Helseregisterloven skiller mellom tilgang til helseopplysninger
og utlevering av helseopplysninger. Helseregisterloven § 13 setter
de ytre rammer for hvem som kan gis tilgang til helseopplysninger. Elektronisk
tilgang til helseopplysninger som behandles etter helseregisterloven,
er begrenset til den som arbeider under den databehandlingsansvarliges eller
databehandlers instruksjonsmyndighet. Begrensningen i helseregisterloven
§ 13 gjelder i tillegg til reglene om taushetsplikt i helsepesonelloven.
Helseregisterloven § 13 må ses i sammenheng med helseregisterloven
§ 16 som pålegger databehandlingsansvarlig og databehandler å sørge
for tilstrekkelig sikring av helseopplysninger. Dersom noen utenfor
den databehandlingsansvarliges eller databehandlers virksomhet har
tilgang til helseopplysninger, har ikke databehandlingsansvarlig
eller databehandler oppfylt sine plikter etter helseregisterloven
§ 16 til å sikre helseopplysninger.
Det framholdes at helseregisterloven § 13 – slik den i dag lyder
– stenger for kommunikasjon mellom helsepersonell også der det er
formålstjenelig og kan gjøres uten at det går på bekostning av informasjonssikkerheten.
Dette er slik fordi helsepersonell i én virksomhet ikke står under
instruksjonsmyndigheten til databehandlingsansvarlige eller databehandler
i en annen virksomhet, og de kan følgelig ikke gis tilgang til journalen
der den befinner seg i den andre virksomhetens elektroniske pasientjournalsystem.
Mulighet til å gjøre seg kjent med nødvendige og relevante journalopplysninger
er etter gjeldende rett gjennom utlevering av opplysningene, som
elektronisk forsendelse eller meldingsutveksling eller som papirutskrift
eller papirkopi.
Det uttales at det ut fra et personvernsynspunkt ikke nødvendigvis
er bedre å utlevere en kopi av journalen/journalnotat enn å gi den
aktuelle legen tilgang til journalen/journalnotatet der det ligger.
Departementet mener at de teknologiske muligheter i dag innebærer
at taushetsplikten kan ivaretas også når det åpnes for tilgang til
helseopplysninger på tvers av virksomheter. Det absolutte forbudet
i helseregisterloven § 13 er etter departementets vurdering ikke
lenger hensiktsmessig, fordi det ikke er nødvendig for overholdelse
av taushetsplikten, og fordi det vanskeliggjør nødvendig samarbeid
og samhandling mellom virksomheter som samarbeider om helsehjelp
til pasienter.
Det er departementets mening at det er underordnet om tilgjengeliggjøringen
skjer i form av kopiering og overføring av informasjon til mottaker/mottakers
system, eller om det skjer i form av at mottaker gis innsyn i de
avgrensede opplysningene som kan utleveres til mottakers system.
Avgjørende for om det bør utvikles løsninger for meldingsutveksling
eller om en bør åpne for tilgang på tvers, bør etter departementets
syn være hvordan pasientens behov best kan ivaretas, og om sikker
informasjonsutveksling er mulig. Det uttales at dagens kommunikasjons- og
informasjonsteknologi gjør det mulig å sikre opplysningene, herunder
kontrollmuligheter, og ivareta hensynet til pasientens rett til
konfidensialitet ved tilgang til helseopplysninger på tvers av virksomheter. Departementet
mener derfor at helseregisterloven § 13 bør endres slik at det åpnes
for dette etter nærmere regulering i forskrift. Det understrekes
at en helt overordnet forutsetning vil være at virksomhetene har
systemer som faktisk er i stand til å gi tilgang til kun journalopplysninger
som er relevante og nødvendige for å kunne gi forsvarlig og nødvendig
helsehjelp til pasienten, og at det ikke gis tilgang til opplysninger
som ikke er nødvendige av hensyn til helsehjelpen.
Det redegjøres i proposisjonen for en del hovedkrav for tilgang
på tvers som departementet vil ta utgangspunkt i ved utarbeidelse
av forskriften.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet,
viser til at § 13 i helseregisterloven, slik den i dag er utformet,
medfører at bare den databehandlingsansvarlige, databehandlere og
den som arbeider under den databehandlingsansvarliges eller databehandlers
instruksjonsmyndighet, kan gis tilgang til helseopplysninger. Tilgang
kan bare gis i den grad dette er nødvendig for vedkommendes arbeid
og i samsvar med gjeldende bestemmelser om taushetsplikt. Flertallet vil videre vise til at departementets
forslag innebærer at § 13 får et nytt annet ledd.
Flertallet viser til at utviklingen
innen helsetjenesten og funksjonsfordeling og samhandling mellom
ulike virksomheter og tjenester har medført et økende behov for
kommunikasjon av taushetsbelagte opplysninger på tvers av virksomheter.
Tilgang til nødvendige journalopplysninger på tvers av tjenestenivåer
vil i enkelte tilfeller være helt avgjørende for å kunne gi pasienten
forsvarlig helsehjelp.
Flertallet viser til at § 13 i helseregisterloven slik
den i dag er utformet, medfører at bare den databehandlingsansvarlige,
databehandlere og den som arbeider under den databehandlingsansvarliges
eller databehandlers instruksjonsmyndighet, kan gis tilgang til
helseopplysninger. Tilgang kan bare gis i den grad dette er nødvendig
for vedkommendes arbeid og i samsvar med gjeldende bestemmelser
om taushetsplikt. Flertallet vil videre
vise til at Regjeringens forslag innebærer at § 13 får et nytt annet
ledd:
"Kongen i Statsråd kan i forskrift gi nærmere bestemmelser
om tilgang til helseopplysninger. Forskriften kan for tilgang til
helseopplysninger i behandlingsrettede helseregistre gjøre unntak
fra første ledd første punktum."
Flertallet framhever at endringen
i § 13 ikke innebærer unntak fra reglene om taushetsplikt. Det følger
både av helsepersonelloven § 25 og § 45 at taushetsbelagte opplysninger
bare kan kommuniseres når det er nødvendig for å kunne gi forsvarlig
helsehjelp. Dette gjelder så vel kommunikasjon internt i virksomheten
som mellom virksomheter.
Flertallet vil vise til at pasientrettighetsloven lovfester
et generelt krav om samtykke som rettsgrunnlag for å yte helsehjelp.
Samtykkekravet gjelder alle former for helsehjelp som pasienten
mottar. Pasientens samtykke er bare gyldig dersom pasienten har
fått nødvendig informasjon om tiltaket.
Flertallet mener at på samme måte
som pasienten skal samtykke til helsehjelp, bør pasienten også få
rett til å samtykke til elektronisk tilgang til de helseopplysningene
som er nødvendige for at helsehjelpen som tilbys er forsvarlig.
Flertallet viser til at et samtykke
til helsehjelp kan gis uttrykkelig eller stilltiende, slik det er
definert i pasientrettighetsloven.
Flertallet mener at tilgang til helseopplysninger
på tvers av virksomheter bare skal kunne gis etter samtykke fra
den registrerte. Samtykke er i helseregisterloven § 2 nr. 11 definert
som en frivillig, uttrykkelig og informert erklæring fra den registrerte
om at han eller hun godtar behandling av helseopplysninger om seg
selv. For å sikre at kravet til uttrykkelig samtykke overholdes,
mener flertallet at kravet om uttrykkelighet
inntas i selve lovteksten i helseregisterloven § 13 nytt tredje
ledd.
Flertallet vil i forbindelse med
forslaget til nytt fjerde ledd i helseregisterloven § 13 om hjemmel for
forskrift om unntak presisere at helsepersonell ikke uten videre
kan legge til grunn at taushet fra pasienten innebærer et stilltiende
samtykke. Helsepersonellet må konkret vurdere i hvert enkelt tilfelle
om pasienten har fått tilstrekkelig informasjon om behandlingen
av opplysningene, og om pasientens atferd tilsier at samtykke foreligger.
Dersom pasienten er bevisstløs eller er i en tilstand der han eller
hun ikke er i stand til å motta informasjon, må helsepersonell gjøre
en konkret vurdering av hva han eller hun antar at pasienten hadde
ønsket. I slike tilfeller vil opplysningenes sensitivitet og hvor
nødvendige de er for den aktuelle helsehjelpen, være en del av vurderingen.
Flertallet viser til at pasientens
samtykke til helsehjelp bare er gyldig dersom pasienten har fått
informasjon om tiltaket. Flertallet mener
at dette også bør gjelde for samtykke til elektronisk tilgang til helseopplysninger
om pasienten. Når det gjelder omfanget av informasjonsplikten ved
elektronisk tilgang til helseopplysninger, viser flertallet til
helseregisterloven §§ 23 og 24. Bestemmelsene gjelder ved all behandling
av helseopplysninger som skjer ved hjelp av elektroniske hjelpemidler.
Det følger av disse at informasjonen til pasienten blant annet skal inneholde:
navn og adresse på den databehandlingsansvarlige,
formålet med behandlingen av opplysningene,
om opplysningene vil bli utlevert, og eventuelt hvem som
er mottaker,
om det er frivillig å gi fra seg helseopplysningene,
annet som gjør den registrerte i stand til å bruke sine
rettigheter på en best mulig måte.
Videre fremgår av siste ledd at varsel ikke er påkrevd dersom
det er på det rene at den registrerte allerede kjenner til denne
informasjonen.
Flertallet viser også til at ifølge
helsepersonelloven § 10 er det helsepersonell som har det faglige
ansvaret for helsehjelpen, som har plikt til å gi informasjon etter
pasientrettighetsloven. Det kan for eksempel være legen som forordner
eller utfører tiltak, eller sykepleieren som gir pleie. I helseinstitusjon
skal det etter helsepersonelloven § 10 første ledd annet punktum
utpekes en person som skal gi informasjon. Den som er utpekt som
ansvarlig for å gi informasjon, har et overordnet ansvar for at
pasienten faktisk får informasjon.
Flertallet antar at det vil være
mest naturlig at det samme personell som informerer pasienten om hans
eller hennes helsetilstand og innholdet i helsehjelpen, også informerer
om hva slags behandling det gjøres av helseopplysningene om vedkommende.
Flertallet vil presisere viktigheten
av at man i særlig grad forsikrer seg om at pasienten er informert dersom
det er aktuelt å gi helsepersonell i andre virksomheter elektronisk
tilgang til helseopplysningene.
Flertallet framhever også at forespørsel
til ekstern virksomhet om tilgang til en pasients elektroniske pasientjournal
ikke kan omfatte mer enn én pasients elektroniske journal. Ved behov
for gjentatt tilgang må det skje en ny forespørsel. Ved behov for oppslag
i en annen pasients elektroniske pasientjournal må tilgangsvurderingen
gjøres på nytt fra egen virksomhets pasientjournalsystem, basert
på tjenestelig behov.
Flertallet har merket seg at tilgang
til helseopplysninger på tvers av virksomheten forutsetter at det
i eget system er en eksplisitt mulighet til å autorisere en bruker
for "rett til å forespørre informasjon i ekstern virksomhet".
Flertallet er enig i at virksomheter
som gis tilgang til hverandres behandlingsrettede helseregistre, må
ha inngått en særskilt avtale om tilgang på tvers av virksomhetene
på forhånd. Flertallet forutsetter at
slik avtale bare kan inngås der det er behov for det. Dette vil
særlig gjelde i tilfeller der det er utstrakt samarbeid om behandling
av pasienter på tvers av virksomhetsgrensene.
Flertallet legger til grunn at meldingsutveksling
og eventuell annen form for utlevering av helseopplysninger fortsatt
skal benyttes der dette anses mest formålstjenlig og sikkert. Dette
vil også være gjeldende i de tilfeller der pasientene ikke samtykker til
utlevering av helseopplysninger.
Flertallet vil også vise til at helsepersonelloven
§ 21a gjør det straffbart å lese, søke etter eller på annen måte
tilegne seg, bruke eller besitte opplysninger som er taushetsbelagt
etter helsepersonelloven, uten at det er begrunnet i helsehjelp
til pasienten.
Flertallet har merket seg at situasjonen
i dag trolig er slik at ingen virksomheter i helsesektoren har elektroniske
pasientjournaler som vil muliggjøre tilgang på tvers av virksomheter.
Utnyttelse av de muligheter de foreslåtte lovendringene nå åpner
for, krever at det gjøres store tilpasninger i de elektroniske journalsystemene.
Som departementet selv sier i høringsnotatet, er en helt overordnet
forutsetning for å gi tilgang til helseopplysninger på tvers av
virksomheter at virksomhetene faktisk har systemer som er i stand
til å gi tilgang til kun journalopplysninger som er relevante og
nødvendige for å kunne gi forsvarlig og nødvendig helsehjelp til
pasienten. Departementet understreker videre at det ikke kan åpnes
for tilgang på tvers før virksomheten kan etterleve sikkerhetskrav
som vil bli stilt i forskrift.
Flertallet merker seg at Helsedirektoratet
i sitt høringssvar ga uttrykk for at den direkte tilgangen fra én
virksomhet til pasientjournal i en annen virksomhet må avgrenses
slik at eksterne søkere bare kan få fram den spesifikke informasjonen
de har tjenestelig behov for, og at det må foreligge en forhåndsgodkjenning
av definert og strukturert informasjon som det skal kunne gis tilgang
til.
Flertallet har videre merket seg
at forslaget ikke innebærer at en stor personkrets uten videre vil få
tilgang til pasientinformasjon, slik som Datatilsynet synes å tro.
Tilgang til journalopplysninger på tvers av virksomhetsgrenser skal
bare kunne gis når det er behov for det, til dem som deltar i behandlingen,
for å kunne tilby pasienten forsvarlig helsehjelp.
Flertallet viser til arbeidet med
forskrift om informasjonssikkerhet og tilgang til helseopplysninger
på tvers av virksomheter. Flertallet forutsetter at
det i forskriften stilles krav som gjør at pasientens rett til konfidensialitet
ivaretas, og at ingen får tilgang til flere opplysninger enn det
de har behov for.
Flertallet mener at pasientens vern
mot at uvedkommende får tilgang til taushetsbelagte opplysninger
om vedkommende, må være like sterk, uavhengig av virksomhetsgrenser. Flertallet viser til at pasienten har
et rettslig vern vedrørende konfidensialitet uavhengig av organisatoriske
grenser.
Flertallet mener at logging av informasjon om
hvem som har hatt tilgang til taushetsbelagte opplysninger, er et
viktig element for å bedre informasjonssikkerheten. Det er et sentralt
element i personvernet at den enkelte skal ha rett til og reell
mulighet til å ha kontroll over helseopplysninger om seg selv. Flertallet mener at informasjon om hvem
som har hatt tilgang til helseopplysninger om en (innsyn i logg),
vil bidra til å øke pasientens kontroll med opplysningene og gjøre
personvernet mer betryggende. Flertallet mener
at pasientens innsynsrett i logg – det vil si rett til informasjon
om hvem som har hatt tilgang til helseopplysninger om ham eller
henne – bør fremgå av lov. Flertallet vil
fremme forslag om dette.
Komiteen erkjenner at
logging ikke alene kan bedre informasjonssikkerheten, men må ses
i sammenheng med andre sikkerhetstiltak, herunder en god og formålstjenlig
tilgangsstyring.
Komiteen mener at en effektiv kontroll
med tilgangsstyringen (internkontroll), sammen med økt fokus på
opplæring, kunnskap og holdninger vil være viktige tiltak for å
fremme informasjonssikkerheten.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet,
forutsetter at avtaler om tilgang til helseopplysninger på tvers
av virksomheter, som det nå foreslås å åpne for, ikke på noen måte
vil svekke informasjonssikkerheten på helseopplysninger. En helt
nødvendig premiss må være at tilgangsstyringen kan sikre at det
bare er nødvendige, relevante og strukturerte opplysninger det gis
tilgang til.
Flertallet vil videre vise til side
47 i proposisjonen der det uttales.
"En forespørsel til ekstern virksomhet vedrørende tilgang
til elektronisk pasientjournal skal ikke kunne omfatte mer enn én
pasients elektroniske pasientjournal. Ved behov for gjentatt tilgang
må det skje en ny forespørsel. Ved behov for oppslag i annen pasients elektroniske pasientjournal,
skal tilgangsvurderingen gjøres på nytt fra egen virksomhets elektroniske
pasientjournalsystem basert på dokumentert tjenstlig behov."
Flertallet mener at det bør fremgå
av lovteksten at én forespørsel til ekstern virksomhet vedrørende
tilgang til elektronisk pasientjournal bare kan omfatte én pasients
elektroniske pasientjournal.
Flertallet mener at forutsetningene
for tilgang til helseopplysninger på tvers av virksomheter er at det
i eget system er en eksplisitt mulighet til å autorisere en bruker
for "rett til å forespørre informasjon i ekstern virksomhet". Det
er nødvendig for å forhindre at alle brukere som har et tjenstlig
behov for tilgang til elektronisk pasientjournal i egen virksomhet, automatisk
kan forespørre informasjon i ekstern virksomhet. I den eksterne
virksomheten skal det tilsvarende være et system for å autorisere
de brukere som kan logge seg på virksomhetens elektroniske pasientjournalsystem.
Alle oppslag skal logges.
Flertallet støtter med disse merknader
forslaget til endringer i helseregisterloven § 13. I tillegg vil flertallet foreslå en innstramming av
lovteksten som medfører at det innføres krav til samtykke ved elektronisk
tilgang til helseopplysninger i tråd med vurderingene ovenfor. Flertallet vil presisere at et gyldig
samtykke forutsetter at pasienten har fått nødvendig informasjon
om behandlingen av opplysningene.
Flertallet fremmer på denne bakgrunn
følgende forslag:
"I lov 18. mai 2001 nr. 24 om helseregistre og behandling av
helseopplysninger (helseregisterloven) skal § 13 nye tredje, fjerde,
femte og sjette ledd lyde:
Tilgang til helseopplysninger i behandlingsrettet helseregister
på tvers av virksomheter kan bare gis etter uttrykkelig samtykke
fra den registrerte.
Kongen i Statsråd kan i forskrift gjøre unntak fra kravet om
uttrykkelig samtykke i tredje ledd, jf. § 2 nr. 11.
Én forespørsel om og tilgang til helseopplysninger i annen virksomhet
kan bare omfatte én pasient om gangen.
Den registrerte har rett til innsyn i logg fra behandlingsrettet
helseregister om hvem som har hatt tilgang til helseopplysninger
om ham eller henne."
Komiteens medlemmer fra Høyre, Sosialistisk
Venstreparti, Kristelig Folkeparti og Venstre fremmer følgende
forslag:
"I lov 18. mai 2001 nr. 24 om helseregistre og behandling av
helseopplysninger (helseregisterloven) skal § 13 nytt andre ledd
lyde:
Pasienten har rett til innsyn i logg som gir informasjon om hvem
som har hatt tilgang til helseopplysninger som kan knyttes til vedkommende."
Disse medlemmer viser til at flere
høringsinstanser er svært skeptiske til å gi tilgang til virksomhetsinterne,
behandlingsrettede helseregistre på tvers av virksomheter. Det er
etter disse medlemmers vurdering stor
forskjell på det å gi noen informasjon fra pasientjournalen gjennom
for eksempel elektronisk meldingsutveksling via Norsk helsenett
og å gi noen tilgang direkte til den interne journalen. Det har
blitt argumentert med at ordningen i dag med utlevering av journalutskrifter,
epikriser mv. medfører større fare for spredning enn direkte tilgang
elektronisk. Direkte tilgang er ingen garanti for at det ikke tas
utskrifter fra journalen, og ved direkte tilgang foreligger det
langt større fare for utskrift av fullstendig journal og ikke bare
deler av den.
Disse medlemmer vil bemerke at også
utlevering etter dagens ordning vil kunne skje elektronisk, mens
faren for uberettiget tilgang og personkrenkelser vil øke dramatisk
med forslaget da en stor personkrets vil få direkte tilgang til
pasientinformasjon. Disse medlemmer bemerker
at dagens system bør videreutvikles slik at elektronisk meldingsutveksling
erstatter oversendelse av opplysninger på papir. Disse
medlemmer er kjent med at arbeidet med å utvikle dette systemet
er igangsatt, og at dette vil kunne gi en mer målrettet og effektiv
flyt av nødvendig informasjon samtidig som personvernshensyn kan
ivaretas. Bedre utnyttelse av allerede eksisterende infrastruktur
i Norsk helsenett vil være viktig i denne sammenhengen.
Etter komiteens vurdering
er det avgjørende for å opprettholde tillit mellom pasient og helsepersonell
at pasienten kan oppsøke helsetjenesten og gi opplysninger uten
frykt for spredning av opplysningene. Pasienten skal kunne stole
på helsepersonellets taushetsplikt. Dersom mange skulle få tilgang
til pasientens journal, vil denne tilliten etter komiteens syn
bli svekket, med den konsekvens at terskelen for å oppsøke helsetjenesten
blir større ved stigmatiserende sykdommer, lidelser og at pasientene
tilbakeholder viktige opplysninger.
Komiteens medlemmer fra Høyre, Sosialistisk
Venstreparti, Kristelig Folkeparti og Venstre viser til at
Legeforeningen i sin høringsuttalelse peker på at det i forslaget
ikke er tatt alminnelige personvernshensyn, og at forslaget innebærer
at det både gis tilgang til mer opplysninger enn det som er nødvendig,
og overfor en større personkrets enn det som er nødvendig. Disse medlemmer deler denne oppfatningen.
Disse medlemmer mener det i forslaget
er beskrevet en teknologisk virkelighet som i dag ikke eksisterer.
Det vises til at både Helsetilsynet og Datatilsynet påpeker at dagens
informasjonssikkerhet internt i virksomhetene ikke er godt nok ivaretatt. Dette
er avdekket i felles tilsyn de har hatt ved flere helseforetak.
Under slike forhold vil en omfattende utvidelse av kretsen som får
direkte tilgang til sensitive opplysninger, innebære en betydelig
risiko for ytterligere spredning av sensitive opplysninger.
Disse medlemmer har merket seg at
Personvernkommisjonen i NOU 2009:1 (punkt 16.5.1.3) bemerker:
"Ekstern tilgang til pasientjournalen i en virksomhet
forutsetter etter Personvernkommisjonens oppfatning god styring
og kontroll internt. Med tanke på de svakhetene som både Datatilsynet
og Helsedirektoratet har avdekket gjennom sine tilsyn når det gjelder
tilgangskontroll internt, bør man som Sosial- og helsedirektoratet
påpeker, gå forsiktig fram med tanke på å utvide tilgangen til også
å omfatte eksterne parter."
Komiteen merker seg at
Helsedirektoratet i sitt høringssvar ga uttrykk for at den direkte
tilgangen fra en virksomhet til pasientjournal i en annen virksomhet
må avgrenses slik at eksterne søkere bare kan få frem den spesifikke
informasjonen de har tjenstlig behov for, og at det må foreligge
en forhåndsgodkjenning av definert og strukturert informasjon som
det skal kunne gis tilgang til. Komiteen er
kjent med at slik elektroniske pasientjournaler er organisert i
dag, både i primærhelsetjenesten og hos spesialister, vil det kreve
omfattende omorganisering av pasientjournalene for at Helsedirektoratets
forutsetning skal være oppfylt.
Komiteens medlemmer fra Høyre, Sosialistisk
Venstreparti, Kristelig Folkeparti og Venstre merker seg at
det i proposisjonen (side 45) er uttalt at man må vurdere om man
i forskrift skal innta "... et krav om at det bare kan gis tilgang
til nærmere definerte og strukturerte helseopplysninger", men at
dette står i strid med hvordan nedtegning av informasjon i pasientjournalen
foregår i dag ut fra behandlingshensyn. Legeforeningen har i høringen
i Stortinget presisert at den alminnelige pasientjournal per i dag
ikke vil tilfredsstille slike krav, og det vil kreve store ressurser
å få en ensartet journalstruktur med ulike tilgangnivå.
Disse medlemmer viser til at Datatilsynet
i sitt høringssvar sa:
"Når den enkelte behandlingsinstitusjon ikke makter å
sørge for at informasjonskontrollen internt støtter opp om den enkelte
ansattes personlige plikt til å bevare taushet overfor sine kolleger,
representerer virksomhetens grenser en nødvendig ytre grense for
informasjonsflyten…Denne grensen er etter tilsynets vurdering alt
for vid, sett hen til utgangspunktet om at taushetsplikten er en
personlig plikt. Det er imidlertid den eneste reelle grensen som
eksisterer i dag. Datatilsynet vil derfor advare mot departementets
lovforslag, som i realiteten innebærer at også virksomhetsgrensene
viskes ut. Man står derfor i fare for en fri flyt av pasientopplysninger,
ikke bare blant ansatte i den enkelte virksomhet, men blant de ansatte
i hele sektoren som sådan."
Disse medlemmer viser videre til
at Datatilsynet uttalte:
"Departementet forutsetter at de foreslåtte lovendringene
ikke skal medføre en svekkelse av taushetsplikten. Departementet
forutsetter således at metoden for informasjonsutveksling ikke får
betydning for hvilken informasjon som faktisk blir utvekslet. Datatilsynet
deler ikke departementets oppfatning. Det å gi noen tilgang til
pasientjournal skiller seg, etter tilsynets vurdering, vesentlig
fra å utlevere journalopplysninger. Det vises til at utlevering
muliggjør en vurdering hos utleverende helsepersonell av om vilkårene
for å avgi hele eller deler av pasientjournalen er tilstede. Med
andre ord å fastslå om pasienten samtykker til utleveringen eller
om utleveringen er nødvendig for å gi helsehjelp. Departementets
forslag åpner for selvbetjening i den enkelte pasients journal.
Dette medfører en svekkelse av taushetsplikten som Datatilsynet
sterkt vil fraråde."
Disse medlemmer deler Datatilsynets
oppfatning om at taushetsplikt for opplysninger som ikke er relevante
og nødvendige, i teorien kan ivaretas også når man gir tilgang til
opplysninger. Det forutsetter imidlertid at man er faktisk i stand
til å gi tilgang til de opplysninger som man på forhånd har vurdert
å være nødvendig og relevante. De elektroniske pasientjournaler
som i dag brukes ved landets helseforetak, er imidlertid bygget
opp slik at opplysningene ikke er systematiserte, ut over at opplysningene føres
kronologisk. Selve journalnotatene skrives som fritekst, og det
er ikke noe logisk skille mellom ulike sykdoms- eller behandlingsforløp
hos én og samme pasient. Tilgang til slike journaler vil derfor
lett medføre en utlevering av opplysninger som ikke er relevante
og nødvendige, og derfor ikke skulle vært ulevert. Disse
medlemmer merker seg at Datatilsynet i sitt høringssvar skriver:
"Endringer i dagens journalsystemer for å muliggjøre den
nødvendige systematiseringen av journalopplysningene er ikke berørt
i departementets forslag, og vil etter det tilsynet erfarer medføre
betydelige kostnader."
Disse medlemmer mener at med dagens
pasientjournaler slik de er organisert, vil det ikke være mulig
å kombinere direkte tilgang med kravet om at kun relevante og nødvendige
opplysninger er tilgjengelig. Disse medlemmer mener
at det må arbeides videre med teknologien knyttet til meldingsutveksling,
noe som vil være en fordel av hensyn til det generelle personvernet,
men også for den som søker informasjon, som da slipper å søke gjennom
mengder av informasjon vedkommende ikke har bruk for. Gjennom å
tilrettelegge for dialog mellom mottaker og den som utleverer opplysningene,
unngås også misforståelser og feiltolkninger som kan medføre feilbehandling
i tillegg til personvernkrenkelser ved utstrakt tilgang.
Disse medlemmer viser til høringsuttalelsen
fra Norsk Psykologforening der den ser grunn til bekymring for personvernet
til pasientene innen psykisk helse. Foreningen mener at direkte
tilgang bør begrenses til helsepersonell som gjør kliniske vurderinger
og treffer avgjørelse om hvilken helsehjelp som skal gis. I praksis
vil dette gjelde leger, tannleger og psykologer. Foreningen sier
at antall helsepersonell som gis tilgang til andre helseforetaks
pasientjournaler, med dette blir begrenset, og personvernet til
pasienten blir bedre. Videre uttales:
"I høringsnotatet forholder man seg til informasjon som
om denne er allment gyldig og stabil over tid. Dette kan være relevant
i forhold til noen somatiske helseindikatorer, men når det gjelder
informasjon om symptomer, vurderinger og tiltak innen området psykisk
helse og metoder for utredning og behandling der, er dette svært
komplekst. Informasjon og psykisk helsevern innen psykiske helsetjenester, er
i langt større grad enn i de øvrige helsetjenestene preget av at
informasjon, vurderinger og rapportert behandling er relasjonell
– og er en tids- og kontekstavhengig "ferskvare"."
Som departementet selv sier i høringsnotatet, er en helt overordnet
forutsetning for å gi tilgang til helseopplysninger på tvers av
virksomheter at virksomhetene faktisk har systemer som er i stand
til å gi tilgang til kun journalopplysninger som er relevante og nødvendige
for å kunne gi forsvarlig og nødvendig helsehjelp til pasienten.
Departementet understreker videre at det ikke kan åpnes for tilgang
på tvers før virksomheten kan etterleve sikkerhetskravene i forskriften,
og at situasjonen i dag er at ingen har slike elektroniske pasientjournaler,
men det må arbeides med dette overfor leverandørene av elektroniske
pasientjournalsystemer. Det er derfor etter disse medlemmers oppfatning
prematurt å lovfeste en tilgang til pasientjournaler på tvers av
virksomheter. Selv om lovverket knyttet til taushetsplikt og personvern
skal være teknologinøytralt, kan ikke den nærmere regulering av
tilgang og kontroll løsrives fra den faktiske virkelighet og de
teknologiske mulighetene som foreligger på reguleringstidspunktet.
Disse medlemmer deler oppfatningen
i Helsetilsynets høringsuttalelse hvor det mener at tiden ikke er
moden for et regelverk som åpner for tilgang på tvers av virksomheter,
og at forslaget etter tilsynets vurdering vil svekke taushetsplikten. Disse medlemmer mener dermed at tilgang
til virksomhetsinterne, behandlingsrettede helseregistre på tvers av
virksomhetsgrenser vil medvirke til å svekke personvernet for pasientene,
og vil derfor ikke støtte departementets forslag om endring i helseregisterloven § 13.