Helse- og omsorgsdepartementet foreslår i proposisjonen
en ny pasientjournallov og en ny helseregisterlov. Disse lovene
skal erstatte dagens helseregisterlov.
Formålet med lovforslaget er bedre helse- og omsorgstjenester
til pasientene og brukerne. Reglene skal tilpasses dagens informasjonsbehov ved
samhandling og koordinering av helsehjelp til den enkelte pasient.
Dagens helseregisterlov er en spesiallov for
opprettelse av helseregistre og for behandling av helseopplysninger
i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten.
Det uttales at på grunn av den faglige og organisatoriske utviklingen
i helse- og omsorgstjenesten fungerer ikke lenger alle deler av helseregisterloven
etter intensjonen. Siden loven ble vedtatt i 2001, har det skjedd
store endringer i de tekniske mulighetene og i forventningene i befolkningen
til sømløs utveksling av informasjon og tilgang til egne helseopplysninger.
Departementet mener at flere av bestemmelsene i
dagens lov er til hinder for et velfungerende pasientforløp. Tidligere
ble en større del av helsehjelpen ytt innen én virksomhet. Det har imidlertid
skjedd store endringer i pasientforløpene. Hver person har i dag
sine helseopplysninger spredd mellom ulike systemer i ulike virksomheter.
Økt spesialisering og samhandling forutsetter at flere virksomheter
er løpende involvert i behandlingen av samme pasient. Det framholdes
at grunnleggende krav til pasientsikkerhet forutsetter større grad
av sikker informasjonsdeling mellom de involverte virksomhetene.
De foreslåtte endringene skal legge til rette
for at helsepersonell som yter helsehjelp, skal kunne få relevante
og nødvendige opplysninger på en rask og effektiv måte, uavhengig
av hvor pasienten har fått helsehjelp tidligere. Reglene skal også legge
til rette for enklere og mer effektiv bruk av data til kvalitetsforbedring,
forskning, statistikk, helseanalyser, helseovervåking, planlegging, styring
og beredskap.
Det understrekes at det er avgjørende at loven samtidig
ivaretar den enkeltes personvern og mulighet til å kontrollere informasjonsflyten
når det gjelder opplysninger om en selv. Helsepersonells tilgang
til opplysninger skal reguleres og alle skal ikke ha tilgang til
alt. Pasienter og brukere skal kunne ha tillit til at opplysningene
i systemene blir sikret på best mulig måte, slik at opplysninger
ikke spres til uvedkommende. De store teknologiske fremskrittene
gjør det mulig med mer selvbestemmelse og lettere tilgjengelig informasjon
for pasienter og brukere. Departementet mener at den enkeltes personvern
derfor kan ivaretas på en bedre måte gjennom moderne infrastruktur
og sikkerhetsmekanismer. Lovfestede krav om personvern skal sikre
at disse hensynene ivaretas.
Lovforslaget er basert på høringsnotatet fra
2013 om revidering av helseregisterloven. Det kom inn 90 høringssvar
med merknader.
Det gis en oversikt over retten til helsetjenester og
retten til personvern i menneskerettighetene, med særlig vekt på
Den europeiske menneskerettskonvensjon artikkel 8 om vern for privatlivet. Videre
gis det en oversikt over EUs personverndirektiv, og det orienteres
om et forslag fra EU-kommisjonen om en generell forordning om databeskyttelse.
Det gis en oversikt over helseregisterloven,
personopplysningsloven, pasient- og brukerrettighetsloven, helsepersonelloven
og relevante bestemmelser i andre lover.
Det gis en oversikt over relevante regler i
Danmark, Sverige, Finland og Catalonia. Elektroniske pasientjournalsystemer
i primær- og spesialisthelsetjenesten er tatt i bruk og har stor utbredelse
i flere andre land. I mange land er det etablert helseregistre.
Registrene er ulikt organisert, men felles er behovet for å utforme
statistikk, planlegge og kvalitetsforbedre helse- og omsorgstjenestene
og for å legge til rette for forskning.
Det gis en beskrivelse av praksis for eksisterende helseregistre
som brukes til andre formål enn helsehjelp til enkeltpersoner. Det
finnes i dag en rekke ulike helseregistre. Felles for alle registrene
er at de skal bidra til bedre helse, og at de bygger på hjemmel
i lov, forskrift eller konsesjon. Opplysningene i registrene brukes
til statistikk, helseanalyser, forskning, kvalitetsforbedring, planlegging,
styring eller beredskap i helse- og omsorgsforvaltningen og helse-
og omsorgstjenesten.
Det foretas en drøfting av gjeldende prinsipper, krav
og tiltak med hensyn til personvern og informasjonssikkerhet ved
bruk av IKT i behandlingen av helseopplysninger i behandlingsrettede
helseregistre og andre helseregistre. De fleste virksomheter i helse-
og omsorgssektoren benytter i dag elektroniske pasientjournalsystemer.
Helseregistrene er også i stor grad modernisert og digitalisert.
Det framholdes at sammenliknet med en situasjon hvor informasjonen
og opplysningene er papirbasert, bidrar de elektroniske løsningene
til bedre kvalitet, mer effektivitet og bedre samhandling.
Departementet foreslår at formålet med pasientjournalloven
skal være at behandlingen av helseopplysninger skal skje på en måte
som gir pasienter og brukere helsehjelp av god kvalitet, sikrer
pasienters og brukeres personvern, pasientsikkerhet og rett til
informasjon og medvirkning og gjør at relevante og nødvendige opplysninger på
en rask og effektiv måte blir tilgjengelige for helsepersonell for
å kunne gi helsehjelp, samtidig som vernet mot at opplysninger gis
til uvedkommende, ivaretas.
Departementet foreslår at pasientjournalloven skal
gjelde all behandling av helseopplysninger som er nødvendig for
å yte, administrere eller kvalitetssikre helsehjelp til enkeltpersoner. Loven
omfatter med dette alle behandlingsrettede helseregistre uavhengig
av i hvilket system opplysningene registreres.
Departementet foreslår at behandlingsgrunnlaget
for behandling av helseopplysninger i pasientjournaler og andre
behandlingsrettede helseregistre, reguleres i pasientjournalloven § 6.
Videre presiseres det i lovforslaget at det bare kan etableres behandlingsrettede
helseregistre som følger av denne loven eller av andre lover.
Loven vil også omfatte individuell plan. Plikten til
å utarbeide individuell plan etter helse- og omsorgstjenesteloven
§ 7-1 gir hjemmel for å behandle helseopplysninger både manuelt
og elektronisk. I forslaget til pasientjournallov er det lagt til
rette for at virksomheter kan samarbeide om individuelle planer,
og at det gis tilgang til planene også for ansatte i andre virksomheter.
Pasientjournalloven vil også gi hjemmel for
å ha systemer som er nødvendige for å oppfylle lovfestede plikter
i tilknytning til journalene. Dette gjelder for eksempel registrering
som er nødvendig for å kunne gi pasienter innsyn i hvem som har
hatt tilgang til eller fått utlevert opplysninger fra journalen
(logg). Dette innebærer også at internt system for melding om uønskede
hendelser omfattes av pasientjournalloven.
Departementet foreslår at behandlingsgrunnlag for
kvalitetssikring av en gitt behandling og annen helsehjelp til en
enkelt pasient skal omfattes av pasientjournalloven. Videre foreslås
at den virksomhetsinterne internkontroll og kvalitetssikring som
følger av dagens helsepersonellov § 26 gis behandlingsgrunnlag i
pasientjournalloven. Departementet foreslår endringer i helsepersonelloven
§ 26 for å legge til rette for at virksomheter som samarbeider om
behandlingsrettede helseregistre etter pasientjournalloven § 9,
skal kunne bruke opplysningene i registrene i kvalitetssikringsarbeid.
Departementet foreslår nye regler i pasientjournalloven
som skal legge bedre til rette for informasjonsdeling mellom helsepersonell
enn dagens helseregisterlov.
Den databehandlingsansvarlige skal bestemme på
hvilken måte helseopplysningene kan gjøres tilgjengelige. Dette
omfatter også om autorisert helsepersonell i andre virksomheter
skal kunne gis adgang til selv å søke etter relevant informasjon
om konkrete pasienter i virksomhetens journalsystem. Opplysninger
skal, som i dag, bare kunne gjøres tilgjengelige dersom de er relevante
og nødvendige for å yte helsehjelp og det er sikkerhet for at opplysningene
ikke kommer på avveie. Departementet foreslår å oppheve skillet
i dagens helseregisterlov mellom tilgang til helseopplysninger internt
i en virksomhet og tilgang til opplysninger i andre virksomheter. Det
understrekes at tilgangsstyring er et viktig tiltak for å hindre
at uvedkommende får tilgang til opplysninger om den enkelte pasient.
Helseopplysninger skal også kunne gjøres tilgjengelige
til andre formål enn helsehjelp. Den databehandlingsansvarlige kan
gjøre helseopplysninger tilgjengelige for andre formål enn helsehjelp
når den enkelte samtykker eller dette er fastsatt i lov eller i
medhold av lov. Departementet foreslår at dette presiseres i en
egen bestemmelse, jf. § 20.
Departementet mener at den databehandlingsansvarlige
bare skal kunne gjøre opplysninger tilgjengelige så langt dette
er i samsvar med reglene om taushetsplikt i helsepersonelloven.
Departementet foreslår at det lovfestes at pasienten
har rett til å motsette seg at helseopplysninger i journalen gjøres
tilgjengelige for annet helsepersonell.
Departementet vil presisere at kravene til informasjonssikkerhet
ikke endres. Det overordnede kravet, at det bare er helsepersonell
som trenger opplysningen i en aktuell pasientbehandling som skal
ha tilgang, gjelder fortsatt. Mulighetene som loven gir, skal ikke
kunne tas i bruk før nødvendige sikkerhetsløsninger er utviklet,
tilgjengelige og iverksatt i praksis.
Departementet foreslår å ikke videreføre forutsetningen
i gjeldende helseregisterlov § 13 om et frivillig, uttrykkelig og
informert samtykke for at samarbeidende helsepersonell i andre virksomheter
skal kunne få tilgang til selv å søke frem relevante og nødvendige
helseopplysninger i virksomhetens datasystem. Departementet viser
til at helsepersonellovens samtykkekrav fortsatt skal gjelde og
at pasienten vil ha rett til å motsette seg tilgang.
Regelen i gjeldende helseregisterlov § 13 om
at en forespørsel om tilgang til helseopplysninger i annen virksomhet
bare kan omfatte én pasient om gangen, videreføres ikke i forslaget.
Dette innebærer at tilgang kan avtales på virksomhetsnivå, og at
det ikke må avtales fra gang til gang for hver pasient.
Departementet foreslår at det skal utarbeides
forskrift om hvordan informasjon kan gjøres tilgjengelig og deles
på en måte som sikrer personvernet og begrenser tilgangen til det
som er nødvendig. Forskriften skal gi regler som utfyller lovens
vilkår for å kunne gjøre opplysningene tilgjengelige for personell
i andre virksomheter. Departementet vil blant annet sette krav til
de ansvarlige for virksomheten og til risikovurderingen når det
gis tilgang til behandlingsrettede helseregistre for helsepersonell
i andre virksomheter. Slik forskrift skal tre i kraft samtidig med
ny pasientjournallov.
Departementet foreslår at to eller flere virksomheter
skal kunne samarbeide om etablering av og behandling av opplysninger
i behandlingsrettede helseregistre. Samarbeidet skal baseres på
avtale mellom virksomhetene.
Departementet foreslår en forskriftshjemmel med
mulighet til å gi nærmere regler om samarbeidet, blant annet om
databehandlingsansvaret.
En eventuell avtalt, felles journal skal erstatte virksomhetens
interne journal. Samme opplysninger skal ikke registreres i begge
systemer.
Departementet foreslår at databehandlingsansvaret
ved samarbeid om behandlingsrettede helseregistre reguleres etter
de generelle reglene om plassering av databehandlingsansvar.
Departementet foreslår at det tas inn en hjemmel i
loven slik at departementet kan fastsette vilkår for samarbeid,
enten i forskrift eller i enkeltvedtak.
Departementet mener at det ikke bør være et vilkår
for samarbeid at det er vedtatt forskrifter som regulerer samarbeidet.
Loven bør åpne for at nye løsninger og samarbeidsformer utvikles av
sektoren selv, uten at dette først reguleres fra sentralt hold.
Departementet mener at en forskriftshjemmel for
å etablere nasjonale pasientjournalsystemer er nødvendig for å sikre
framdrift i utviklingen av mer sentraliserte og enhetlige løsninger
der opplysningene følger pasienten. Det foreslås en slik forskriftshjemmel
begrenset til behandlingsrettede registre som på bestemte områder
kommer i stedet for virksomhetenes egne journalsystemer, enten disse
er virksomhetsinterne eller journalsystemer som flere samarbeider
om. Som eksempler på slike begrensede områder nevnes legemiddelregister,
helsekort for gravide og laboratorie- og radiologisystem.
Departementet foreslår en hjemmel for Kongen
i statsråd til å gi forskrifter om behandling av helseopplysninger
for saksbehandling, administrasjon, oppgjør og gjennomføring av
helsehjelp til enkeltpersoner. Gjeldende forskriftshjemmel i helseregisterloven
§ 6 c flyttes til pasientjournalloven § 11, og hjemmelen gjøres
generell.
I tillegg til dagens forskrifter vil bestemmelsen blant
annet gi hjemmel for forskrift om saksbehandling, administrasjon
og kontroll av økonomisk oppgjør og forskrivning av helseforetaksfinansierte
legemidler til bruk utenfor sykehus.
Departementet understreker at kvalitetssikring av
helsehjelp er en viktig del av det å gi helsehjelp, og foreslår
at det presiseres i pasientjournalloven § 6 at opplysningene i pasientjournalen og
andre behandlingsrettede helseregistre kan behandles når dette er
nødvendig for å kvalitetssikre helsehjelpen.
I tilknytning til dette foreslås en mindre endring av
helsepersonelloven § 29 c om helsepersonells bruk av opplysninger
i læringsarbeid og kvalitetssikring. Departementet foreslår at den databehandlingsansvarlige
skal bestemme på hvilken måte opplysningene skal gis til helsepersonell.
Endringen skal gjøre det mulig å gi tilgang for helsepersonell i
andre virksomheter som skal bruke opplysningene i læring eller kvalitetssikring.
Departementet foreslår også enklere prosesser for
virksomhetenes interne kvalitetssikringsarbeid.
Lovforslagene innebærer ikke nye krav som gir administrative
eller økonomiske konsekvenser, men åpner for større fleksibilitet
i informasjonsbehandlingen og vil på sikt kunne gi effektiviseringsmuligheter.
Virksomheter som ønsker å ta i bruk de mulighetene
loven åpner for, vil måtte påregne kostnader til tilpasning av de
tekniske systemene og eventuelle organisatoriske endringer.
Departementet foreslår at formålet med helseregisterloven
skal være å legge til rette for innsamling og annen behandling av
helseopplysninger for å fremme helse, forebygge sykdom og skade
og gi bedre helse- og omsorgstjenester. Samtidig skal loven sikre
at behandlingen foretas på en etisk forsvarlig måte, ivaretar den
enkeltes personvern og brukes til individets og samfunnets beste.
Departementets forslag til formålsbestemmelse er
en innholdsmessig presisering av gjeldende bestemmelse og er en
videreføring av gjeldende rett. Det er imidlertid gjort språklige
og lovtekniske forenklinger i ordlyden.
Departementet foreslår at den nye helseregisterlovens
saklige virkeområde skal være behandling av helseopplysninger til
statistikk, helseanalyser, forskning, kvalitetsforbedring, planlegging,
styring og beredskap i helse- og omsorgsforvaltningen og helse-
og omsorgstjenesten. Loven skal også gjelde behandling av helseopplysninger
i helsearkivregisteret i Norsk helsearkiv. Loven skal ikke gjelde
for behandling av helseopplysninger som reguleres av helseforskningsloven
eller pasientjournalloven.
Departementet legger til grunn at loven skal være
teknologinøytral.
Samtykke er hovedregelen ved all behandling
av helseopplysninger. Departementet foreslår at dette presiseres
i helseregisterloven. Registre som ikke er basert på samtykke, må
ha hjemmel i lov. Det er også et vilkår for å fravike hovedregelen
om samtykke at registerets formål ikke kan nås dersom det kreves
samtykke. Departementet foreslår at dette presiseres i loven.
Departementet mener at reservasjonsrett bør vurderes
for alle nye helseregistre som ut fra registerets formål ikke kan
baseres på samtykke. Med reservasjonsrett menes i denne sammenhengen
en rett til å motsette seg registrering og videre behandling av
opplysninger om seg selv. Dette kan gjelde alle opplysninger eller
bare bestemte opplysninger om den registrerte.
Departementet foreslår en ny bestemmelse som skal
gi Kongen i statsråd fullmakt til å vedta forskrifter om nye registre
som ikke er samtykkebaserte, men der den registrerte får rett til
å reservere seg.
Det framholdes at muligheten til å reservere
seg gjelder også etter at opplysninger om den enkelte er blitt registrert,
på samme måte som at den registrerte alltid kan trekke tilbake et
samtykke. I så fall må opplysningene slettes fra registeret.
Det understrekes at konsekvensene av samtykke eller
reservasjonsrett må vurderes nærmere for hvert enkelt register,
registerets formål og de ulike variablene i registeret. Det må blant
annet vurderes om konsekvensene av en reservasjonsrett vil være
at registeret ikke blir komplett, og eventuelt hvor stor betydning
dette vil ha for å nå registerets formål.
Departementet mener at det ikke bør lovfestes
en generell reservasjonsrett for alle ikke samtykkebaserte registre.
Departementet vil ikke foreslå å innføre en lovfestet
reservasjonsrett mot registrering i de eksisterende sentrale, ikke
samtykkebaserte helseregistrene som er hjemlet i nåværende helseregisterlov
§ 8 tredje ledd og som videreføres i ny lov § 11.
Departementet mener at reservasjonsrett for
registrering i kvalitetsregisterdelen i sentrale, ikke samtykkebaserte
helseregistre som er bygget opp som fellesregistre, bør vurderes
konkret for hvert enkelt register.
Hovedregelen om at etablering av kvalitetsregistre
og andre helseregistre må baseres på samtykke, videreføres i departementets
forslag til ny helseregisterlov.
Departementet foreslår at registre med direkte personidentifiserende
kjennetegn der den enkelte har reservasjonsrett (ikke samtykke),
skal kunne etableres av Kongen i statsråd.
Etablering av nye, ikke samtykkebaserte registre uten
reservasjonsrett skal fortsatt besluttes av Stortinget.
Det foreslås at den nye loven får to forskriftshjemler
som i hovedsak er en videreføring av gjeldende rett. For det første
foreslås det en bestemmelse som gir hjemmel til å etablere registre
der opplysningene behandles etter samtykke fra den registrerte.
Denne bestemmelsen gir også hjemmel for å etablere registre der
opplysningene behandles uten direkte personidentifiserende kjennetegn.
For det andre videreføres hjemmelen for eksisterende, ikke samtykkebaserte
registre som Kreftregisteret og Nasjonalt register over hjerte-
og karlidelser.
Departementet foreslår i tillegg en egen bestemmelse
som tydeliggjør Datatilsynets myndighet til å gi konsesjon til nye
og eksisterende helseregistre.
Departementet foreslår at hjemmel for system for
bivirkningsrapportering for legemidler tas inn i ny helseregisterlov
§ 11. Etter forslaget skal registreringen ikke være basert på samtykke.
Det skal utarbeides nærmere regler i forskrift. Forslaget er en
videreføring og videreutvikling av dagens system for bivirkningsmeldinger.
Departementet foreslår at begrepene avidentifiserte
og pseudonyme opplysninger ikke videreføres i den nye helseregisterloven.
I stedet foreslås et nytt bredere begrep «indirekte identifiserbare
helseopplysninger». Dette er helseopplysninger der navn, fødselsnummer
og andre personentydige kjennetegn er fjernet, men der opplysningene
likevel kan knyttes til en enkeltperson.
Departementet foreslår videre at den databehandlingsansvarlige
på nærmere bestemte vilkår og uten hinder av taushetsplikt, skal
kunne utlevere indirekte identifiserbare opplysninger fra sentrale
forskriftsregulerte registre. Det er en forutsetning at personvernet
til den enkelte samtidig ivaretas på en god måte. Den som mottar
opplysningene, har taushetsplikt.
Departementet foreslår at den registrerte skal
få samme innsynsrett i logg i helseregistre hjemlet i helseregisterloven
som pasienter har i behandlingsrettede helseregistre. Den registrerte
får rett til innsyn i hvem som har hatt tilgang til eller fått utlevert
helseopplysninger som er knyttet til den registrertes navn eller
fødselsnummer.
Lovforslagene innebærer ikke nye krav som gir administrative
eller økonomiske konsekvenser, men åpner for større fleksibilitet
i informasjonsbehandlingen og vil på sikt kunne gi effektiviseringsmuligheter.
Virksomheter som ønsker å ta i bruk de mulighetene
loven åpner for, vil måtte påregne kostnader til tilpasning av de
tekniske systemene og eventuelle organisatoriske endringer.