Det vises til brev fra Stortinget datert 18. mai 2009 vedrørende
ovennevnte. Saksordfører Olav Gunnar Ballo ber i brevet om departementets
vurdering av de spørsmålene og problemstillingene som reises i brevet
fra Legeforeningen til Stortingets helse- og omsorgskomité. Brevet
fra legeforeningen fulgte som vedlegg til Stortingets brev.
Jeg vil innledningsvis informere om at foreliggende lovforslag
i Ot.prp. nr. 51 (2008–2009) ikke gjør inngrep i taushetsplikten.
Jeg mener derfor det er feil der det i brevet fra Legeforeningen
uttales: "Det foreliggende lovendringsforslag representerer det mest
inngripende tiltak i forhold til taushetsplikt og personvern og
uten at det er foretatt en vurdering av behov og andre alternative
og mer målrettede tiltak."
Beskyttelse av privatlivets fred er et sentralt hensyn bak personvernreguleringen.
For å konkretisere hva som ligger i personvern er det i teorien
utviklet ulike innfallsvinkler. (Veileder
til utredningsinstruksen. Vurdering av personvernkonsekvenser.
Fornyings- og administrasjonsdepartementet 2008)
Den første innfallsvinkelen en ofte tar utgangspunkt i, er det integritetsfokuserte personvernet, som er
et uttrykk for borgerens ønske om å ha kontroll over opplysninger
om seg selv og ha en sirkel av privatsfære som ingen har rett til
å trenge innenfor, uten tillatelser eller en god og legitim grunn.
Et overordnet prinsipp i foreliggende proposisjon er at tilgang
til helseopplysninger bare kan gis i den grad opplysningene er relevante
og nødvendige for å kunne tilby faglig, forsvarlig helsehjelp til
pasient.
Foreliggende lovforslag innebærer ikke at det kan gis tilgang
til flere helseopplysninger enn det man i dag kan gi tilgang til,
internt i virksomheten. Når det gjelder kommunikasjon på tvers av
virksomheter, åpner lovforslaget for at man kan få elektronisk tilgang
til helseopplysninger man i dag kan få utlevert. Man får imidlertid
ikke innsyn i flere opplysninger enn i dag.
Ut fra det synspunkt at helseopplysninger ikke skal komme på
avveie eller i hendene på uvedkommende, er det - slik jeg ser det
– ikke nødvendigvis bedre å utlevere en kopi av journalen /journalnotat enn
å gi vedkommende helsepersonell lesetilgang til journalen/ journalnotatet
der det ligger. Mulighetene for kontroll med hvem som får lese journalen/journalnotatet
er større når det gis lesetilgang til opplysningene enn ved utlevering.
Dette fordi at man ved utlevering av opplysningene også ofte mister
kontrollen med den videre bruken av dem.
Den andre innfallsvinkelen er det maktfokuserte personvernet. Med
dette tenker man på maktbalansen mellom enkeltpersoner og offentlige
eller private aktører, eller maktbalansen mellom den registrerte
(pasienten) og den som behandler opplysningen. Foreliggende lovforslag
innebærer at det ikke gis tilgang til flere opplysninger om en pasient,
enn hva som i dag kan utleveres. Videre vil mulighetene for kontroll
av hvem som har lest eller sett opplysningene, være større når det
gis tilgang til opplysningene, enn ved utlevering.
Den tredje innfallsvinkelen er det beslutningsorienterte
personvernet. Dette tar utgangspunkt i at personopplysninger
brukes som grunnlag for beslutninger i offentlig og privat virksomhet,
som for eksempel helsetjenesten. Et viktig formål med foreliggende proposisjon
er å fjerne regelverksmessige hindre for effektiv og trygg kommunikasjon
i helsetjenesten. Tilgang til nødvendige og relevante opplysninger
vil ofte være en forutsetning for å kunne treffe en faglig forsvarlig
beslutning om hva slag helsehjelp pasienten bør tilbys.
På bakgrunn av blant annet ovennevnte, er det min vurdering at
konsekvensene for personvernet av foreliggende lovforslag vil gi
bedre personvern.
Helse- og omsorgsdepartementet fikk "NOU 2009:1 Individ og integritet
– Personvern i det digitale samfunn" på alminnelig høring 25. februar
i år, med frist for merknader 20. august 2009. Departementet har
på nåværende tidspunkt ikke ferdigbehandlet rapporten.
Det fremgår av rapporten at Personvernkommisjonen var i sluttfasen
av sitt arbeid da forslaget om å lovhjemle tilgang på tvers av virksomheter
ble sendt på høring, og at de derfor ikke har hatt anledning til
å sette seg inn i forslaget. Kommisjonen uttaler at de likevel vil
knyttet noen generelle kommentarer til spørsmål om tilgang på tvers
av virksomheter, jf. blant annet nedenfor:
Før det åpnes for journaltilgang på
tvers av virksomheter, må det foretas en grundig avveining av både
fordeler og ulemper.
Ekstern tilgang til pasientjournalen i en virksomhet forutsetter
etter Personvernkommisjonens oppfatning god styring og kontroll
internt.
Etter Personvernkommisjonens oppfatning fordrer økt tilgjengelighet
til pasientjournalen at pasienter kan ha tillit til at det ikke
verken juridisk, teknisk eller faktisk er mulig for utenforstående
å tilegne seg informasjon man ikke skal ha.
Jeg mener at foreliggende proposisjon ivaretar de ovenfor nevnte
hensyn som Personvernkommisjonen tar opp. Det vises til punkt 7.5
i proposisjonen.
Lovforslaget innebærer ingen automatisk rett til journalopplysninger
hos fastleger eller andre helseaktører. Det må først utarbeides
en forskrift som nærmere redegjør for hvordan tilgang på tvers eventuelt kan
skje. Fastleger som ønsker en slik samarbeidsform må gjøre avtale
med relevante virksomheter. I forskriften som skal utarbeides vil
det bli satt krav om at tilgangen må begrenses til nødvendige og
relevante opplysninger i strukturert form. Det er bare disse opplysninger
som fastlegene eventuelt kan gjøre tilgjengelig for samarbeidende
helsepersonell. Bare autorisert helsepersonell i sykehusene kan
nå disse opplysningene. Kravene i forskrift vil medføre at det må
gjøres tilpasninger i de elektroniske pasientjournalsystemene både
hos fastleger og sykehus.
Leverandørene av elektroniske pasientjournalsystemer har over
tid implementert de fleste av dagens krav til sikkerhet, og arbeider
kontinuerlig med forandringer. Det vil derfor være lettest og minst kostbart
å tilpasse de siste versjonene av systemene til de nye kravene.
I de elektroniske pasientjournalsystemene av eldre dato kan det
være vanskelig å oppnå de krav til sikkerhet som settes i ny forskrift. Det
vil for eldre systemer måtte gjøres en avveining for hvert system
mellom nytte og kostnad ved å beholde systemene, kontra å foreta
en nyanskaffelse.
Lovforslaget innebærer lesetilgang til strukturerte og relevante
opplysninger. Det betyr at man bruker sin egen EPJ uendret, men
med et større informasjonsgrunnlag for beslutningene. Dersom det
skal kunne gis lesetilgang til journalopplysninger hos en fastlege,
må informasjonen/opplysningene være strukturert og forhåndsvurdert
som relevant.
Den første betingelsen som må være tilstede er at fastlegen har
et elektronisk journalsystem som gjør det mulig å avgrense tilgangen
til å gjelde klinisk informasjon relatert til aktuelt saksområde.
Systemet hos fastlegen må kunne loggføre tilgangen, slik at pasienten
i ettertid kan få innsyn i hvem som har hatt tilgang til helseopplysninger
om ham eller henne.
Det helsepersonell/virksomhet som søker tilgang til opplysningene,
for eksempel pasientansvarlig lege på sykehuset, må kunne identifisere
seg på et høyt sikkerhetsnivå. Et høyt sikkerhetsnivå kan være entydig
identifisering av godkjent bruker ved bruk av personlige sertifikater
basert på teknologien Public Key Infrastructure (PKI) samt brukernavn
og passord for pålogging.
Virksomheten som søker tilgang til helseopplysninger hos fastlegen,
må ha et elektronisk journalsystem som gir en eksplisitt mulighet
til å autorisere en bruker for "rett til å forespørre informasjon
i ekstern virksomhet". Dette er nødvendig for å forhindre at alle
brukere som har et tjenstlig behov for tilgang til elektronisk pasientjournal
i egen virksomhet, automatisk kan forespørre
informasjon i fastlegens system.
Dernest må det være inngått en avtale mellom fastlegen og den
andre virksomheten. Det er ikke slik at all samhandling mellom ulike
nivåer i helsetjenesten heretter skal skje ved direkte tilgang til
opplysninger på tvers av virksomhetsgrenser. Loven pålegger ingen
plikt til å inngå avtale, men gir en mulighet til det. Premissen
er at en pasient skal kunne tilbys faglig, forsvarlig og helhetlig
helsehjelp. Hvordan de aktuelle parter - som hver for seg har et
ansvar for helsehjelp til pasienten - best kan samarbeide om en helhetlig
behandling - må avgjøres helt konkret, basert på behovs- og risikovurderinger.
Jeg vil anta at elektronisk meldingsutveksling er, og fortsatt
vil være, en viktig samhandlingsform, og i mange tilfeller den mest
hensiktsmessige. Kommunikasjon av epikriser og henvisninger vil,
slik jeg ser det, fortsatt skje i form av meldingsutveksling.
Tilgang til helseopplysninger på tvers av virksomheter vil, etter
det jeg er informert om, være mest aktuelt for situasjoner med planlagte
tjenester, og der virksomheter og personell samarbeider tett om
pasienten på en slik måte at kommunikasjon med for eksempel henvisning
og epikrise ikke strekker til. Mest aktuelt er tilgang på tvers
ved funksjonsfordeling mellom sykehus og samarbeid om pasienter
med store og kompliserte behov i pleie- og omsorgstjenesten.
Regler som regulerer dette spørsmålet er inntatt i helseregisterloven
§§ 21 til 25. Det foreslås ingen endringer i disse reglene.
Jeg forutsetter at disse reglene er kjent, men vil likevel skissere
noen av de viktigste hovedelementene nedenfor.
Helseregisterloven § 21 gir enhver rett til generell informasjon
om helseregistre og behandling av helseopplysninger. Bestemmelsen
lyder:
"Enhver som ber om det, skal få vite hva slags behandling
av helseopplysninger en databehandlingsansvarlig foretar, og kan
kreve å få følgende informasjon om en bestemt type behandling av
helseopplysninger:
1. navn og
adresse på den databehandlingsansvarlige og dennes eventuelle representant,
2. hvem som har det daglige ansvaret for å oppfylle den
databehandlingsansvarliges plikter,
3. formålet med behandlingen av helseopplysningene,
4. beskrivelser av hvilke typer helseopplysninger som behandles,
5. hvor opplysningene er hentet fra, og
6, om helseopplysningene vil bli utlevert, og eventuelt
hvem som er mottaker. Informasjonen kan kreves hos den databehandlingsansvarlige
eller hos dennes databehandler som nevnt i § 18."
Det følger av merknadene til bestemmelsen, jf. Ot.prp. nr. 5
(1999–2000), at informasjonen skal være generell, kortfattet og
standardisert. De samme opplysningene skal kunne gis til alle som
ber om informasjon. Når det gjelder informasjon som nevnt i nr.
6, uttales i merknadene til bestemmelsen at det er tilstrekkelig
å angi kategorier av mottakere. Det er ikke nødvendig å identifisere
den enkelte mottaker, som for eksempel det enkelte helsepersonell.
Jeg legger til grunn at informasjonsplikten etter denne bestemmelsen
også omfatter eventuell informasjon om at det er inngått avtale
om tilgang til helseopplysninger på tvers av virksomheter, selv
om helseregisterloven § 23 nr. 6 bruker begrepet "utlevert" og ikke
"tilgang".
Informasjonsplikten etter helseregisterloven § 21 er pålagt den
databehandlingsansvarlige, og informasjon skal gis til enhver som
ber om det. Det er ikke nødvendig at den databehandlingsansvarlige
behandler opplysninger eller har registrert helseopplysninger om
den som ber om det.
I tillegg til generell informasjon som nevnt ovenfor, vil den
enkelte pasient ha rett til informasjon etter helseregisterloven
§§ 23 og 24. Paragraf 23 regulerer informasjonsplikten når opplysninger
innsamles fra den registrerte selv, for eksempel i en fastleges
konsultasjon med en pasient. Bestemmelsen lyder:
Når det samles inn helseopplysninger fra den registrerte
selv, skal den databehandlingsansvarlige av eget tiltak først informere
den registrerte om
1. navn og
adresse på den databehandlingsansvarlige og dennes eventuelle representant,
2. formålet med behandlingen av helseopplysningene,
3. opplysningene vil bli utlevert, og eventuelt hvem som
er mottaker,
4. det er frivillig å gi fra seg helseopplysningene, og
5. annet som gjør den registrerte i stand til å bruke sine
rettigheter etter loven her på best mulig måte, som for eksempel
informasjon om retten til å kreve innsyn, jf § 22, og retten til
å kreve retting og sletting, jf §§ 26 og 28.
Varsling
er ikke påkrevd dersom det er på det rene at den registrerte allerede
kjenner til informasjonen i første ledd.
Dersom det er på det rene at den registrerte allerede kjenner
til det som det skal informeres om, er det ikke nødvendig å informere
om dette ved hver konsultasjon, jf. annet ledd i bestemmelsen. I
forholdet mellom en fastlege og pasient vil det ofte være nok med
samme informasjon en gang, men dersom innholdet i noen av de elementene
det skal informeres om endres, må det gis oppdatert informasjon
ved neste kontakt.
Den enkelte pasients rett til innsyn i journal reguleres for
øvrig i pasientrettighetsloven § 5–1 og helsepersonelloven § 41.
Innledningsvis vil jeg gjøre oppmerksom på at befolkningen som
sådan ikke har rett til å reservere seg mot behandling av helseopplysninger
eller reservere seg mot at det gis tilgang til helseopplysninger. Rettighetssubjektet
for reservasjonsretten er pasienten/ den registrerte, jf. helsepersonelloven
§§ 25 og 45.
En pasient kan reservere seg mot at helseopplysninger blir gitt
til samarbeidende personell (§ 25) og andre som yter helsehjelp
(§ 45). Den som mottar opplysningene, har samme taushetsplikt som
helsepersonell. Det innebærer at den som utleverer opplysningene
må informere mottaker om at pasienten har reservert seg mot at andre
gis tilgang til opplysningene.
Mulighetene for kontroll av om mottaker overholder taushetsplikten
er, slik jeg ser det, større når det gis tilgang til opplysningene
enn ved utlevering.
Dersom en lege gis tilgang til opplysninger i en journal, for
eksempel hos fastlegen, skapes det ingen kopi av opplysningene i
den virksomhet som får lesetilgang til opplysningene, utover det
legen velger å dokumentere i egen journal som sitt beslutningsgrunnlag.
Dette innebærer at ingen andre i denne virksomheten vil kunne få
tilgang til opplysningene, og det er heller ingen fare for at opplysningene
spres videre. Blir derimot de samme journalopplysningene utlevert
elektronisk til den andre virksomheten, vil opplysningene i de fleste
tilfeller bli lagret som en helhet i journalsystemet hos mottakeren.
En slik lagring i mottakerens journalsystem innebærer at opplysningene
vil kunne bli tilgjengelige for andre enn den legen som ba om å
få opplysningene utlevert. Det må kunne antas at risikoen for at
opplysninger kommer på avveie, øker med antall kopier som finnes. Dette
gjelder både opplysninger på papir og i elektronisk form. Dersom
den legen som har behov for opplysningene gis tilgang til opplysningene
der de ligger, vil behovet for dobbeltlagring minske. Sett fra et personvernsperspektiv
synes dette å være en fordel.
I tilknytning til dette vil jeg også minne om forbudet mot "snoking"
som er inntatt i helsepersonelloven § 21 a og helseregisterloven
§ 13 a. Helseregisterloven § 13 a lyder:
"Det er forbudt å lese, søke etter eller på annen måte
tilegne seg, bruke eller besitte helseopplysninger som behandles
etter denne loven uten at det er begrunnet i helsehjelp til pasienten,
administrasjon av slik hjelp eller har særskilt hjemmel i lov eller
forskrift."
Den som fortsettlig eller grovt uaktsomt overtrer bestemmelsene,
straffes med bøter eller fengsel i inntil tre år.
Lovforslaget og de reguleringer som vil bli gjort i forskriften
åpner ikke for fri tilgang til pasientjournaler. Lovforslaget gir
bare tilgang til opplysninger underlagt streng kontroll for behandlende
helsepersonell for den konkrete pasienten.
Det er ulike behov for elektronisk samhandling i helsetjenesten.
En kommunikasjonsform som fungerer godt i en del av helsetjenesten
trenger nødvendigvis ikke være den som fungerer best i en annen
del av helsetjenesten. Tilgang til nødvendige journalopplysninger
på tvers av tjenestenivåer vil i enkelte tilfeller være helt avgjørende
for å kunne gi pasienten forsvarlig helsehjelp.
Komplementære løsninger vil kunne gi flere muligheter for alle
deler av helsetjenesten til å gi en pasient best mulig helsehjelp.
Utviklingsarbeidet med elektroniske meldinger vil derfor fortsette
som før, likeledes utredningen om nasjonal kjernejournal.
Jeg vil klart slutte meg til uttalelsen i brevet fra Legeforeningen
om at det er avgjørende viktig - for å kunne gi god helsehjelp -
at befolkningen trygt kan oppsøke helsetjenesten for helsehjelp
og trygt kan gi opplysninger uten risiko for at de videreformidles
til uvedkommende.
Tilliten til helsetjenesten skapes ved pasientens møte med helsetjenesten
i forbindelse med at det ytes helsehjelp. God kvalitet og faglig
forsvarlig helsehjelp, herunder informasjon til og involvering av
pasienten, er viktige elementer i møte mellom helsepersonell og
pasient.
Tillit til helsetjenesten kan også påvirkes av hva en person
hører av andre, ved kjennskap til andre pasienters møte med helsetjenesten,
ved informasjon gjennom media eller lignende.
I denne forbindelse er det viktig at den informasjonen som blir
kommunisert ut - fra helsetjenesten - gir et mest mulig riktig bilde
av situasjonen.
Innledningsvis i brevet fra Legeforeningen uttales følgende:
"Det foreliggende lovendringsforslag representerer det
mest inngripende tiltak i forhold til taushetsplikt og personvern
og uten at det er foretatt en vurdering av behov og andre alternative
og mer målrettede tiltak"
Denne uttalelsen i Legeforeningens brev er uriktig og i beste
fall misvisende. Slike uttalelser bidrar etter min mening ikke til
å gi allmennheten tillit til helsetjenesten.
Datatilsynet og Statens helsetilsyn har påpekt avvik i forhold
til dagens regelverk. Noen av avvikene som er påpekt kan ikke uten
videre lukkes innenfor dagens teknologi. Det medfører at en må gjøre
nyanskaffelser. I spesialisthelsetjenesten pågår eksempelvis et
langsiktig og omfattende arbeid med å skifte ut eksisterende elektroniske
pasientjournalsystemer med nye systemer som har forbedret funksjonalitet
til pasientbehandling og sikkerhet. Det vil for eldre systemer måtte
gjøres en avveining for hvert system mellom nytte og kostnad ved
å beholde systemene kontra å foreta en nyanskaffelse.
Direkte tilgang fra en virksomhet til en pasientjournal i en
annen virksomhet vil være avgrenset til relevant og nødvendig informasjon
slik at eksterne søkere bare kan få frem den spesifikke informasjonen de
har tjenestlig behov for. Det betyr at ved en slik inndeling kan
helsepersonell få målrettet informasjon uten å gå gjennom hele journalen.
I brevet fra Legeforeningen tas det utgangspunkt i at en eventuell
tilgang hjemles i avtale. Dette er ikke riktig. Tilgang til helseopplysninger
er hjemlet i lov, og foreliggende proposisjon endrer ikke dette.
Regler om kommunikasjon mellom helsepersonell ved helsehjelp
reguleres i dag av helsepersonelloven §§ 25 og 45. Disse bestemmelser
i helsepersonelloven stenger ikke for at det gis tilgang til helseopplysninger
på tvers av virksomheter, forutsatt at de øvrige vilkårene i bestemmelsene
er ivaretatt.
Helseregisterloven § 13 – slik den i dag lyder – stenger imidlertid
for dette – i alle situasjoner, også der det er formålstjenelig
og kan gjøres uten at det går på bekostning av informasjonssikkerheten.
Dette gjelder også i de tilfeller pasienten eventuelt samtykker.
Forslaget i proposisjonen om å åpne for å kunne gjøre unntak fra
det absolutte forbudet i helseregisterloven § 13 i forskrift, innebærer
ikke endringer i pasienters rettstilling. Forslaget legger til grunn
at de teknologiske muligheter i dag innebærer at pasientens rett
til konfidensialitet kan ivaretas på en like god måte som i dag,
selv om det åpnes for tilgang til helseopplysninger på tvers av
virksomheter. Det absolutte forbudet i helseregisterloven § 13 er
etter min vurdering ikke hensiktsmessig lenger, fordi det ikke er
nødvendig for overholdelse av taushetsplikten, og det vanskeliggjør
nødvendig samarbeid og samhandling mellom virksomheter som samarbeider
om helsehjelp til pasienter.
Lovendringene i seg selv innebærer ikke at man kan begynne å
kommunisere på tvers av virksomheter. Tilgang til helseopplysninger
hos ekstern virksomhet forutsetter at det fastsettes nærmere krav
i forskrift. (Det er ikke slik som Legeforeningen synes så tro at
de nærmere vilkårene for tilgang blir fastsatt av det enkelte helseforetak.)
Krav om avtale mellom virksomheten kommer i tillegg til forskriftens
krav, som foreslås hjemlet i helseregisterloven § 13. En avtale
må dessuten omfatte minst to parter. Tilgang til en fastleges elektroniske
journalsystem forutsetter at fastlegen er en av partene.
Avtaler om behandling av helseopplysninger er for øvrig ikke
et ukjent fenomen i personvernlovgivningen. Jeg viser til at både
personopplysningsloven og helseregisterloven krever skriftlig avtale
mellom en databehandlingsansvarlig og en databehandler.
Formålet med lovendringene er å fjerne regelverksmessige hindre
for effektiv og trygg kommunikasjon av helseopplysninger i helsetjenesten,
samtidig som pasientens rett til konfidensialitet og vern om personlig
integritet ivaretas, jf. kapittel 1 i proposisjonen.
En forutsetning for at helsesektoren skal kunne utnytte de muligheter
som lovendringene nå åpner for, er at leverandørene implementerer
kravene i de elektroniske pasientjournalsystemene ved nye leveranser
og bistår sektoren ved tilpasninger i eksisterende systemer, dersom
dette er mest hensiktsmessig. For at dette kan skje må både leverandører
og helsesektoren ha kunnskap om hvilke krav som gjelder.
Det fremgår klart av proposisjonen at det ikke kan åpnes for
tilgang på tvers før virksomheten kan etterleve sikkerhetskravene
i forskriften.
Forslaget i proposisjonen som gir hjemmel til å etablere og regulere
virksomhetsovergripende behandlingsrettede helseregistre i forskrift,
omfatter ikke sentrale behandlingsrettede helseregistre, herunder
nasjonal kjernejournal. Etablering av en nasjonal kjernejournal
krever endring av helseregisterloven, eller egen lov, og det blir
Stortinget som må ta stilling til om et slikt register skal kunne
etableres eller ikke.
Foreliggende proposisjon gir hjemmel til å etablere regionale
og lokale behandlingsrettede helseregistre, for eksempel en regional
kjernejournal. Slik jeg ser det, vil det være helt nødvendig å starte
med en eller flere regionale kjernejournaler, for eksempel som pilotprosjekter,
før en tar stilling til etablering av en nasjonal kjernejournal.
Foreliggende forslag om behandlingsrettede helseregistre på tvers
av helseforetak åpner for et slikt pilotprosjekt.
Foreliggende proposisjon foreslår forkriftshjemmel til å etablere
regionale og lokale helseregistre. Det foreslås at myndigheten til
å fastsette forskrift legges til Kongen i Statsråd, som innebærer
at myndigheten ikke kan delegeres.
Dersom en mener at de nærmere regler for behandling av helseopplysninger
i for eksempel et sentralt register bør vedtas av Stortinget, skjer
dette ved lov, ikke ved forskrift.
Tildeling av myndighet til forvaltningen til å gi generelle bestemmelser
forekommer i stor utstrekning. Delegasjon av lovgivningsmyndighet
(forskriftshjemler) har vært praktisert gjennom hele den tid vår
forfatning har vært i kraft. Det er mange hensyn som taler for at
Stortinget overlater dette til forvaltningen. Mengden av lovstoff
som produseres er så stor at det måtte bli ren sandpåstrøing hvis
alt skulle vedtas av Stortinget.
På den annen side: Det kan knytte seg betenkeligheter til en
for vid delegasjon av lovgivningsmyndighet. Som et utgangspunkt
kan det hevdes at hjemmelsbestemmelsene ikke bør være så vide og
ubestemte at viktige prinsippspørsmål kan avgjøres i medhold av
dem uten Stortingets medvirkning.
Helseregisterloven regulerer behandling av helseopplysninger,
herunder etablering av helseregistre. Det er en del av lovens formål
å sikre at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn,
herunder behovet for personlig integritet, privatlivets fred og
tilstrekkelig kvalitet på opplysningene.
Loven inneholder en rekke overordende prinsipper som krav til
formålsbestemthet, saklighet og relevans, taushetsplikt, informasjonssikkerhet,
plikt til internkontroll, rett til informasjon, innsynsrett i behandling
av opplysninger om en selv etc. Lovens utgangspunkt er at ved all
behandling av helseopplysninger må fokuset "pasienten først" ligge
fast. Alle forskrifter som blir gitt med hjemmel i helseregisterloven
må holde seg innenfor disse rammer.
Min vurdering er at helseregisterloven gir en god ramme for forskriftene
som kan vedtas med hjemmel i loven.