, med mindre
det godtgjøres at skaden ikke skyldes feil eller forsømmelse
på den databehandlingsansvarliges side.
Erstatningen skal svare til det økonomiske tapet som
den skadelidte er påført som følge av
den ulovlige behandlingen av helseopplysningene. Den databehandlingsansvarlige
kan også pålegges å betale slik erstatning
for skade av ikke-økonomisk art (oppreisning) som synes
rimelig.
Kapittel 7 Forholdet til andre lover. Ikraftsetting
§ 36 Forholdet til lov om behandling av
personopplysninger
I den utstrekning ikke annet følger av denne lov, gjelder
personopplysningsloven med forskrifter som utfyllende bestemmelser.
§ 37 Ikraftsetting
Loven trer i kraft fra den tid Kongen bestemmer. Kongen
kan bestemme at de enkelte bestemmelsene i loven skal tre i kraft
til ulik tid.
§ 38 Endringer i andre lover
1 I lov 19. november 1982 nr. 66 om helsetjenesten
i kommunene skal § 3-4 første ledd lyde:
(Meldingsplikt til kommuneadministrasjonen
mv.)
Kommunen kan pålegge helsepersonell som arbeider
innenfor rammen av denne lov å gi opplysninger til bruk
for planlegging, styring og utvikling av kommunehelsetjenesten. Utlevering
av taushetsbelagte opplysninger etter første punktum skal
skje etter samtykke fra den opplysningene angår, hvis ikke
annet er bestemt i eller i medhold av lov.
2 I lov 3. juni 1983 nr. 54 om tannhelsetjenesten
skal § 3-4 første ledd lyde:
(Meldingsplikt til fylkesadministrasjonen
mv.)
Fylkeskommunen kan pålegge helsepersonell som
arbeider innenfor rammen av denne lov å gi opplysninger
til bruk for planlegging, styring og utvikling av tannhelsetjenesten
i fylkeskommunen. Utlevering av taushetsbelagte opplysninger
etter første punktum skal skje etter samtykke fra den opplysningene
angår, hvis ikke annet er bestemt i eller i medhold av
lov.
3 Lov 4. desember 1992 nr. 126 om arkiv endres slik:
§ 9 bokstav c tredje punktum skal lyde:
Personregister eller delar av personregister kan likevel
slettast etter føresegnene i personopplysningslova, helseregisterlova
og etter føresegner i medhald av helseregisterlova §§ 7
og 8.
§ 9 bokstav d annet punktum skal lyde:
Føresegner om sletting gjevne i medhald av § 27 tredje
og femte leden og § 28 fjerde leden i personopplysningslova
og §§ 7, 8 og 26 tredje leden og § 28
andre leden i helseregisterlova gjeld likevel uinnskrenka.
§ 18 annet punktum skal lyde:
Reglane i personopplysningslova og helseregisterlova om
retting og sletting av opplysningar vil likevel gjelda fullt ut.
4 I lov 5. august 1994 nr. 55 om vern mot smittsomme sykdommer
skal § 2-3 lyde:
§ 2-3 Meldingsplikt for leger.
Varslingsplikt for
sykepleiere og jordmødre
En lege som oppdager en smittet person, har meldingsplikt
etter forskrifter gitt i medhold av fjerde ledd uten hinder av lovbestemt
taushetsplikt. En sykepleier eller jordmor som i sin virksomhet
oppdager en smittet person har varslingsplikt etter forskrifter
gitt i medhold av fjerde ledd uten hinder av lovbestemt taushetsplikt.
Den som etter første ledd mottar opplysninger
undergitt taushetsplikt, har samme taushetsplikt som dem som gir
opplysningene.
Når en lege som er meldingspliktig etter bestemmelsen
i første ledd, gir en melding som identifiserer en person,
skal legen informere den meldingen angår, om hvem som skal
få meldingen og hva den skal brukes til.
Kongen i Statsråd kan gi forskrifter
om behandling av helseopplysninger, herunder om bruk av navn, fødselsnummer
eller andre personidentifiserende kjennetegn i samsvar med helseregisterloven.
Forskriftene skal angi formålet med behandlingen av opplysningene,
og hvilke smittsomme sykdommer som skal meldes eller varsles. Kongen
i Statsråd kan også gi forskrifter om meldingsplikt
for bivirkninger av forebyggende tiltak, og om undersøkelse,
behandling og andre tiltak etter loven. Kongen kan gi nærmere bestemmelser
om hvem som skal melde eller varsle, og om formkrav, meldingsskjemaer
og frister for meldingene og varslene, herunder om hvem som kan
eller skal motta meldinger og varsler.
Uten samtykke fra departementet kan
verken private eller offentlige sette i verk meldingsordninger for smittsomme
sykdommer hos mennesker. Dette gjelder ikke interne systemer.
Ved utbrudd av allmennfarlig smittsom sykdom, eller når
det er fare for slikt utbrudd, og når det er nødvendig
av hensyn til smittevernet, kan Statens helsetilsyn med øyeblikkelig
virkning pålegge personer som nevnt i første ledd
midlertidige meldings- og varslingsplikter som fraviker fra forskrifter
etter fjerde ledd uten hinder av lovbestemt taushetsplikt.
§ 3-8 femte ledd skal lyde:
Kongen i Statsråd kan i forskrift
fastsette at helsepersonell uten hinder av lovbestemt taushetsplikt
skal gi nødvendige opplysninger for gjennomføring
av et kontrollsystem basert på vaksinasjonsregistre, og
gi regler for slike registre, jf. helseregisterloven.
§ 7-11 annet ledd første punktum
oppheves.
5 Lov 2. juli 1999 nr. 64 om helsepersonell endres slik:
§ 35 fjerde ledd skal lyde:
Lege eller jordmor skal gi melding om fødsel eller svangerskapsavbrudd
etter tolvte uke til Medisinsk fødselsregister i samsvar
med forskrift gitt i medhold av helseregisterloven.
§ 37 skal lyde:
§ 37 Melding til helseregistre m.v.
Kongen kan pålegge helsepersonell med
autorisasjon eller lisens å gi opplysninger til helseregistre
i samsvar med forskrift gitt i medhold av helseregisterloven.
Oslo, i sosialkomiteen, den 27. mars 2001
John I. Alvheim |
Olav Gunnar Ballo |
Are Næss |
leder |
ordfører |
sekretær |