Helse- og omsorgsdepartementet foreslår i proposisjonen
en ny pasientjournallov og en ny helseregisterlov. Disse lovene
skal erstatte dagens helseregisterlov.
Formålet med lovforslaget er bedre helse- og omsorgstjenester
til pasientene og brukerne. Reglene skal tilpasses dagens informasjonsbehov ved
samhandling og koordinering av helsehjelp til den enkelte pasient.
Dagens helseregisterlov er en spesiallov for
opprettelse av helseregistre og for behandling av helseopplysninger
i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten.
Det uttales at på grunn av den faglige og organisatoriske utviklingen
i helse- og omsorgstjenesten fungerer ikke lenger alle deler av helseregisterloven
etter intensjonen. Siden loven ble vedtatt i 2001, har det skjedd
store endringer i de tekniske mulighetene og i forventningene i befolkningen
til sømløs utveksling av informasjon og tilgang til egne helseopplysninger.
Departementet mener at flere av bestemmelsene i
dagens lov er til hinder for et velfungerende pasientforløp. Tidligere
ble en større del av helsehjelpen ytt innen én virksomhet. Det har imidlertid
skjedd store endringer i pasientforløpene. Hver person har i dag
sine helseopplysninger spredd mellom ulike systemer i ulike virksomheter.
Økt spesialisering og samhandling forutsetter at flere virksomheter
er løpende involvert i behandlingen av samme pasient. Det framholdes
at grunnleggende krav til pasientsikkerhet forutsetter større grad
av sikker informasjonsdeling mellom de involverte virksomhetene.
De foreslåtte endringene skal legge til rette
for at helsepersonell som yter helsehjelp, skal kunne få relevante
og nødvendige opplysninger på en rask og effektiv måte, uavhengig
av hvor pasienten har fått helsehjelp tidligere. Reglene skal også legge
til rette for enklere og mer effektiv bruk av data til kvalitetsforbedring,
forskning, statistikk, helseanalyser, helseovervåking, planlegging, styring
og beredskap.
Det understrekes at det er avgjørende at loven samtidig
ivaretar den enkeltes personvern og mulighet til å kontrollere informasjonsflyten
når det gjelder opplysninger om en selv. Helsepersonells tilgang
til opplysninger skal reguleres og alle skal ikke ha tilgang til
alt. Pasienter og brukere skal kunne ha tillit til at opplysningene
i systemene blir sikret på best mulig måte, slik at opplysninger
ikke spres til uvedkommende. De store teknologiske fremskrittene
gjør det mulig med mer selvbestemmelse og lettere tilgjengelig informasjon
for pasienter og brukere. Departementet mener at den enkeltes personvern
derfor kan ivaretas på en bedre måte gjennom moderne infrastruktur
og sikkerhetsmekanismer. Lovfestede krav om personvern skal sikre
at disse hensynene ivaretas.
Lovforslaget er basert på høringsnotatet fra
2013 om revidering av helseregisterloven. Det kom inn 90 høringssvar
med merknader.
Det gis en oversikt over retten til helsetjenester og
retten til personvern i menneskerettighetene, med særlig vekt på
Den europeiske menneskerettskonvensjon artikkel 8 om vern for privatlivet. Videre
gis det en oversikt over EUs personverndirektiv, og det orienteres
om et forslag fra EU-kommisjonen om en generell forordning om databeskyttelse.
Det gis en oversikt over helseregisterloven,
personopplysningsloven, pasient- og brukerrettighetsloven, helsepersonelloven
og relevante bestemmelser i andre lover.
Det gis en oversikt over relevante regler i
Danmark, Sverige, Finland og Catalonia. Elektroniske pasientjournalsystemer
i primær- og spesialisthelsetjenesten er tatt i bruk og har stor utbredelse
i flere andre land. I mange land er det etablert helseregistre.
Registrene er ulikt organisert, men felles er behovet for å utforme
statistikk, planlegge og kvalitetsforbedre helse- og omsorgstjenestene
og for å legge til rette for forskning.
Det gis en beskrivelse av praksis for eksisterende helseregistre
som brukes til andre formål enn helsehjelp til enkeltpersoner. Det
finnes i dag en rekke ulike helseregistre. Felles for alle registrene
er at de skal bidra til bedre helse, og at de bygger på hjemmel
i lov, forskrift eller konsesjon. Opplysningene i registrene brukes
til statistikk, helseanalyser, forskning, kvalitetsforbedring, planlegging,
styring eller beredskap i helse- og omsorgsforvaltningen og helse-
og omsorgstjenesten.
Det foretas en drøfting av gjeldende prinsipper, krav
og tiltak med hensyn til personvern og informasjonssikkerhet ved
bruk av IKT i behandlingen av helseopplysninger i behandlingsrettede
helseregistre og andre helseregistre. De fleste virksomheter i helse-
og omsorgssektoren benytter i dag elektroniske pasientjournalsystemer.
Helseregistrene er også i stor grad modernisert og digitalisert.
Det framholdes at sammenliknet med en situasjon hvor informasjonen
og opplysningene er papirbasert, bidrar de elektroniske løsningene
til bedre kvalitet, mer effektivitet og bedre samhandling.
Departementet foreslår at formålet med pasientjournalloven
skal være at behandlingen av helseopplysninger skal skje på en måte
som gir pasienter og brukere helsehjelp av god kvalitet, sikrer
pasienters og brukeres personvern, pasientsikkerhet og rett til
informasjon og medvirkning og gjør at relevante og nødvendige opplysninger på
en rask og effektiv måte blir tilgjengelige for helsepersonell for
å kunne gi helsehjelp, samtidig som vernet mot at opplysninger gis
til uvedkommende, ivaretas.
Departementet foreslår at pasientjournalloven skal
gjelde all behandling av helseopplysninger som er nødvendig for
å yte, administrere eller kvalitetssikre helsehjelp til enkeltpersoner. Loven
omfatter med dette alle behandlingsrettede helseregistre uavhengig
av i hvilket system opplysningene registreres.
Departementet foreslår at behandlingsgrunnlaget
for behandling av helseopplysninger i pasientjournaler og andre
behandlingsrettede helseregistre, reguleres i pasientjournalloven § 6.
Videre presiseres det i lovforslaget at det bare kan etableres behandlingsrettede
helseregistre som følger av denne loven eller av andre lover.
Loven vil også omfatte individuell plan. Plikten til
å utarbeide individuell plan etter helse- og omsorgstjenesteloven
§ 7-1 gir hjemmel for å behandle helseopplysninger både manuelt
og elektronisk. I forslaget til pasientjournallov er det lagt til
rette for at virksomheter kan samarbeide om individuelle planer,
og at det gis tilgang til planene også for ansatte i andre virksomheter.
Pasientjournalloven vil også gi hjemmel for
å ha systemer som er nødvendige for å oppfylle lovfestede plikter
i tilknytning til journalene. Dette gjelder for eksempel registrering
som er nødvendig for å kunne gi pasienter innsyn i hvem som har
hatt tilgang til eller fått utlevert opplysninger fra journalen
(logg). Dette innebærer også at internt system for melding om uønskede
hendelser omfattes av pasientjournalloven.
Departementet foreslår at behandlingsgrunnlag for
kvalitetssikring av en gitt behandling og annen helsehjelp til en
enkelt pasient skal omfattes av pasientjournalloven. Videre foreslås
at den virksomhetsinterne internkontroll og kvalitetssikring som
følger av dagens helsepersonellov § 26 gis behandlingsgrunnlag i
pasientjournalloven. Departementet foreslår endringer i helsepersonelloven
§ 26 for å legge til rette for at virksomheter som samarbeider om
behandlingsrettede helseregistre etter pasientjournalloven § 9,
skal kunne bruke opplysningene i registrene i kvalitetssikringsarbeid.
Departementet foreslår nye regler i pasientjournalloven
som skal legge bedre til rette for informasjonsdeling mellom helsepersonell
enn dagens helseregisterlov.
Den databehandlingsansvarlige skal bestemme på
hvilken måte helseopplysningene kan gjøres tilgjengelige. Dette
omfatter også om autorisert helsepersonell i andre virksomheter
skal kunne gis adgang til selv å søke etter relevant informasjon
om konkrete pasienter i virksomhetens journalsystem. Opplysninger
skal, som i dag, bare kunne gjøres tilgjengelige dersom de er relevante
og nødvendige for å yte helsehjelp og det er sikkerhet for at opplysningene
ikke kommer på avveie. Departementet foreslår å oppheve skillet
i dagens helseregisterlov mellom tilgang til helseopplysninger internt
i en virksomhet og tilgang til opplysninger i andre virksomheter. Det
understrekes at tilgangsstyring er et viktig tiltak for å hindre
at uvedkommende får tilgang til opplysninger om den enkelte pasient.
Helseopplysninger skal også kunne gjøres tilgjengelige
til andre formål enn helsehjelp. Den databehandlingsansvarlige kan
gjøre helseopplysninger tilgjengelige for andre formål enn helsehjelp
når den enkelte samtykker eller dette er fastsatt i lov eller i
medhold av lov. Departementet foreslår at dette presiseres i en
egen bestemmelse, jf. § 20.
Departementet mener at den databehandlingsansvarlige
bare skal kunne gjøre opplysninger tilgjengelige så langt dette
er i samsvar med reglene om taushetsplikt i helsepersonelloven.
Departementet foreslår at det lovfestes at pasienten
har rett til å motsette seg at helseopplysninger i journalen gjøres
tilgjengelige for annet helsepersonell.
Departementet vil presisere at kravene til informasjonssikkerhet
ikke endres. Det overordnede kravet, at det bare er helsepersonell
som trenger opplysningen i en aktuell pasientbehandling som skal
ha tilgang, gjelder fortsatt. Mulighetene som loven gir, skal ikke
kunne tas i bruk før nødvendige sikkerhetsløsninger er utviklet,
tilgjengelige og iverksatt i praksis.
Departementet foreslår å ikke videreføre forutsetningen
i gjeldende helseregisterlov § 13 om et frivillig, uttrykkelig og
informert samtykke for at samarbeidende helsepersonell i andre virksomheter
skal kunne få tilgang til selv å søke frem relevante og nødvendige
helseopplysninger i virksomhetens datasystem. Departementet viser
til at helsepersonellovens samtykkekrav fortsatt skal gjelde og
at pasienten vil ha rett til å motsette seg tilgang.
Regelen i gjeldende helseregisterlov § 13 om
at en forespørsel om tilgang til helseopplysninger i annen virksomhet
bare kan omfatte én pasient om gangen, videreføres ikke i forslaget.
Dette innebærer at tilgang kan avtales på virksomhetsnivå, og at
det ikke må avtales fra gang til gang for hver pasient.
Departementet foreslår at det skal utarbeides
forskrift om hvordan informasjon kan gjøres tilgjengelig og deles
på en måte som sikrer personvernet og begrenser tilgangen til det
som er nødvendig. Forskriften skal gi regler som utfyller lovens
vilkår for å kunne gjøre opplysningene tilgjengelige for personell
i andre virksomheter. Departementet vil blant annet sette krav til
de ansvarlige for virksomheten og til risikovurderingen når det
gis tilgang til behandlingsrettede helseregistre for helsepersonell
i andre virksomheter. Slik forskrift skal tre i kraft samtidig med
ny pasientjournallov.
Departementet foreslår at to eller flere virksomheter
skal kunne samarbeide om etablering av og behandling av opplysninger
i behandlingsrettede helseregistre. Samarbeidet skal baseres på
avtale mellom virksomhetene.
Departementet foreslår en forskriftshjemmel med
mulighet til å gi nærmere regler om samarbeidet, blant annet om
databehandlingsansvaret.
En eventuell avtalt, felles journal skal erstatte virksomhetens
interne journal. Samme opplysninger skal ikke registreres i begge
systemer.
Departementet foreslår at databehandlingsansvaret
ved samarbeid om behandlingsrettede helseregistre reguleres etter
de generelle reglene om plassering av databehandlingsansvar.
Departementet foreslår at det tas inn en hjemmel i
loven slik at departementet kan fastsette vilkår for samarbeid,
enten i forskrift eller i enkeltvedtak.
Departementet mener at det ikke bør være et vilkår
for samarbeid at det er vedtatt forskrifter som regulerer samarbeidet.
Loven bør åpne for at nye løsninger og samarbeidsformer utvikles av
sektoren selv, uten at dette først reguleres fra sentralt hold.
Departementet mener at en forskriftshjemmel for
å etablere nasjonale pasientjournalsystemer er nødvendig for å sikre
framdrift i utviklingen av mer sentraliserte og enhetlige løsninger
der opplysningene følger pasienten. Det foreslås en slik forskriftshjemmel
begrenset til behandlingsrettede registre som på bestemte områder
kommer i stedet for virksomhetenes egne journalsystemer, enten disse
er virksomhetsinterne eller journalsystemer som flere samarbeider
om. Som eksempler på slike begrensede områder nevnes legemiddelregister,
helsekort for gravide og laboratorie- og radiologisystem.
Departementet foreslår en hjemmel for Kongen
i statsråd til å gi forskrifter om behandling av helseopplysninger
for saksbehandling, administrasjon, oppgjør og gjennomføring av
helsehjelp til enkeltpersoner. Gjeldende forskriftshjemmel i helseregisterloven
§ 6 c flyttes til pasientjournalloven § 11, og hjemmelen gjøres
generell.
I tillegg til dagens forskrifter vil bestemmelsen blant
annet gi hjemmel for forskrift om saksbehandling, administrasjon
og kontroll av økonomisk oppgjør og forskrivning av helseforetaksfinansierte
legemidler til bruk utenfor sykehus.
Departementet understreker at kvalitetssikring av
helsehjelp er en viktig del av det å gi helsehjelp, og foreslår
at det presiseres i pasientjournalloven § 6 at opplysningene i pasientjournalen og
andre behandlingsrettede helseregistre kan behandles når dette er
nødvendig for å kvalitetssikre helsehjelpen.
I tilknytning til dette foreslås en mindre endring av
helsepersonelloven § 29 c om helsepersonells bruk av opplysninger
i læringsarbeid og kvalitetssikring. Departementet foreslår at den databehandlingsansvarlige
skal bestemme på hvilken måte opplysningene skal gis til helsepersonell.
Endringen skal gjøre det mulig å gi tilgang for helsepersonell i
andre virksomheter som skal bruke opplysningene i læring eller kvalitetssikring.
Departementet foreslår også enklere prosesser for
virksomhetenes interne kvalitetssikringsarbeid.
Lovforslagene innebærer ikke nye krav som gir administrative
eller økonomiske konsekvenser, men åpner for større fleksibilitet
i informasjonsbehandlingen og vil på sikt kunne gi effektiviseringsmuligheter.
Virksomheter som ønsker å ta i bruk de mulighetene
loven åpner for, vil måtte påregne kostnader til tilpasning av de
tekniske systemene og eventuelle organisatoriske endringer.
Departementet foreslår at formålet med helseregisterloven
skal være å legge til rette for innsamling og annen behandling av
helseopplysninger for å fremme helse, forebygge sykdom og skade
og gi bedre helse- og omsorgstjenester. Samtidig skal loven sikre
at behandlingen foretas på en etisk forsvarlig måte, ivaretar den
enkeltes personvern og brukes til individets og samfunnets beste.
Departementets forslag til formålsbestemmelse er
en innholdsmessig presisering av gjeldende bestemmelse og er en
videreføring av gjeldende rett. Det er imidlertid gjort språklige
og lovtekniske forenklinger i ordlyden.
Departementet foreslår at den nye helseregisterlovens
saklige virkeområde skal være behandling av helseopplysninger til
statistikk, helseanalyser, forskning, kvalitetsforbedring, planlegging,
styring og beredskap i helse- og omsorgsforvaltningen og helse-
og omsorgstjenesten. Loven skal også gjelde behandling av helseopplysninger
i helsearkivregisteret i Norsk helsearkiv. Loven skal ikke gjelde
for behandling av helseopplysninger som reguleres av helseforskningsloven
eller pasientjournalloven.
Departementet legger til grunn at loven skal være
teknologinøytral.
Samtykke er hovedregelen ved all behandling
av helseopplysninger. Departementet foreslår at dette presiseres
i helseregisterloven. Registre som ikke er basert på samtykke, må
ha hjemmel i lov. Det er også et vilkår for å fravike hovedregelen
om samtykke at registerets formål ikke kan nås dersom det kreves
samtykke. Departementet foreslår at dette presiseres i loven.
Departementet mener at reservasjonsrett bør vurderes
for alle nye helseregistre som ut fra registerets formål ikke kan
baseres på samtykke. Med reservasjonsrett menes i denne sammenhengen
en rett til å motsette seg registrering og videre behandling av
opplysninger om seg selv. Dette kan gjelde alle opplysninger eller
bare bestemte opplysninger om den registrerte.
Departementet foreslår en ny bestemmelse som skal
gi Kongen i statsråd fullmakt til å vedta forskrifter om nye registre
som ikke er samtykkebaserte, men der den registrerte får rett til
å reservere seg.
Det framholdes at muligheten til å reservere
seg gjelder også etter at opplysninger om den enkelte er blitt registrert,
på samme måte som at den registrerte alltid kan trekke tilbake et
samtykke. I så fall må opplysningene slettes fra registeret.
Det understrekes at konsekvensene av samtykke eller
reservasjonsrett må vurderes nærmere for hvert enkelt register,
registerets formål og de ulike variablene i registeret. Det må blant
annet vurderes om konsekvensene av en reservasjonsrett vil være
at registeret ikke blir komplett, og eventuelt hvor stor betydning
dette vil ha for å nå registerets formål.
Departementet mener at det ikke bør lovfestes
en generell reservasjonsrett for alle ikke samtykkebaserte registre.
Departementet vil ikke foreslå å innføre en lovfestet
reservasjonsrett mot registrering i de eksisterende sentrale, ikke
samtykkebaserte helseregistrene som er hjemlet i nåværende helseregisterlov
§ 8 tredje ledd og som videreføres i ny lov § 11.
Departementet mener at reservasjonsrett for
registrering i kvalitetsregisterdelen i sentrale, ikke samtykkebaserte
helseregistre som er bygget opp som fellesregistre, bør vurderes
konkret for hvert enkelt register.
Hovedregelen om at etablering av kvalitetsregistre
og andre helseregistre må baseres på samtykke, videreføres i departementets
forslag til ny helseregisterlov.
Departementet foreslår at registre med direkte personidentifiserende
kjennetegn der den enkelte har reservasjonsrett (ikke samtykke),
skal kunne etableres av Kongen i statsråd.
Etablering av nye, ikke samtykkebaserte registre uten
reservasjonsrett skal fortsatt besluttes av Stortinget.
Det foreslås at den nye loven får to forskriftshjemler
som i hovedsak er en videreføring av gjeldende rett. For det første
foreslås det en bestemmelse som gir hjemmel til å etablere registre
der opplysningene behandles etter samtykke fra den registrerte.
Denne bestemmelsen gir også hjemmel for å etablere registre der
opplysningene behandles uten direkte personidentifiserende kjennetegn.
For det andre videreføres hjemmelen for eksisterende, ikke samtykkebaserte
registre som Kreftregisteret og Nasjonalt register over hjerte-
og karlidelser.
Departementet foreslår i tillegg en egen bestemmelse
som tydeliggjør Datatilsynets myndighet til å gi konsesjon til nye
og eksisterende helseregistre.
Departementet foreslår at hjemmel for system for
bivirkningsrapportering for legemidler tas inn i ny helseregisterlov
§ 11. Etter forslaget skal registreringen ikke være basert på samtykke.
Det skal utarbeides nærmere regler i forskrift. Forslaget er en
videreføring og videreutvikling av dagens system for bivirkningsmeldinger.
Departementet foreslår at begrepene avidentifiserte
og pseudonyme opplysninger ikke videreføres i den nye helseregisterloven.
I stedet foreslås et nytt bredere begrep «indirekte identifiserbare
helseopplysninger». Dette er helseopplysninger der navn, fødselsnummer
og andre personentydige kjennetegn er fjernet, men der opplysningene
likevel kan knyttes til en enkeltperson.
Departementet foreslår videre at den databehandlingsansvarlige
på nærmere bestemte vilkår og uten hinder av taushetsplikt, skal
kunne utlevere indirekte identifiserbare opplysninger fra sentrale
forskriftsregulerte registre. Det er en forutsetning at personvernet
til den enkelte samtidig ivaretas på en god måte. Den som mottar
opplysningene, har taushetsplikt.
Departementet foreslår at den registrerte skal
få samme innsynsrett i logg i helseregistre hjemlet i helseregisterloven
som pasienter har i behandlingsrettede helseregistre. Den registrerte
får rett til innsyn i hvem som har hatt tilgang til eller fått utlevert
helseopplysninger som er knyttet til den registrertes navn eller
fødselsnummer.
Lovforslagene innebærer ikke nye krav som gir administrative
eller økonomiske konsekvenser, men åpner for større fleksibilitet
i informasjonsbehandlingen og vil på sikt kunne gi effektiviseringsmuligheter.
Virksomheter som ønsker å ta i bruk de mulighetene
loven åpner for, vil måtte påregne kostnader til tilpasning av de
tekniske systemene og eventuelle organisatoriske endringer.
Komiteen, medlemmene fra Arbeiderpartiet,
Ruth Mari Grung, Tove Karoline Knutsen, Torgeir Micaelsen, Audun Otterstad
og Freddy de Ruiter, fra Høyre, Kristin Ørmen Johnsen, Elisabeth
Røbekk Nørve, Sveinung Stensland og Tone Wilhelmsen Trøen, fra Fremskrittspartiet,
lederen Kari Kjønaas Kjos, Harald T. Nesvik og Morten Wold, fra
Kristelig Folkeparti, Olaug V. Bollestad, fra Senterpartiet, Kjersti Toppe,
fra Venstre, Ketil Kjenseth, og fra Sosialistisk Venstreparti, Audun Lysbakken,
er fornøyd med at det legges fram en proposisjon som har som formål
å tilpasse lovverket til befolkningens stadig endrede behov for
gode helse- og omsorgstjenester. Regelverket må speile de muligheter
dagens informasjonsteknologi gir for god kommunikasjon, samhandling
og koordinering. Mennesker i vår tid er fortrolig med å kommunisere
og finne informasjon på nettet. Det betyr at helse- og omsorgsfeltet
har stort potensial for å utnytte moderne informasjonsverktøy på
en god måte, til beste for pasienter og brukere.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Høyre, Fremskrittspartiet, Kristelig Folkeparti,
Senterpartiet og Sosialistisk Venstreparti, mener at de
teknologiske løsningene som i dag er tilgjengelig, også vil kunne
gi et godt vern for personsensitive opplysninger i pasientjournal
og helseregistre.
Flertallet vil understreke at
behandling og bruk av helseopplysninger alltid må skje på en måte
som sikrer pasienters og brukeres personvern.
Komiteen merker seg
at departementet understreker at revideringen av helseregisterloven
er en oppfølging av fire meldinger fra 2012, som fikk tilslutning
fra Stortinget (Meld. St. 10 (2012–2013) God kvalitet – trygge tjenester, Meld.
St. 9 (2012–2013) Én innbygger – én journal, Meld. St. 11 (2012–2013)
Personvern – utsikter og utfordringar og Meld. St. 34 (2012–2013)
Folkehelsemeldingen – God helse – felles ansvar). Komiteen er
fornøyd med at regjeringen bygger på, og viderefører, det arbeidet
som tidligere regjering har gjort på dette feltet. Det er etter komiteens mening
en styrke at det kan være en tilnærmet felles forståelse av behovet for
i enda sterkere grad å ta i bruk IKT; både i pasientbehandling,
kommunikasjon og dokumentasjon i helse- og omsorgstjenestene, og
for å sikre pasientopplysningene fra uautorisert innsyn og bruk.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Høyre, Fremskrittspartiet og Kristelig Folkeparti mener
de foreslåtte endringer er nødvendige for å dra nytte av den teknologiske
utvikling og nå målet om «én pasient, én journal».
Komiteens medlemmer fra Venstre
og Sosialistisk Venstreparti viser til at alle innbyggere
i Norge har et forhold til helsevesenet, og at ingen annen sektor
sitter med så store mengder sensitive opplysninger om den enkelte og
om den norske befolkning samlet sett. Den enkelte må gi fra seg
svært mange opplysninger i «bytte» mot helsehjelp, men har selv
begrenset kontroll med opplysningene.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Høyre, Fremskrittspartiet, Kristelig Folkeparti
og Senterpartiet, påpeker at for å kunne gi best mulig helsehjelp
er helsepersonell avhengig av informasjon om pasienten. Manglende
eller feilaktig informasjon kan medføre feilbehandling. For å dokumentere
hva som er gjort, og på hvilket grunnlag beslutningen er fattet,
må informasjonen registreres. Dette er primært av hensyn til pasienten
og den videre behandlingen. Etter forslaget kan pasienten bestemme
at informasjonen skal sperres. Pasienten vil også selv ha tilgang
til informasjonen og mulighet til å kontrollere logger.
Komiteen viser til
at tillit mellom pasient og behandlende helsepersonell er en forutsetning for
å yte helsehjelp av god kvalitet og avgjørende for om pasienten
gir fra seg tilstrekkelig med opplysninger for å motta riktig og nødvendig
helsehjelp. Helsetjenestens taushetsplikt er et av de eldste og
viktigste tiltak for å ivareta denne tilliten, ved å beskytte pasientens opplysninger
mot å bli spredt.
Komiteens medlemmer fra Venstre
og Sosialistisk Venstreparti er bekymret for at denne tilliten
svekkes ved åpning for deling av pasientopplysninger uten uttrykkelig
samtykke, og før vi er sikre på at vi har nødvendig digital teknologi
og tilstrekkelige rutiner på plass. Det vises til pågående forsøk
med nasjonal kjernejournal og Helse Vest sitt prosjekt «Vestlandspasienten». Disse
medlemmer mener det hadde vært naturlig å avvente resultatet
av disse forsøkene før en åpner for deling av hele journalen. Det
vises i den sammenheng til at Norsk Sykepleierforbund i komitéhøringen
anbefalte å utsette de foreslåtte lovendringene til konsekvensutredningen
av «Én innbygger – én journal» foreligger.
Komiteens medlem fra Venstre er
bekymret for at tilliten til helsevesenet svekkes ved at man åpner
for deling av pasientopplysninger på tvers av virksomheter før de
teknologiske løsningene er på plass og helsevesenet er tilstrekkelig
utrustet til å håndtere de personvernmessige utfordringene. Dette
medlem mener også det ville vært naturlig å avvente resultatene
av prøveprosjektene som nå pågår knyttet til nasjonal kjernejournal,
før man vedtar en ytterligere utvidelse av adgangen til å dele pasientopplysninger
på tvers av virksomheter.
Dette medlem fremmer på denne
bakgrunn følgende forslag:
«Prop. 72 L (2013–2014) sendes tilbake til regjeringen.»
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Høyre, Fremskrittspartiet, Kristelig Folkeparti
og Senterpartiet, påpeker at det etter gjeldende rett ikke kreves
uttrykkelig samtykke for å dele relevant og nødvendig informasjon.
Helsepersonell har etter gjeldende regler både rett og plikt til
å dele opplysninger i forbindelse med helsehjelp. Det følger av
helsepersonelloven §§ 25 og 45 at pasienten kan motsette seg slik
deling. Det er imidlertid i henhold til dagens lovgivning krav om samtykke
for elektronisk tilgang til informasjon i andre virksomheters journalsystemer.
Et annet flertall, medlemmene
fra Arbeiderpartiet, Høyre og Fremskrittspartiet, mener
at elektronisk informasjonsutveksling ikke skal gjøre det nødvendig
med særskilte krav til samtykke. Kravet til samtykke bør være det
samme, uavhengig av om det gjelder utveksling av papirbasert informasjon,
eller om opplysningene gjøres elektronisk tilgjengelig. At loven
er teknologinøytral er viktig for å legge til rette for å kunne
ta i bruk moderne, gode og sikre tekniske hjelpemidler.
Komiteens medlemmer fra Kristelig Folkeparti,
Senterpartiet og Venstre viser til at kravet til samtykke
ved deling av elektroniske journalopplysninger følger av helseregisterloven
§ 13. Det fremgår av forarbeidene til bestemmelsen at den har til
hensikt å ivareta hensynet til konfidensialitet og taushetsplikt.
Stortinget har tidligere ment at dette er særlig viktig ved deling
av opplysninger i elektroniske journaler, og disse medlemmer deler
dette synet.
Komiteens medlem fra Venstre vil,
dersom Prop. 72 L (2013–2104) ikke sendes tilbake til regjeringen,
framholde at kravet til informert samtykke i helseregisterloven
§ 13 tredje ledd må videreføres i pasientjournalloven og mener det
er behov for en ny § 17, samt en nærmere definisjon i en ny § 2
f.
Komiteens medlem fra Senterpartiet støtter
regjeringens lovproposisjon om en ny pasientjournallov og en ny
helseregisterlov med følgende unntak: Det må kreves aktivt samtykke i
pasientjournalloven for deling av pasientjournalopplysninger mellom
virksomheter.
Komiteens medlemmer fra Senterpartiet,
Venstre og Sosialistisk Venstreparti fremmer følgende forslag:
«I lov om behandling av helseopplysninger ved ytelse
av helsehjelp (pasientjournalloven) skal § 2 f lyde:
«I lov om behandling av helseopplysninger ved ytelse
av helsehjelp (pasientjournalloven) skal § 17 lyde:
§ 17 Uttrykkelig samtykke
Tilgang til helseopplysninger i behandlingsrettet helseregister
på tvers av virksomheter kan bare gis etter uttrykkelig samtykke
fra den registrerte.
Pasienten eller brukeren må samtykke i at
1. helseopplysninger
i et behandlingsrettet helseregister etablert med hjemmel i §§ 8–10 gjøres
tilgjengelige for helsepersonell etter § 19, jf. helsepersonelloven
§§ 25 og 45 og pasient- og brukerrettighetsloven § 5-3,
2. opplysninger om betalte egenandeler
i tilknytning til vedtak om frikort og refusjon registreres automatisk
i system etablert med hjemmel i § 11, og
3. helseopplysninger registreres eller
behandles på andre måter i nasjonal kjernejournal etablert med hjemmel
i § 13.
Reglene om samtykkekompetanse i pasient- og brukerrettighetsloven
§§ 4-3 til 4-7 gjelder tilsvarende.
§§ 17-33 i lovforslaget i Prop. 72 L (2013–2014) blir
§§ 18–34.»
Komiteens medlem fra Venstre er
bekymret over at journalene ikke er strukturert på en slik måte
at det er forsvarlig å åpne for deling mellom virksomheter. Sykepleierforbundet
viser til at informasjonen i journalen ofte er lite strukturert,
og at det er vanskelig å forstå og ikke minst å finne frem. Journalene
må struktureres og standardiseres dersom man skal unngå at alle får
tilgang til alt. Funksjonshemmedes Fellesorganisasjon peker også
på at journalene i dag inneholder svært mange opplysninger som ikke
er av relevans for den som yter helsehjelp, og at strukturerte journaler
må være en forutsetning for deling mellom virksomheter.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Høyre, Fremskrittspartiet, Kristelig Folkeparti
og Senterpartiet, påpeker at lovforslaget forutsetter at deling
av informasjon krever en viss grad av struktur. Det vil si at databehandlingsansvarlige som
ikke har journaler som er tilstrekkelig strukturerte, heller ikke
kan åpne for tilgang mellom virksomheter.
Komiteen viser til
at flere høringsinstanser peker på at pasientjournalene ikke er
tilstrekkelig strukturerte, slik at det kan være vanskelig for annet
behandlende personell å søke i journalene for å finne frem til informasjon
som er relevant. Komiteen merker seg at departementet
viser til at det arbeides med å utvikle mer standardiserte og strukturerte
journaler, blant annet ved at Helsedirektoratet arbeider med ulike
former for standardiserte løsninger. Komiteen vil
understreke at dette arbeidet bør prioriteres, ellers vil deling
av nødvendig helseinformasjon mellom tjenestesteder vanskeliggjøres.
Komiteen vil påpeke at selv om
det blir lettere å dele journalinformasjon, vil det fremdeles være
viktig med gode, standardiserte henvisninger og epikriser, der den
aktuelle medisinske situasjonen og behovet for helsehjelp beskrives og
gjøres lett tilgjengelig.
Komiteens medlem fra Venstre mener
at det må stilles krav om strukturering av journaler før journalopplysninger
kan deles. Det ser også ut til å være et behov for å gjennomgå diagnostiseringsbeskrivelser
og standardisering av loggføring blant helsepersonell. Dette
medlem vil på bakgrunn av dette foreslå en offentlig oppnevnt
LEAN-kommisjon for å gjennomgå dagens journalpraksis og opplæringsbehov
på veien fram mot en standardisert, digital kjernejournal.
Dette medlem fremmer på denne
bakgrunn følgende forslag:
«Stortinget ber regjeringen oppnevne en LEAN-kommisjon
for å gjennomgå dagens journalpraksis og opplæringsbehov på veien
fram mot en standardisert, digital kjernejournal.»
Komiteens medlemmer fra Senterpartiet,
Venstre og Sosialistisk Venstreparti etterlyser en tydeligere
hjemmel for å kunne skjerme/sperre informasjon i pasientjournalen. Det
vises i den forbindelse til høringsuttalelse fra Legeforeningen
hvor det fremgår klart at det ikke er tilstrekkelig å angi at pasienten
har rett til å motsette seg registrering av opplysninger. Legeforeningen
viser til at pasientene også i dag har en adgang til å sperre opplysninger,
men at adgangen er lite kjent og ikke alltid kan benyttes, og at
det derfor er behov for en klar hjemmel for retten til å skjerme/sperre
journalopplysninger.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Høyre, Fremskrittspartiet, Kristelig Folkeparti
og Senterpartiet, påpeker at det står uttrykkelig i lovens § 17
at pasienten har rett til å motsette seg deling av opplysninger.
Komiteens medlemmer fra Venstre
og Sosialistisk Venstreparti er kritiske til at nasjonale,
behandlingsrettede helseregistre kan opprettes med grunnlag i forskrift.
Opprettelse av registre med identifiserbar pasientinformasjon bør
bare kunne opprettes av Stortinget etter en grundig utredning og
åpen debatt. Det vises i den forbindelse til Datatilsynet og Legeforeningens
klare uttalelser i høringsrunden. Det er ikke tilstrekkelig til
å ivareta personvernet at den enkelte pasient har en rett til å
motsette seg registrering.
Disse medlemmer vil på denne
bakgrunn stemme mot forslaget til § 10 i helseregisterloven og fremmer
forslag om følgende endring av § 11 første ledd:
«I lov om helseregistre og behandling av helseopplysninger
(helseregisterloven) skal § 11 første ledd lyde:
Kongen i statsråd kan i samsvar med vilkårene
i § 8 gi forskrift om behandling av opplysninger i helseregistre
der navn, fødselsnummer og andre direkte personidentifiserende kjennetegn
skal kunne behandles i den utstrekning det er nødvendig for å nå
formålet med registeret. Den registrerte har rett til å motsette
seg registrering.»
Disse medlemmer mener det er
behov for å presisere begrepet «indirekte identifiserbare helseopplysninger»
i forslaget til ny helseregisterlov. Lovforslagets definisjon, sammen
med merknadstekst og beskrivelsen i proposisjonen, gir grunnlag
for usikkerhet om hva definisjonen omfatter og spesifikt om «avidentifiserte»
og «pseudonyme» helseopplysninger nå omfattes av definisjonen. Dette
er også påpekt av Datatilsynet i høringsrunden.
Disse medlemmer er kritisk til
at en ved angivelse av virkeområdet for lovene gir en forskriftshjemmel
som gir adgang til å anvende pasientjournalloven til andre formål
enn helsehjelp, og tilsvarende for helseregisterloven. Disse
medlemmer mener at en slik utvidelse er uheldig, og at anvendelsesområdet
for lovene må fremgå klart i lovtekstene.
Komiteen noterer seg
at man i lovforslaget foreslår å omgjøre gjeldende helseregisterlov
til to nye lover: pasientjournalloven og helseregisterloven. Komiteen merker
seg videre at de fleste høringsinstansene støtter et slikt grep,
og er enig i at dette vil gi en god og anvendelig oversikt over
lovenes hovedvirkeområde.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Høyre, Fremskrittspartiet, Kristelig Folkeparti,
Senterpartiet og Sosialistisk Venstreparti, viser til at
blant annet Kreftforeningen i høringen understreker at deling av
pasientopplysninger er nødvendig for å få bedre informasjonsflyt
mellom leger og til pasienter, sikrere diagnostikk og bedre oppfølging
og kontinuitet i behandlingen. Flertallet vil også
framholde høringssvaret fra Den norske jordmorforening der man understreker
behovet for at det utvikles et elektronisk helsekort for gravide
med tanke på å gi best mulig hjelp og oppfølging under svangerskapet.
Et annet flertall, medlemmene
fra Arbeiderpartiet, Høyre, Fremskrittspartiet, Kristelig Folkeparti
og Senterpartiet, ser positivt på de innstramminger som
er gjort i pasientjournalloven etter høringsrunden for å bedre ivareta
pasientenes personvern. Selvbestemmelsesrett og medvirkning tas
inn i formålsbestemmelsen, retten til å motsette seg at opplysninger
gis til andre er fremhevet og tydeliggjort, og det skal utarbeides forskrifter
om hvordan informasjon kan gjøres tilgjengelig og deles mellom helsepersonell
i ulike virksomheter. Etablering av omfattende, helhetlige, nasjonale
journalløsninger skal besluttes av Stortinget.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Høyre, Fremskrittspartiet, Kristelig Folkeparti,
Senterpartiet og Sosialistisk Venstreparti, peker på at
gode helseregistre er en forutsetning for å kunne ha kunnskapsbasert
tilnærming og evaluering av helsetjenestene, og støtter de grepene
som skisseres i proposisjonen.
Komiteen understreker
at behandling av helseopplysninger skal være etisk forsvarlig og ivareta
personvernet til den enkelte innbygger. Norge har gode helseregistre,
også når en sammenligner med andre land. Registrene skal gi et godt
datagrunnlag for forskning, arbeid med kvalitet og pasientsikkerhet
og kunne gi bedre kunnskap om helsetilstanden i befolkningen.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Høyre, Fremskrittspartiet, Kristelig Folkeparti
og Senterpartiet, viser til at man etter høringsrunden har gjort
presiseringer i helseregisterloven ved at formålsbestemmelsen fremhever
viktigheten av etikk og den enkeltes personvern ved bruk av helseopplysninger,
man lovfester at samtykke er hovedregelen for alle helseregistre,
og reservasjonsrett skal vurderes ved etablering av helseregistre
som ikke kan baseres på samtykke. Etablering av nye, store, sentrale
helseregistre uten samtykke skal besluttes av Stortinget.
Komiteen vil understreke
at helseopplysninger ofte inneholder svært sensitiv informasjon
om den enkelte innbygger. Derfor er det etter komiteens mening
viktig at opplysninger om befolkningens helse håndteres med den
største grad av sikkerhet og konfidensialitet. Samtidig peker både
tidligere meldinger og foreliggende proposisjon på betydningen av
at nødvendige helseopplysninger er tilgjengelig for å yte god helsehjelp.
Riktige og oppdaterte pasientdata er avgjørende for å oppnå dette. Komiteen er
enig i at det også er ønskelig og nødvendig å bruke et uttrekk fra
pasientjournalopplysninger til sekundærformål som kvalitetsforbedring,
forskning og helseovervåking.
Helseopplysninger må, slik komiteen ser
det, kun være tilgjengelig for dem som har et tjenstlig behov for
tilgang til disse.
Komiteen vil understreke at all
behandling av helseopplysninger skal være i samsvar med strenge
krav til taushetsplikt og personvern.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Høyre, Fremskrittspartiet, Kristelig Folkeparti
og Senterpartiet, påpeker at loven stadfester at deling
av pasientopplysninger bare skal skje når det er nødvendig og relevant
for pasientbehandling og andre lovhjemlede formål. Flertallet vil
påpeke at urettmessig innsyn i og deling av pasientopplysninger
er ulovlig og kan medføre straffansvar.
Komiteen mener det er viktig
at både regelverk og teknologi sikrer at personlige helseopplysninger
ikke blir gjenstand for uautorisert bruk. Derfor må ulike virkemidler
tas i bruk for å ivareta personvernet og riktig bruk av opplysningene. Komiteen vil
peke på betydningen av innsynsrett og råderett for den enkelte, bruk
av elektronisk ID, overvåking og tilgangskontroll til journalopplysninger,
sporing av innlogging og krav om autorisering for adgang til helsedata. Komiteen understreker
at slike tiltak vil være avgjørende for å sikre personvernet.
Komiteen viser til
at Stortinget ved flere anledninger har debattert spørsmål knyttet
til hvordan den enkelte innbygger kan bestemme over egne helseopplysninger.
Samtykke er hovedregelen ved all behandling av slike data. Med samtykke menes
at den enkelte uttrykkelig må godta registrering og videre behandling
av de aktuelle opplysninger. Alle registre som ikke er basert på samtykke,
må ha hjemmel i lov. Dersom registerets formål ikke kan nås ved
krav om samtykke, kan hovedregelen om samtykke fravikes.
Komiteen har merket seg at enkelte
av høringsinstansene, for eksempel Funksjonshemmedes Fellesorganisasjon
(FFO), viser til at pasientjournalloven vil åpne for at pasientopplysninger
skal kunne følge pasienten på tvers av virksomhetsgrenser, når dette
er nødvendig i behandlingsøyemed. Her argumenterer FFO med at dette
bør kreve aktivt samtykke, og at det kan skje ved et engangssamtykke. Komiteen har forståelse
for at dette kan være en ordning som sikrer pasientens råderett
over egne journalopplysninger.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Høyre, Fremskrittspartiet og Kristelig Folkeparti,
mener imidlertid at det vil medføre unødig tidsbruk når alle journaler
før bruk må avsjekkes mot et forventet aktivt samtykke. Flertallet slutter
seg derfor til departementets forslag om å lovfeste pasientens rett
til å motsette seg at helseopplysninger i journalen gjøres tilgjengelig
for annet helsepersonell, se forslag til pasientjournallov § 17
bokstav a, der det henvises til helsepersonelloven §§ 25 og 45,
samt pasient- og brukerrettighetsloven § 5-3. Det vil etter komiteens mening
være avgjørende at den enkelte pasient/bruker får god informasjon om
hva reservasjonsretten innebærer, hva slags opplysninger man kan
reservere for innsyn, og hvordan helsevesenet håndterer og sikrer
slike opplysninger.
Komiteen understreker
at det må informeres om at den enkelte har mulighet til å spore
eventuell innlogging i egen journal.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Høyre, Fremskrittspartiet, Kristelig Folkeparti
og Senterpartiet, viser til at enhver pasient har rett til innsyn
i hvem som i tråd med helseregisterloven har hatt tilgang til eller
fått utlevert helseopplysninger knyttet til fødselsnummer eller
navn, og påpeker at det må opplyses tilstrekkelig om denne retten
og hvordan man får slikt innsyn.
Flertallet påpeker at pasienter
og brukere i størst mulig grad skal ha kontroll over helseopplysninger
som beskriver dem; pasienten skal slippe å henvende seg flere steder
enn nødvendig for å få et fullstendig bilde av egne data, og pasienter
skal ha innsyn i logg, også for helseregistre.
Komiteen er enig med
departementet i at virksomhetsgrenser ikke bør være et rettslig
hinder for at helsepersonell kan gis tilgang til opplysninger som
er nødvendige for å yte helsehjelp. Lovens rammer for tilgang bør
være de samme enten det dreier seg om helsepersonell tilknyttet
opprinnelig virksomhet eller annen virksomhet som måtte være aktuell
for pasientbehandlingen.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Høyre, Fremskrittspartiet og Kristelig Folkeparti,
vil understreke at pasienter må sikres god tilgang på informasjon
om hvordan man kan motsette seg utveksling av alt eller deler av
sin egen pasientinformasjon mellom forskjellige behandlingssteder.
Komiteen merker seg
at departementet vil legge til rette for etablering av en reservasjonsrett for
registrering i helseregistre, når det ut fra registerets formål
ikke kan kreves samtykke. Med reservasjonsrett menes en rett for
den enkelte til å motsette seg registrering og videre behandling av
egne helseopplysninger. Dette kan gjelde alle opplysninger eller
bare bestemte opplysninger om den registrerte.
Komiteen vil i den forbindelse
peke på at spørsmålet om en reservasjonsrett ble debattert i forbindelse
med Stortingets behandling av Prop. 23 L (2009–2010) om nasjonalt
register over hjerte- og karlidelser. Stortinget mente det var nødvendig
å vurdere nærmere en reservasjonsrett for helseregistre generelt,
og foreslo dette utredet i regi av Nasjonalt helseregisterprosjekt, jf.
Innst. 193 S (2009–2010).
Komiteen vil nevne at det også
i Meld. St. 11 (2012–2013) «Personvern – utsikter og utfordringar»
ble lagt til grunn at reservasjonsrett for den registrerte kan gi
den enkelte reell råderett over egne opplysninger, og at slik rett
således kan være et egnet verktøy for godt personvern. Komiteen understreker
at dette forutsetter god informasjon om muligheten til å reservere
seg. En slik mulighet gjelder også etter at opplysninger om den
enkelte er blitt registrert, på samme måte som den registrerte alltid
kan trekke tilbake et samtykke. Komiteen er enig
i at dette er viktig informasjon.
Komiteen viser til erfaringer
fra Sverige som dokumenterer at reservasjonsretten for registrering
i helseregistre ikke har svekket datagrunnlaget for registrene.
Sverige har mange og kvalitativt gode registre og har lenge hatt
en slik reservasjonsrett. Komiteen vil peke på at
f.eks. det svenske, landsomfattende hjerneslagsregisteret viser
at et svært lite antall pasienter, under 0,5 prosent av de registrerte,
reserverer seg mot å stå i dette registeret. Reservasjonsretten
har således ikke svekket registerets validitet.
Komiteen vil imidlertid peke
på at det kan være registre som inneholder mer sensitiv informasjon
om den enkelte, hvor flere ønsker å reservere seg. Komiteen understreker
at konsekvensene av reservasjonstilgang må vurderes opp mot det
enkelte registers formål og de ulike variablene i registeret. Departementet peker
på at retten til reservasjon i slike tilfeller må veies opp mot
den samfunnsmessige betydning registeret har. Komiteen er
enig i dette, og legger til grunn at helsemyndighetene vil sikre
at reservasjon mot registering ikke svekker formålet til de ulike
registrene.
Komiteen er positiv til at det
kan etableres et system på nasjonalt nivå for registrering av reservasjonene,
for eksempel via nettportalen www.helsenorge.no.
Komiteens medlemmer fra Senterpartiet,
Venstre og Sosialistisk Venstreparti er særlig kritisk til
at hovedregelen om samtykke til behandling av helseopplysninger
er redusert til et passivt samtykke i forslaget til ny pasientjournallov
§ 17, i form av en rett til å motsette seg behandling av opplysninger.
Forslaget er et vesentlig inngrep i retten til å verne om sine egne
sensitive opplysninger, og en rett til å motsette seg er noe helt
annet enn et uttrykkelig samtykke.
Disse medlemmer mener at aktivt
samtykke i seg selv bygger tillitt både for den enkelte pasient,
for forholdet mellom pasient og behandler og forholdet mellom pasient
og myndigheter – som skal stå til ansvar for at sensitive opplysninger
om den enkelte skal behandles sikkert og med varsomhet. Informasjon
til pasienten, behandlere og forvaltere er i denne forbindelse særlig
viktig. I neste omgang er det et spørsmål hvor ofte et aktivt samtykke
må innhentes. Disse medlemmer er åpne for at det er
tilstrekkelig med å innhente et aktivt samtykke én gang, enten i
forkant av eller i forbindelse med første møte med helsevesenet;
subsidiært at det kreves samtykke to ganger, henholdsvis for både
somatikk og psykiatri.
Disse medlemmer viser til at
lovforslaget betyr at pasientens samtykke til å motta helsehjelp innebærer
at pasienten samtykker til deling av helseopplysninger på tvers
av virksomheter. Dette samtykket anses å foreligge dersom det ut fra
pasientens handlemåte og omstendighetene for øvrig anses sannsynlig
at hun eller han godtar helsehjelpen. Det vises videre til at man
ved å oppsøke helsehjelp også anses for å ha samtykket i deling
av opplysninger som er gitt før loven eventuelt blir vedtatt.
Komiteens medlemmer fra Venstre
og Sosialistisk Venstreparti mener at det ikke kan forventes
at en pasient har forstått at samtykke til å motta behandling innebærer
at man også har samtykket til at helsepersonell kan utlevere journalopplysninger
til annet helsepersonell. Retten til å råde over egne helseopplysninger
er grunnleggende. Særlig viktig vil dette være der opplysningene
er av sensitiv karakter. Disse medlemmer mener derfor
at deling av slike opplysninger på tvers av virksomheter som hovedregel
må være basert på et uttrykkelig samtykke.
Komiteens medlemmer fra Senterpartiet,
Venstre og Sosialistisk Venstreparti mener unntak fra hovedregelen
kan være aktuelt i akuttsituasjoner, men så vesentlige inngrep i
retten til å verne om sine sensitive opplysninger bør ikke strekkes
lenger enn begrunnelsen tilsier.
Komiteen mener det
er viktig at regjeringen sørger for at den sikreste og mest oppdaterte teknologi
tas i bruk for å ivareta sikkerheten for personopplysninger i pasientjournaler
og helseregistre av ulik karakter. Her vil det etter komiteens syn
være viktig med innsynsrett og råderett for den enkelte, overvåking
og tilgangskontroll til journalopplysninger, sporing av innlogging
i journalen og krav om autorisering for adgang til helsedata. Komiteen vil
understreke viktigheten av at tilgangskontroll til pasientjournal
må implementeres bredt, slik at en skjermer opplysningene i journalen
som forutsatt både i den foreliggende proposisjonen og i tidligere meldinger
og dokumenter. Komiteen vil videre peke på at den
enkelte også skal kunne spore innlogging i egen journal, på samme
måte som tilfelle er med Nasjonal kjernejournal.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Høyre, Fremskrittspartiet og Kristelig Folkeparti, vil
understreke at loven ikke legger opp til at flere opplysninger enn
i dag skal kunne deles, men åpner for flere måter å dele pasientinformasjon
på. Flertallet forutsetter at bare virksomheter som har
moderne og sikre journalsystemer, vil kunne ta i bruk de mulighetene
som loven gir.
Et annet flertall, medlemmene
fra Arbeiderpartiet, Høyre, Fremskrittspartiet, Kristelig Folkeparti
og Senterpartiet, merker seg at departementet vil stille
krav om at virksomheter som ønsker å ta i bruk de mulighetene loven
åpner for, vil måtte påregne kostnader for tilpasning av de tekniske systemene
og eventuelle organisatoriske endringer.
Komiteens medlemmer fra Arbeiderpartiet,
Kristelig Folkeparti og Senterpartiet er derfor positive
til at helse- og omsorgsminister Bent Høie før valget erkjente at sykehussektoren
vil ha behov for en vekst på minst 12 mrd. kroner denne stortingsperioden.
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Høyre, Fremskrittspartiet. Kristelig Folkeparti
og Senterpartiet, peker på at lovforslagene følger opp Meld.
St. 9 (2012–2013) Én innbygger – én journal, Meld. St. 10 (2012–2013)
God kvalitet – trygge tjenester og Meld. St. 11 (2012–2013) Personvern
– utsikter og utfordringar.
Flertallet vil spesielt framholde
at departementet kan gi forskrift om nærmere krav til informasjonssikkerhet
ved behandling av helseopplysninger etter loven. Dette innebærer bestemmelser
blant annet om:
tilgangsstyring og
tilgangskontroll
system for administrasjon av autorisasjoner
for tilgang til helseopplysninger
register over og kontroll av autorisasjon
opplæring av ansatte
krav til kommunikasjonen
autentiseringsløsning
elektronisk signatur
funksjon for at pasienten kan motsette
seg utlevering eller tilgang til helseopplysninger
sporbarhet
langtidslagring
nærmere krav til dokumentasjon av tilgang
til og utlevering av helseopplysninger (logg)
innhold og lagringstid for logg
Flertallet legger til grunn at
departementet gjennom forskrift vil stille tydelige krav i tråd med
dette for å sikre at både innhold, teknologi og kultur i helsetjenesten
er innrettet slik at det understøtter lovens intensjon. Flertallet vil understreke
betydningen av at regelverket til enhver tid ivaretar et godt og
framtidsrettet personvern, at man sørger for gode og forutsigbare rammebetingelser
for utviklere av systemer og legger til rette for den teknologiske
utviklingen i sektoren. Her må det spesielt legges vekt på sikkerhet
og personvern i all kommunikasjon der pasientopplysninger er involvert,
og at løsningene må være brukervennlige og effektive. Flertallet vil
understreke viktigheten av at departementet påser at dette arbeidet
prioriteres i hele helsesektoren.
Flertallet merker seg at den
foreliggende proposisjonen bygger på arbeider som er gjort på feltet
av tidligere regjering, og vil peke på at det de siste årene er
gjennomført flere endringer i regelverket om behandlingsrettede
helseregistre. Flertallet viser til at man i spesialisthelsetjenesten
gjennom lengre tid har gjort et omfattende arbeid med å skifte ut
eksisterende elektroniske pasientjournalsystemer med nye systemer
for bedre funksjonalitet og tilpasning til det samarbeid lovendringen
legger opp til. Dette arbeidet er planlagt og budsjettert uavhengig
av foreliggende lovforslag. Det er avgjørende at sykehusene sikres
investeringskraft for å gjennomføre de muligheter og forbedringer
som loven legger opp til.
Flertallet merker seg at det
er igangsatt et arbeid for å utrede ulike alternativer for felles
løsninger, som følge av at Stortinget våren 2013 behandlet Meld.
St. 9 (2012 -2013) Én innbygger – én journal. Den aktuelle utredningen
vil også vurdere økonomiske, administrative og organisatoriske konsekvenser
av alternativene.
Komiteens medlemmer fra Arbeiderpartiet,
Senterpartiet og Sosialistisk Venstreparti vil peke på at
Prop. 72 L (2013–2014) primært omhandler de offentlige helsetjenestene.
Dette er etter disse medlemmers mening en svakhet
ved de foreslåtte lovendringene, særlig med tanke på innføring av såkalt
«fritt behandlingsvalg» hvor det legges opp til automatisk statlig
finansiering av private, kommersielle aktører uten at avtale med
det offentlige skal være nødvendig. Høyre garanterte før valget
at
«alle som har fått vurdert at de har behov for behandling
eller undersøkelse, kan ta med seg denne retten til offentlige og
godkjente private sykehus. Regningen skal dekkes av det offentlige.»
Komiteens medlemmer fra Høyre
og Fremskrittspartiet påpeker at begge lover gjelder offentlige
og private virksomheter på lik linje. Etter forslaget er det avgjørende
hvilke oppgaver som utføres, og derigjennom om de er omfattet av
lovens virkeområde, ikke om de er offentlige eller private.
Komiteens medlemmer fra Arbeiderpartiet,
Senterpartiet og Sosialistisk Venstreparti vil framholde
at i dag utfører private tilbydere av helsetjenester et viktig arbeid med
behandling og rehabilitering av norske pasienter. Dette skjer ut
fra avtale med det offentlige; enten med kommuner eller helseforetak. Dette
betyr at det offentlige med utgangspunkt i avtaler og aktuell anbudsbeskrivelse
kan definere de krav og spesifikasjoner som følger med samarbeidet. Disse
medlemmer viser til at et avtalt samarbeid, hvor private
utfører behandling på bestilling fra offentlige helseforetak, også
innebærer at helsedata fra de samme private aktørene vil gjøres
tilgjengelig for det offentlige, noe som er svært viktig f.eks.
for å kunne ha oppdaterte og fullstendige helseregistre. Ifølge SINTEF
Helseforskning finnes det gode helsedata fra private behandlere
når det gjelder de oppdrag man har ut fra konkrete avtaler med f.eks. de
regionale helseforetakene. Det er imidlertid svært mangelfulle opplysninger
når det gjelder pasientbehandling i regi av private aktører som initieres
og finansieres på annen måte.
Disse medlemmer viser til at
departementet i den framlagte proposisjonen har svært begrenset omtale
av samarbeid mellom private virksomheter og det offentlige, og at
man kun viser til eksempler der kommuner setter ut helse- og omsorgstjenestene
til private aktører. Departementet framholder at i slike tilfeller
vil kommunen være databehandlingsansvarlig, fordi kommunen bestemmer
formålet og bruken av opplysningene i systemet.
Disse medlemmer vil peke på at
regjeringens store helsepolitiske prosjekt, det såkalte «fritt behandlingsvalg»,
som forutsetter automatisk statlig finansiering av private kommersielle
behandlere, ikke omtales i proposisjonen. Denne ordningen representerer
betydelige utfordringer med tanke på bruk av IKT i kommunikasjon,
informasjon og sikkerhet i helsetjenesten. Regjeringen lover at
private aktører kan behandle pasienter i spesialisthelsetjenesten
på det offentliges regning – uten at avtale om omfang eller innretning
på behandlingen er inngått på forhånd med helseforetak eller annen
offentlig instans. Dette betyr at det i utgangspunktet ikke foreligger
naturlige kontaktpunkter mellom det offentlige og aktuelle private
behandlere i den nye helsereformen.
Komiteens medlemmer fra Høyre
og Fremskrittspartiet vil påpeke at dette vil bli vurdert
i forbindelse med det varslede lovforslaget om fritt behandlingsvalg.
Komiteens medlemmer fra Arbeiderpartiet,
Senterpartiet, Venstre og Sosialistisk Venstreparti mener
at ordningen med såkalt «fritt behandlingsvalg» vanskeliggjør god
og sikker informasjonsflyt mellom offentlig helsesektor og private
tilbydere. Disse medlemmer merker seg at helse- og
omsorgsministeren verken ved behandling av statsbudsjettet for 2014
eller ved revidert nasjonalbudsjett for 2014 på spørsmål fra finanskomiteen
vil bekrefte Høyres garanti til velgerne om at
«når pasientens henvisning er vurdert av den offentlige
spesialisthelsetjenesten og pasienten har fått en tid for utredning
eller behandling, så kan pasienten fritt velge å benytte denne retten
også utenfor ordningen med fritt sykehusvalg, blant offentlig godkjente
institusjoner - private eller offentlige.»
Disse medlemmer mener at dette
er en indikasjon på at regjeringens helsepolitiske hovedsatsing
med fri etableringsrett for private helseaktører og påfølgende automatisk
offentlig finansiering, var lite gjennomtenkt. Disse medlemmer frykter
at de motstridende signalene kan skape usikkerhet om hva som er regjeringens
egentlige intensjon med reformarbeidet. Dette vil ha stor betydning
for arbeidet med et enhetlig IKT- system. Disse medlemmer vil
derfor fremme følgende forslag:
«Stortinget ber regjeringen utrede og komme tilbake
til Stortinget på egnet måte med forslag om hvordan private aktører
med rett til automatisk statlig finansiering av pasientbehandling, uten
inngått avtale med det offentlige, skal kunne forpliktes på følgende
punkter:
levere gode og fullstendige
helsedata til offentlige registre
bidra til å realisere ambisjonen om «én
innbygger– én journal»
ha sikker håndtering av pasientjournalopplysninger
ha trygg og operativ samhandling med resten
av helsevesenet
Regjeringen bes også utrede hvem som skal være
databehandlingsansvarlig, når pasienter skal behandles på det offentliges
regning i regi av den omtalte ordningen.»
Forslag fra Arbeiderpartiet, Senterpartiet,
Venstre og Sosialistisk Venstreparti:
Forslag 1
Stortinget ber regjeringen utrede og komme tilbake
til Stortinget på egnet måte med forslag om hvordan private aktører
med rett til automatisk statlig finansiering av pasientbehandling, uten
inngått avtale med det offentlige, skal kunne forpliktes på følgende
punkter:
levere gode og fullstendige
helsedata til offentlige registre
bidra til å realisere ambisjonen om «én
innbygger– én journal»
ha sikker håndtering av pasientjournalopplysninger
ha trygg og operativ samhandling med resten
av helsevesenet
Regjeringen bes også utrede hvem som skal være
databehandlingsansvarlig, når pasienter skal behandles på det offentliges
regning i regi av den omtalte ordningen.
Forslag fra Senterpartiet, Venstre og Sosialistisk Venstreparti:
Forslag 2
I lov om behandling av helseopplysninger ved ytelse
av helsehjelp (pasientjournalloven) skal § 2 f lyde:
Forslag 3
I lov om behandling av helseopplysninger ved ytelse
av helsehjelp (pasientjournalloven) skal § 17 lyde:
§ 17 Uttrykkelig samtykke
Tilgang til helseopplysninger i behandlingsrettet helseregister
på tvers av virksomheter kan bare gis etter uttrykkelig samtykke
fra den registrerte.
Pasienten eller brukeren må samtykke i at
1. helseopplysninger
i et behandlingsrettet helseregister etablert med hjemmel i §§ 8–10 gjøres
tilgjengelige for helsepersonell etter § 19, jf. helsepersonelloven
§§ 25 og 45 og pasient- og brukerrettighetsloven § 5-3,
2. opplysninger om betalte egenandeler
i tilknytning til vedtak om frikort og refusjon registreres automatisk
i system etablert med hjemmel i § 11, og
3. helseopplysninger registreres eller
behandles på andre måter i nasjonal kjernejournal etablert med hjemmel
i § 13.
Reglene om samtykkekompetanse i pasient- og brukerrettighetsloven
§§ 4-3 til 4-7 gjelder tilsvarende.
§§ 17-33 i lovforslaget i Prop. 72 L (2013–2014) blir
§§ 18–34.
Forslag fra Venstre og Sosialistisk Venstreparti:
Forslag 4
I lov om helseregistre og behandling av helseopplysninger
(helseregisterloven) skal § 11 første ledd lyde:
Kongen i statsråd kan i samsvar med vilkårene
i § 8 gi forskrift om behandling av opplysninger i helseregistre
der navn, fødselsnummer og andre direkte personidentifiserende kjennetegn
skal kunne behandles i den utstrekning det er nødvendig for å nå
formålet med registeret. Den registrerte har rett til å motsette
seg registrering.
Forslag fra Venstre:
Forslag 5
Prop. 72 L (2013–2014) sendes tilbake til regjeringen.
Forslag 6
Stortinget ber regjeringen oppnevne en LEAN-kommisjon
for å gjennomgå dagens journalpraksis og opplæringsbehov på veien
fram mot en standardisert, digital kjernejournal.
Komiteen viser til
proposisjonen og merknadene og rår Stortinget til å gjøre følgende
vedtak til lover:
A.
Vedtak til lov
om behandling av helseopplysninger ved ytelse av helsehjelp
(pasientjournalloven)
Kapittel 1 Generelle bestemmelser
§ 1 Lovens formål
Formålet med loven er at behandling av helseopplysninger
skal skje på en måte som
a) gir pasienter og brukere helsehjelp av god
kvalitet ved at relevante og nødvendige opplysninger på en rask
og effektiv måte blir tilgjengelige for helsepersonell, samtidig
som vernet mot at opplysninger gis til uvedkommende ivaretas, og
b) sikrer pasienters og brukeres personvern, pasientsikkerhet
og rett til informasjon og medvirkning.
§ 2 Definisjoner
I denne loven forstås med:
a) helseopplysninger: taushetsbelagte
opplysninger etter helsepersonelloven § 21, og andre opplysninger
og vurderinger om helseforhold eller av betydning for helseforhold,
som kan knyttes til en enkeltperson,
b) behandling av helseopplysninger: enhver
bruk av helseopplysninger, som for eksempel innsamling, registrering,
sammenstilling, lagring og utlevering, eller en kombinasjon av slike
bruksmåter,
c) helsehjelp: handlinger som har forebyggende,
diagnostisk, behandlende, helsebevarende, rehabiliterende eller
pleie- og omsorgsformål, og som utføres av helsepersonell, jf. helsepersonelloven §
3 første ledd,
d) behandlingsrettet helseregister: pasientjournal- og
informasjonssystem eller annet register, fortegnelse eller lignende,
der helseopplysninger er lagret systematisk slik at opplysninger
om den enkelte kan finnes igjen og som skal gi grunnlag for helsehjelp
eller administrasjon av helsehjelp til enkeltpersoner,
e) databehandlingsansvarlig: den som
bestemmer formålet med behandlingen av helseopplysningene og hvilke
hjelpemidler som skal brukes, og den som i eller i medhold av lov
er pålagt et databehandlingsansvar.
§ 3 Saklig virkeområde
Loven gjelder all behandling av helseopplysninger som er
nødvendig for å yte, administrere eller kvalitetssikre helsehjelp
til enkeltpersoner.
Kongen i statsråd kan i forskrift eller enkeltvedtak bestemme
at loven helt eller delvis skal gjelde for behandling av helseopplysninger
til andre formål enn helsehjelp.
§ 4 Geografisk virkeområde
Loven gjelder for databehandlingsansvarlige som er etablert
i Norge. Kongen kan i forskrift bestemme at loven helt eller delvis
skal gjelde for Svalbard og Jan Mayen, og kan fastsette særlige
regler om behandling av helseopplysninger for disse områdene.
Loven gjelder også for databehandlingsansvarlige som er
etablert i stater utenfor EØS-området, dersom den databehandlingsansvarlige
benytter hjelpemidler i Norge. Dette gjelder likevel ikke dersom hjelpemidlene
bare brukes til å overføre personopplysninger via Norge. Databehandlingsansvarlige
skal ha en representant som er etablert i Norge. Bestemmelsene som
gjelder for den databehandlingsansvarlige, gjelder også for representanten.
§ 5 Forholdet til personopplysningsloven
Personopplysningsloven gjelder så langt ikke annet følger
av denne loven.
Kapittel 2 Pasientjournaler og andre
behandlingsrettede helseregistre
§ 6 Rett til å behandle helseopplysninger
Behandlingsrettede helseregistre må ha hjemmel i lov. Konsesjonsplikt
etter personopplysningsloven § 33 gjelder ikke for behandling av
helseopplysninger som skjer med hjemmel i denne loven.
Helseopplysninger i behandlingsrettede helseregistre kan
bare behandles når det er nødvendig for å kunne gi helsehjelp, eller
for administrasjon, internkontroll eller kvalitetssikring av helsehjelpen.
Ved behandling av helseopplysninger til internkontroll
eller kvalitetssikring skal opplysningene så langt som mulig behandles
uten at den registrertes navn og fødselsnummer fremgår.
§ 7 Krav til behandlingsrettede
helseregistre
Behandlingsrettede helseregistre skal understøtte pasientforløp
i klinisk praksis og være lett å bruke og å finne frem i.
Behandlingsrettede helseregistre skal være utformet og
organisert slik at krav fastsatt i eller i medhold av lov kan oppfylles.
Dette gjelder blant annet regler om:
a) taushetsplikt, jf. § 15,
b) forbud mot urettmessig tilegnelse av helseopplysninger,
jf. § 16,
c) retten til å motsette seg behandling av helseopplysninger,
jf. § 17,
d) retten til informasjon og innsyn, jf. § 18,
e) helsepersonells dokumentasjonsplikt, jf. helsepersonelloven
§ 39,
f) tilgjengeliggjøring av helseopplysninger, jf. §§ 19 og
20 og
g) informasjonssikkerhet og internkontroll, jf. §§ 22 og
23.
Departementet kan i forskrift gi nærmere bestemmelser om
plikt til å ha elektroniske systemer, om godkjenning av programvare
og sertifisering og om bruk av standarder, standardsystemer, kodeverk
og klassifikasjonssystemer.
§ 8 Virksomheters plikt til
å sørge for
behandlingsrettede helseregistre
Virksomheter som yter helsehjelp skal sørge for å ha behandlingsrettede
helseregistre for gjennomføring av helsepersonells dokumentasjonsplikt,
jf. helsepersonelloven § 39.
§ 9 Samarbeid mellom virksomheter
om
behandlingsrettede helseregistre
To eller flere virksomheter kan samarbeide om behandlingsrettede
helseregistre, jf. § 8. Virksomhetene skal da inngå skriftlig avtale
om
a) hva samarbeidet omfatter,
b) hvordan pasientens eller brukerens rettigheter skal ivaretas,
c) hvordan helseopplysningene skal behandles og sikres,
også ved endringer i eller opphør av samarbeidet, og
d) databehandlingsansvar.
Departementet kan i forskrift eller enkeltvedtak fastsette
vilkår for slikt samarbeid.
§ 10 Etablering av nasjonale
behandlingsrettede
helseregistre
Kongen i statsråd kan gi forskrift om etablering av nasjonale
behandlingsrettede helseregistre som på bestemte områder kommer
i stedet for registre etter §§ 8 og 9.
Forskriften skal gi nærmere bestemmelser om drift, behandling
og sikring av helseopplysningene, om databehandlingsansvar, om tilgangskontroll
og om hvordan rettighetene til pasienten eller brukeren skal ivaretas.
§ 11 Systemer for saksbehandling,
administrasjon mv. av helsehjelp
Kongen i statsråd kan gi forskrift om behandling av helseopplysninger
for saksbehandling, administrasjon, oppgjør og gjennomføring av
helsehjelp til enkeltpersoner.
Taushetsplikt er ikke til hinder for behandlingen av opplysningene.
Helseopplysningene kan behandles uten hensyn til samtykke fra pasienten.
Graden av personidentifikasjon skal ikke være større enn nødvendig
for det aktuelle formålet. Opplysninger om diagnose eller sykdom
kan bare behandles når det er nødvendig for å nå formålet med behandlingen
av opplysningen.
Forskriften skal gi nærmere bestemmelser om behandlingen
av opplysningene, om hvilke opplysninger som kan behandles, om den
enkeltes rett til å motsette seg behandling av opplysningene og
om databehandlingsansvar.
§ 12 Reseptformidleren
Kongen i statsråd kan gi forskrift med nærmere bestemmelser
om behandling av helseopplysninger i nasjonal database for resepter
(Reseptformidleren).
Opplysningene kan behandles uten samtykke fra pasienten.
Forskriften skal gi nærmere bestemmelser om formålet med
behandlingen av opplysningene, hvilke opplysninger som skal behandles
og hvem som er databehandlingsansvarlig for opplysningene.
§ 13 Nasjonal kjernejournal
Kongen i statsråd kan gi forskrift om behandling av helseopplysninger
i nasjonal kjernejournal.
Nasjonal kjernejournal er et sentralt virksomhetsovergripende
behandlingsrettet helseregister. Journalen skal inneholde et begrenset
sett relevante helseopplysninger som er nødvendig for å yte forsvarlig helsehjelp.
Opplysninger kan registreres og på annen måte behandles
uten samtykke fra pasienten. Den registrerte har rett til å motsette
seg at helseopplysninger behandles i registeret.
Helsepersonell med tjenstlig behov ved ytelse av helsehjelp
kan etter samtykke fra den registrerte gis tilgang til nødvendige
og relevante helseopplysninger fra nasjonal kjernejournal. Med samtykke
menes en frivillig, uttrykkelig og informert erklæring fra den registrerte
om at han eller hun godtar at det gis slik tilgang. Når det er nødvendig
for å yte forsvarlig helsehjelp, kan Kongen i statsråd i forskrift
gjøre unntak fra kravet om samtykke. Ved unntak fra samtykke gjelder
helsepersonelloven § 45 første ledd første punktum tilsvarende.
Kongen i statsråd kan i forskrift gi nærmere bestemmelser
om drift og behandling av helseopplysninger, for eksempel hvilke
opplysninger som skal behandles, hvem som er databehandlingsansvarlig, regler
om sletting, tilgang og tilgangskontroll, samt pasientens rettigheter.
§ 14 Registrering og melding
av helseopplysninger
Virksomheter og helsepersonell som tilbyr eller yter tjenester
som omfattes av apotekloven, folkehelseloven, helse- og omsorgstjenesteloven,
legemiddelloven, smittevernloven, spesialisthelsetjenesteloven eller
tannhelsetjenesteloven, plikter uten hinder av taushetsplikt å registrere
eller melde opplysninger som bestemt i forskrifter etter §§ 11 til
13.
Kongen kan i forskrift gi nærmere bestemmelser om innhenting
av helseopplysninger til registre som omfattes av §§ 11 til 13,
blant annet om frister, formkrav, bruk av meldingsskjemaer og standarder.
Mottaker av opplysningene skal varsle den som har registrert
eller meldt opplysningene dersom opplysningene er mangelfulle.
Kapittel 3 Taushetsplikt, innsynsrett og rett til å motsette
seg behandling av helseopplysninger
§ 15 Taushetsplikt
Enhver som behandler helseopplysninger etter denne lov,
har taushetsplikt etter helsepersonelloven §§ 21 flg. Andre som
får adgang eller kjennskap til helseopplysninger fra et behandlingsrettet
helseregister, har samme taushetsplikt.
§ 16 Forbud mot urettmessig
tilegnelse av
helseopplysninger
Det er forbudt å lese, søke etter eller på annen måte tilegne
seg, bruke eller besitte helseopplysninger fra behandlingsrettede
helseregistre uten at det er begrunnet i helsehjelp til den enkelte,
administrasjon av slike tjenester eller har særskilt hjemmel i lov
eller forskrift.
§ 17 Rett til å motsette seg
behandling av helseopplysninger
Pasienten eller brukeren kan motsette seg at
a) helseopplysninger i et behandlingsrettet helseregister
etablert med hjemmel i §§ 8 til 10 gjøres tilgjengelige for helsepersonell
etter § 19, jf. helsepersonelloven §§ 25 og 45 og pasient- og brukerrettighetsloven
§ 5-3,
b) opplysninger om betalte egenandeler i tilknytning til
vedtak om frikort og refusjon registreres automatisk i system etablert
med hjemmel i § 11, og
c) helseopplysninger registreres eller behandles på andre
måter i nasjonal kjernejournal etablert med hjemmel i § 13.
Reglene om samtykkekompetanse i pasient- og brukerrettighetsloven
§§ 4-3 til 4-7 gjelder tilsvarende for retten til å motsette seg
behandling av opplysningene.
§ 18 Informasjon og innsyn
Pasienten eller brukeren har rett til informasjon og innsyn
i behandlingsrettede helseregistre etter pasient- og brukerrettighetsloven
§ 5-1, helsepersonelloven § 41 og personopplysningsloven §§ 18 flg.
Dette omfatter også innsyn i hvem som har hatt tilgang til eller
fått utlevert helseopplysninger som er knyttet til pasientens eller
brukerens navn eller fødselsnummer.
Når det er nødvendig for å gi innsyn, kan den databehandlingsansvarlige
innhente personopplysninger fra Det sentrale folkeregisteret. Dette
gjelder uten hensyn til om opplysningene er underlagt taushetsplikt
etter folkeregisterloven.
Kongen kan i forskrift gi nærmere bestemmelser om retten
til innsyn i behandlingsrettede helseregistre.
Kapittel 4 Virksomhetens plikter ved behandling av
helseopplysninger
§ 19 Helseopplysninger ved helsehjelp
Innenfor rammen av taushetsplikten skal den databehandlingsansvarlige
sørge for at relevante og nødvendige helseopplysninger er tilgjengelige
for helsepersonell og annet samarbeidende personell når dette er
nødvendig for å yte, administrere eller kvalitetssikre helsehjelp
til den enkelte.
Den databehandlingsansvarlige bestemmer på hvilken måte
opplysningene skal gjøres tilgjengelige. Opplysningene skal gjøres
tilgjengelige på en måte som ivaretar informasjonssikkerheten.
Departementet kan i forskrift gi nærmere bestemmelser om
hvordan helseopplysninger i behandlingsrettede helseregistre kan
gjøres tilgjengelige.
§ 20 Helseopplysninger til andre
formål enn
helsehjelp
Den databehandlingsansvarlige kan gjøre helseopplysninger
tilgjengelige for andre formål enn helsehjelp når den enkelte samtykker
eller dette er fastsatt i lov eller i medhold av lov. Med samtykke
menes en frivillig, uttrykkelig og informert erklæring fra den registrerte
om at han eller hun godtar at opplysningene gjøres tilgjengelige.
§ 21 Personopplysninger fra
Det sentrale
folkeregisteret
Den databehandlingsansvarlige kan innhente personopplysninger
fra Det sentrale folkeregisteret når dette er nødvendig for å oppfylle
den databehandlingsansvarliges plikter etter loven. Dette gjelder uten
hensyn til om opplysningene er underlagt taushetsplikt etter folkeregisterloven.
§ 22 Sikring av konfidensialitet,
integritet og
tilgjengelighet
Den databehandlingsansvarlige og databehandleren skal gjennom
planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet
med hensyn til konfidensialitet, integritet og tilgjengelighet ved
behandling av helseopplysninger. Dette omfatter blant annet å sørge
for tilgangsstyring, logging og etterfølgende kontroll.
For å oppnå tilfredsstillende informasjonssikkerhet skal
den databehandlingsansvarlige og databehandleren dokumentere informasjonssystemet
og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for
medarbeiderne hos den databehandlingsansvarlige og hos databehandleren.
Dokumentasjonen skal også være tilgjengelig for tilsynsmyndighetene.
En databehandlingsansvarlig som lar andre få tilgang til
helseopplysninger, for eksempel en databehandler eller andre som
utfører oppdrag i tilknytning til informasjonssystemet, skal påse
at disse oppfyller kravene i første og andre ledd.
Departementet kan i forskrift fastsette nærmere krav til
informasjonssikkerhet ved behandling av helseopplysninger, blant
annet om organisatoriske og tekniske tiltak.
§ 23 Internkontroll
Den databehandlingsansvarlige skal etablere og holde ved
like planlagte og systematiske tiltak som er nødvendige for å oppfylle
kravene i eller i medhold av denne loven.
Den databehandlingsansvarlige skal dokumentere tiltakene.
Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den
databehandlingsansvarlige og hos databehandleren. Dokumentasjonen
skal også være tilgjengelig for tilsynsmyndighetene.
Departementet kan i forskrift gi nærmere bestemmelser om
internkontroll.
§ 24 Overdragelse eller opphør
av virksomhet
Ved overdragelse eller opphør av virksomhet kan behandlingsrettet
helseregister overføres til en annen virksomhet. Den enkelte pasient
eller bruker kan motsette seg overføring av sin journal og i stedet
kreve at registeret overføres til en annen bestemt virksomhet. Dersom
det er praktisk mulig, skal pasienten eller brukeren gjøres kjent
med denne retten.
Departementet kan i forskrift gi nærmere bestemmelser om
overføring av helseopplysninger ved opphør eller overdragelse av
virksomhet.
§ 25 Plikt til bevaring eller
sletting
Helseopplysninger skal oppbevares til det av hensyn til
helsehjelpens karakter ikke lenger antas å bli bruk for dem. Det
samme gjelder opplysninger om hvem som har hatt tilgang til eller
fått utlevert helseopplysninger som er knyttet til pasientens eller brukerens
navn eller fødselsnummer.
Hvis ikke opplysningene deretter skal bevares etter arkivloven
eller annen lovgivning, skal de slettes.
Kongen kan i forskrift gi nærmere bestemmelser om bevaring
eller sletting av opplysninger som nevnt i første ledd.
Kapittel 5 Tilsyn og sanksjoner
§ 26 Tilsynsmyndighetene
Datatilsynet fører tilsyn med at bestemmelsene i loven
blir fulgt og at feil eller mangler blir rettet, jf. personopplysningsloven
§ 42. Dette gjelder ikke for tilsynsoppgaver som påligger Statens
helsetilsyn eller Fylkesmannen etter helsetilsynsloven.
Tilsynsmyndighetene kan kreve de opplysninger som trengs
for at de kan gjennomføre sine oppgaver.
Tilsynsmyndighetene kan, som ledd i sin kontroll med at
lovens regler etterleves, kreve adgang til steder hvor det finnes
helseregistre, helseopplysninger som behandles elektronisk og hjelpemidler
for slik behandling av opplysninger. Tilsynsmyndighetene kan gjennomføre
de prøver eller kontroller som de finner nødvendig, og kreve bistand
fra personalet på stedet i den grad dette må til for å få utført
prøvene eller kontrollene.
Retten til å kreve opplysninger eller tilgang til lokaler
og hjelpemidler i medhold av andre og tredje ledd gjelder uten hinder
av taushetsplikt.
Tilsynsmyndighetene og andre som utfører tjeneste for tilsynsmyndighetene,
har taushetsplikt etter § 15. Taushetsplikten omfatter også opplysninger
om sikkerhetstiltak.
Avgjørelser som Datatilsynet fatter etter denne bestemmelsen
eller etter §§ 27, 28 eller 29, kan påklages til Personvernnemnda.
Kongen kan gi forskrift om unntak fra første til fjerde
ledd av hensyn til rikets sikkerhet. Kongen kan også gi forskrift
om dekning av utgiftene ved kontroll. Skyldige bidrag til dekning
av utgiftene er tvangsgrunnlag for utlegg.
§ 27 Adgang til å gi pålegg
Datatilsynet kan gi pålegg om at behandling av helseopplysninger
i strid med bestemmelser i eller i medhold av denne loven skal opphøre,
eller stille vilkår som må oppfylles for at behandlingen av helseopplysningene
skal være i samsvar med loven. Statens helsetilsyn kan gi pålegg
dersom det i tillegg må antas at behandlingen av helseopplysningene
kan ha skadelige følger for pasienter eller brukere.
Når Datatilsynet har gitt et pålegg, skal Statens helsetilsyn
informeres om dette. Når Statens helsetilsyn har gitt et pålegg,
skal Datatilsynet informeres om dette.
Det skal settes en frist for å rette seg etter pålegget.
§ 28 Tvangsmulkt
Ved pålegg etter § 27 kan Datatilsynet fastsette en tvangsmulkt
som løper for hver dag som går etter utløpet av den fristen som
er satt for oppfylling av pålegget, inntil pålegget er oppfylt.
Tvangsmulkten løper ikke før klagefristen er ute. Hvis
vedtaket påklages, løper ikke tvangsmulkt før klageinstansen har
bestemt det.
Datatilsynet kan frafalle påløpt tvangsmulkt.
§ 29 Overtredelsesgebyr
Datatilsynet kan pålegge den som har overtrådt denne loven
eller forskrifter i medhold av den, å betale et pengebeløp til statskassen
(overtredelsesgebyr) på inntil ti ganger grunnbeløpet i folketrygden. Fysiske
personer kan bare ilegges overtredelsesgebyr for forsettlige eller
uaktsomme overtredelser. Et foretak kan ikke ilegges overtredelsesgebyr
dersom overtredelsen skyldes forhold utenfor foretakets kontroll.
Ved vurderingen av om overtredelsesgebyr skal ilegges,
og ved utmålingen, skal det særlig legges vekt på
a) hvor alvorlig overtredelsen har krenket de
interesser loven verner,
b) graden av skyld,
c) om overtrederen ved retningslinjer, instruksjon, opplæring,
kontroll eller andre tiltak kunne ha forebygget overtredelsen,
d) om overtredelsen er begått for å fremme overtrederens
interesser,
e) om overtrederen har hatt eller kunne ha oppnådd noen
fordel ved overtredelsen,
f) om det foreligger gjentakelse,
g) om andre reaksjoner som følge av overtredelsen blir ilagt
overtrederen eller noen som har handlet på vegne av denne, blant
annet om noen enkeltperson blir ilagt straff, og
h) overtrederens økonomiske evne.
Oppfyllelsesfristen er fire uker etter at vedtaket om overtredelsesgebyr
er endelig. Dersom et vedtak om overtredelsesgebyr bringes inn for
en domstol, kan den prøve alle sider av saken.
§ 30 Straff
Den som forsettlig eller grovt uaktsomt overtrer § 15 om
taushetsplikt eller § 16 om forbud mot urettmessig tilegnelse av
helseopplysninger, straffes med bøter eller fengsel i inntil tre
måneder.
Med bøter eller fengsel inntil ett år eller begge deler
straffes den som forsettlig eller grovt uaktsomt
a) behandler helseopplysninger i strid med § 22,
b) unnlater å informere den registrerte etter § 18, jf. personopplysningsloven
§§ 19 eller 20,
c) unnlater å gi opplysninger til tilsynsmyndighetene etter
§ 26, eller
d) unnlater å etterkomme pålegg eller overtrer vilkår fra
tilsynsmyndighetene etter § 27.
Ved særdeles skjerpende omstendigheter kan fengsel inntil
tre år idømmes. Ved avgjørelsen av om det foreligger særdeles skjerpende
omstendigheter skal det blant annet legges vekt på faren for stor
skade eller ulempe for pasienten eller brukeren, den tilsiktede
vinningen ved overtredelsen, overtredelsens varighet og omfang,
utvist skyld, og om den databehandlingsansvarlige tidligere er straffet
for å ha overtrådt tilsvarende bestemmelser.
Medvirkning straffes på samme måte.
I forskrift som gis i medhold av loven, kan det fastsettes
at den som forsettlig eller grovt uaktsomt overtrer forskriften
skal straffes med bøter eller fengsel inntil ett år eller begge
deler.
§ 31 Erstatning
Den databehandlingsansvarlige skal erstatte skade som er
oppstått som følge av at helseopplysninger er behandlet i strid
med bestemmelser i eller i medhold av loven, med mindre det godtgjøres
at skaden ikke skyldes feil eller forsømmelse på den databehandlingsansvarliges
side.
Erstatningen skal svare til det økonomiske tapet som den
skadelidte er påført som følge av den ulovlige behandlingen av helseopplysningene.
Virksomheten kan også pålegges å betale slik erstatning for skade
av ikke-økonomisk art (oppreisning) som synes rimelig.
Kapittel 6 Ikraftsetting mv.
§ 32 Ikraftsetting
Loven trer i kraft fra den tid Kongen bestemmer. Kongen
kan bestemme at de enkelte bestemmelsene i loven skal tre i kraft
til ulik tid.
§ 33 Videreføring av forskrifter
Forskrifter gitt i medhold av lov 18. mai 2001 nr. 24 om
helseregistre og behandling av helseopplysninger, gjelder også etter
at loven her har trådt i kraft.
B.
Vedtak til lov
om helseregistre og behandling av
helseopplysninger (helseregisterloven)
Kapittel 1 Generelle bestemmelser
§ 1 Lovens formål
Formålet med loven er å legge til rette for innsamling
og annen behandling av helseopplysninger, for å fremme helse, forebygge
sykdom og skade og gi bedre helse- og omsorgstjenester. Loven skal
sikre at behandlingen foretas på en etisk forsvarlig måte, ivaretar
den enkeltes personvern og brukes til individets og samfunnets beste.
§ 2 Definisjoner
I denne loven forstås med:
a) helseopplysninger: taushetsbelagte
opplysninger etter helsepersonelloven § 21, og andre opplysninger
og vurderinger om helseforhold eller av betydning for helseforhold,
som kan knyttes til en enkeltperson,
b) indirekte identifiserbare helseopplysninger: helseopplysninger
der navn, fødselsnummer og andre personentydige kjennetegn er fjernet,
men hvor opplysningene likevel kan knyttes til en enkeltperson,
c) behandling av helseopplysninger: enhver
bruk av helseopplysninger, som for eksempel innsamling, registrering,
sammenstilling, lagring og utlevering, eller en kombinasjon av slike
bruksmåter,
d) helseregister: register, fortegnelser,
mv. der helseopplysninger er lagret systematisk slik at opplysninger
om den enkelte kan finnes igjen,
e) databehandlingsansvarlig: den som
bestemmer formålet med behandlingen av helseopplysningene og hvilke
hjelpemidler som skal brukes, og den som i eller i medhold av lov
er pålagt et databehandlingsansvar,
f) samtykke: en frivillig, uttrykkelig
og informert erklæring fra den registrerte om at han eller hun godtar
behandling av helseopplysninger om seg selv.
§ 3 Saklig virkeområde
Loven gjelder for behandling av helseopplysninger til statistikk,
helseanalyser, forskning, kvalitetsforbedring, planlegging, styring
og beredskap i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten.
Loven gjelder også behandling av helseopplysninger i Helsearkivregisteret
i Norsk helsearkiv.
Loven gjelder ikke for behandling av helseopplysninger
som reguleres av helseforskningsloven eller pasientjournalloven.
Kongen i statsråd kan i forskrift bestemme at loven helt
eller delvis skal gjelde for behandling av helseopplysninger utenfor
helse- og omsorgsforvaltningen eller helse- og omsorgstjenesten.
§ 4 Geografisk virkeområde
Loven gjelder for databehandlingsansvarlige som er etablert
i Norge. Kongen kan i forskrift bestemme at loven helt eller delvis
skal gjelde for Svalbard og Jan Mayen, og kan fastsette særlige
regler om behandling av helseopplysninger i forbindelse med helsehjelp
for disse områdene.
Loven gjelder også for databehandlingsansvarlige som er
etablert i stater utenfor EØS-området dersom den databehandlingsansvarlige
benytter hjelpemidler i Norge. Dette gjelder likevel ikke dersom hjelpemidlene
bare brukes til å overføre personopplysninger via Norge. Databehandlingsansvarlige
skal ha en representant som er etablert i Norge. Bestemmelsene som
gjelder for den databehandlingsansvarlige, gjelder også for representanten.
§ 5 Forholdet til personopplysningsloven
Personopplysningsloven gjelder så langt ikke annet følger
av denne loven.
Kapittel 2 Tillatelse til å behandle helseopplysninger
og etablering av helseregistre
§ 6 Alminnelige vilkår for å
behandle
helseopplysninger
Helseopplysninger kan bare behandles når det er tillatt
etter denne loven eller andre lover.
Behandling av helseopplysninger krever den registrertes
samtykke, dersom ikke annet har hjemmel i lov.
Den databehandlingsansvarlige skal sørge for at helseopplysningene
som behandles
a) er tilstrekkelige og relevante for formålet
med behandlingen,
b) bare brukes til uttrykkelige angitte formål som er saklig
begrunnet i den databehandlingsansvarliges virksomhet,
c) ikke brukes senere til formål som er uforenlig med det
opprinnelige formålet med innsamlingen av opplysningene, uten at
den registrerte samtykker, og
d) er korrekte og oppdaterte og ikke lagres lenger enn det
som er nødvendig ut fra formålet med behandlingen.
Graden av personidentifikasjon skal ikke være større enn
nødvendig for det aktuelle formålet. Graden av personidentifikasjon
skal begrunnes. Tilsynsmyndigheten kan kreve at den databehandlingsansvarlige
legger frem begrunnelsen.
Departementet kan gi forskrift om godkjenning av programvare,
sertifisering og om bruk av standarder, klassifikasjonssystemer
og kodeverk, samt hvilke nasjonale eller internasjonale standardsystemer som
skal følges ved behandling av helseopplysninger etter denne loven.
§ 7 Konsesjon fra Datatilsynet
Datatilsynet kan gi konsesjon for etablering av helseregistre
og annen behandling av helseopplysninger. Konsesjon kan gis når
vilkårene i denne loven § 6 og personopplysningsloven § 9 jf. §§
33 til 35 er oppfylt.
Konsesjonsplikt etter personopplysningsloven § 33 gjelder
ikke for behandling av helseopplysninger som skjer med hjemmel i
denne loven §§ 8 til 12.
§ 8 Vilkår for etablering av
helseregistre ved forskrift
Kongen i statsråd kan i forskrift gi nærmere bestemmelser
om etablering av helseregistre og behandling av helseopplysninger
i registre etter §§ 9, 10 eller 11, når vilkårene i denne bestemmelsen
og § 6 er oppfylt.
Den helsefaglige eller samfunnsmessige nytten av registeret
må klart overstige personvernulempene.
Registrene skal ivareta oppgaver etter apotekloven, folkehelseloven,
helse- og omsorgstjenesteloven, legemiddelloven, smittevernloven,
spesialisthelsetjenesteloven og tannhelsetjenesteloven.
Forskriften skal blant annet angi
a) formålet med behandlingen av helseopplysningene,
b) hvilke typer opplysninger som kan behandles,
c) krav til identitetsforvaltning,
d) krav til sikring av opplysningene, og
e) hvem som er databehandlingsansvarlig.
§ 9 Registre som er samtykkebaserte
eller uten
direkte personidentifiserende kjennetegn
Kongen i statsråd kan, i samsvar med vilkår i § 8, gi forskrift
om behandling av opplysninger i helseregistre dersom
a) den registrerte samtykker, eller
b) opplysningene behandles uten at den databehandlingsansvarlige
har tilgang til navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn.
§ 10 Helseregistre der den registrerte
har rett til å motsette seg behandling av helseopplysninger
Kongen i statsråd kan i samsvar med vilkårene i § 8 gi
forskrift om behandling av opplysninger i helseregistre der navn,
fødselsnummer eller andre direkte personidentifiserende kjennetegn
skal kunne behandles uten samtykke fra den registrerte. Slike forskrifter
kan gis dersom
a) det for å oppnå formålet med behandlingen av opplysningene,
og av hensyn til registerets kvalitet, ikke kan kreves at samtykke
innhentes, og
b) den registrerte har rett til å motsette seg at helseopplysninger
behandles i registeret.
§ 11 Lovbestemte helseregistre
Kongen i statsråd kan i samsvar med vilkårene i § 8 gi
forskrift om behandling av opplysninger i helseregistre der navn,
fødselsnummer og andre direkte personidentifiserende kjennetegn
skal kunne behandles uten samtykke fra den registrerte i den utstrekning det
er nødvendig for å nå formålet med registeret.
Det kan gis forskrifter om følgende registre:
a) Dødsårsaksregisteret
b) Kreftregisteret
c) Medisinsk fødselsregister
d) Meldingssystem for smittsomme sykdommer (MSIS)
e) System for vaksinasjonskontroll (SYSVAK)
f) Forsvarets helseregister
g) Norsk pasientregister
h) Nasjonalt register over hjerte- og karlidelser
i) System for bivirkningsrapportering.
Kreftregisteret kan inneholde helseopplysninger om personer
som har deltatt i undersøkelsesprogram for tidlig diagnose og kontroll
for kreftsykdom. Ved negativt funn kan opplysninger om navn, fødselsnummer,
adresse, bostedskommune og sivilstand registreres permanent, med
mindre den registrerte motsetter seg det. Dersom den registrerte
har motsatt seg permanent registrering, skal opplysningene slettes
etter at de er kvalitetssikret og senest seks måneder etter innsamlingen.
Dette leddet gjelder også funn som er innsamlet før 1. januar 2014.
§ 12 Helsearkivregisteret
Kongen i statsråd kan i forskrift gi bestemmelser om etablering
av Helsearkivregisteret.
Helsearkivregisteret er et helseregister med personidentifiserbar
pasientdokumentasjon om avdøde pasienter. Opplysningene i Helsearkivregisteret
behandles uten de registrertes samtykke.
Riksarkivaren er databehandlingsansvarlig for opplysningene
i Helsearkivregisteret, jf. arkivloven § 4.
Kongen i statsråd kan i forskrift gi nærmere bestemmelser
om behandlingen av helseopplysningene i registeret og formålet med
behandlingen. Forskriften skal angi den databehandlingsansvarliges
plikt til å gjøre data tilgjengelig.
Kongen i statsråd kan i forskriften gi nærmere bestemmelser
om bevaring, kassasjon og avlevering av pasientdokumentasjon for
private virksomheter som yter tjenester etter spesialisthelsetjenesteloven.
§ 13 Innmelding av helseopplysninger
til
helseregistre
Virksomheter og helsepersonell som tilbyr eller yter tjenester
som omfattes av apotekloven, folkehelseloven, helse- og omsorgstjenesteloven,
legemiddelloven, smittevernloven, spesialisthelsetjenesteloven eller
tannhelsetjenesteloven plikter å melde opplysninger som bestemt
i forskrifter etter §§ 8 til 12. Innmelding til registre etter §§
9 bokstav b, 10, 11 og 12 kan skje uten hinder av taushetsplikt.
Kongen kan gi forskrifter om innmelding av helseopplysninger
til registre som omfattes av §§ 8 til 12, blant annet om hvem som
skal gi og motta opplysningene og om frister, formkrav, bruk av
meldingsskjemaer og standarder. Den som mottar opplysningene, skal
varsle avsenderen dersom opplysningene er mangelfulle.
§ 14 Opplysninger fra Det sentrale
folkeregisteret
Databehandlingsansvarlige kan innhente personopplysninger
de har tillatelse til å behandle etter §§ 8 til 12, fra Det sentrale
folkeregisteret.
§ 15 Hvem som har samtykkekompetanse
Rett til å samtykke til behandling av helseopplysninger
har
a) myndige personer, og
b) mindreårige etter fylte 16 år.
For samtykke til behandling av opplysninger som gjelder
personer under 16 år, gjelder pasient- og brukerrettighetsloven
§ 4-4 tilsvarende. Dersom barn mellom 12 og 16 år, av grunner som
bør respekteres, ikke ønsker at foreldrene, andre med foreldreansvar eller
barnevernstjenesten gjøres kjent med opplysninger om barnet, skal
dette ivaretas.
For personer uten samtykkekompetanse etter pasient- og
brukerrettighetsloven § 4-3 andre ledd, skal nærmeste pårørende
etter pasient- og brukerrettighetsloven § 1-3 bokstav b gi samtykke.
For personer som er fratatt rettslig handleevne på det
personlige området, gjelder pasient- og brukerrettighetsloven §
4-7 tilsvarende.
Departementet kan i forskrift bestemme at barn mellom 12
og 16 år kan samtykke til behandling av helseopplysninger for nærmere
bestemte spesielle formål.
§ 16 Plikt til å innrapportere
data til statistikk
Departementet kan i forskrift eller ved enkeltvedtak pålegge
regionale helseforetak, helseforetak, fylkeskommuner og kommuner
å innrapportere anonyme data eller indirekte identifiserbare helseopplysninger,
uten hensyn til taushetsplikt, til statistikk. Forskriften kan ha
nærmere regler om blant annet bruk av standarder, klassifikasjonssystemer
og kodeverk.
Kapittel 3 Alminnelige bestemmelser om
behandling av helseopplysninger
§ 17 Taushetsplikt
Enhver som behandler helseopplysninger etter denne loven,
har taushetsplikt etter helsepersonelloven §§ 21 flg. Andre som
får adgang eller kjennskap til helseopplysninger fra helseregistre,
har samme taushetsplikt.
§ 18 Forbud mot urettmessig
tilegnelse av
taushetsbelagte helseopplysninger
Det er forbudt å lese, søke etter eller på annen måte tilegne
seg, bruke eller besitte helseopplysninger som behandles etter denne
loven, uten særskilt hjemmel i lov eller forskrift.
§ 19 Sammenstilling av helseopplysninger
Kongen i statsråd kan gi forskrift om sammenstilling av
helseopplysninger innsamlet etter § 13. Sammenstilling kan tillates
for opplysninger i helseregistre etablert med hjemmel i §§ 8 til
12. Kongen i statsråd kan bestemme at opplysningene i disse registrene også
skal kunne sammenstilles med opplysninger i Det sentrale folkeregisteret
eller andre registre.
Den databehandlingsansvarlige kan utlevere helseopplysninger
for sammenstillingen. Med mindre annet følger av lov eller i medhold
av lov skal resultatet av sammenstillingen ikke inneholde navn,
fødselsnummer eller andre direkte identifiserende kjennetegn. Sammenstillingen
skal gjøres av den databehandlingsansvarlige for et av registrene
eller en virksomhet departementet bestemmer.
Ut over dette kan helseopplysninger bare sammenstilles
med andre opplysninger når dette er tillatt etter personopplysningsloven
§ 9, jf. §§ 33 til 35.
§ 20 Unntak fra taushetsplikten
for indirekte
identifiserbare helseopplysninger
Taushetsplikt er ikke til hinder for at den databehandlingsansvarlige
kan utlevere indirekte identifiserbare helseopplysninger til forskning,
helseanalyser, og kvalitetssikring, administrasjon, planlegging eller
styring av helse- og omsorgstjenesten. Dette gjelder bare helseopplysninger
i registre som er etablert med hjemmel i § 11.
Helseopplysningene kan bare utleveres dersom behandlingen
av dem er av vesentlig interesse for samfunnet, hensynet til pasientens
integritet og konfidensialitet er ivaretatt, og behandlingen er
ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn. Den
databehandlingsansvarlige kan stille vilkår for utleveringen.
§ 21 Sikring av konfidensialitet,
integritet og
tilgjengelighet
Den databehandlingsansvarlige og databehandler skal gjennom
planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet
med hensyn til konfidensialitet, integritet og tilgjengelighet ved
behandling av helseopplysninger. Dette gjelder blant annet å sørge
for tilgangsstyring, logging og etterfølgende kontroll.
I registre som er etablert med hjemmel i §§ 10 eller 11,
skal direkte personidentifiserende kjennetegn lagres kryptert.
For å oppnå tilfredsstillende informasjonssikkerhet skal
den databehandlingsansvarlige og databehandleren dokumentere informasjonssystemet
og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for
medarbeiderne hos den databehandlingsansvarlige og hos databehandleren.
Dokumentasjonen skal også være tilgjengelig for tilsynsmyndighetene.
En databehandlingsansvarlig som lar andre få tilgang til
helseopplysninger, for eksempel en databehandler eller andre som
utfører oppdrag i tilknytning til informasjonssystemet, skal påse
at disse oppfyller kravene i første, andre og tredje ledd.
Departementet kan i forskrift fastsette nærmere krav til
informasjonssikkerhet ved behandling av helseopplysninger, blant
annet om organisatoriske og tekniske tiltak.
§ 22 Internkontroll
Den databehandlingsansvarlige skal etablere og holde ved
like planlagte og systematiske tiltak som er nødvendige for å oppfylle
kravene i eller i medhold av denne loven.
Den databehandlingsansvarlige skal dokumentere tiltakene.
Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den
databehandlingsansvarlige og hos databehandleren. Dokumentasjonen
skal også være tilgjengelig for tilsynsmyndighetene.
Departementet kan i forskrift gi nærmere regler om internkontroll.
Kapittel 4 Informasjon, innsyn, retting, sletting og sperring
§ 23 Informasjon til allmennheten
om behandling av helseopplysninger
En databehandlingsansvarlig som behandler opplysninger
etter forskrift i medhold av §§ 8 til 11, skal av eget tiltak informere
allmennheten om hva slags behandling av helseopplysninger som foretas.
§ 24 Rett til informasjon og
innsyn
Rett til informasjon og innsyn følger av personopplysningsloven
§§ 18 flg.
Den registrerte har rett til innsyn i hvem som har hatt
tilgang til eller fått utlevert helseopplysninger som er knyttet
til den registrertes navn eller fødselsnummer, fra helseregistre
etter §§ 8 til 11. Departementet kan i særlige tilfeller gi den
databehandlingsansvarlige en tidsbegrenset dispensasjon fra plikten til
å gi innsyn etter dette leddet.
Når det er nødvendig for å vurdere innsyn kan den databehandlingsansvarlige
innhente personopplysninger fra Det sentrale folkeregisteret. Dette
gjelder uten hensyn til taushetsplikt.
Kongen kan i forskrift gi nærmere bestemmelser om retten
til innsyn i helseregistrene.
§ 25 Sletting eller sperring
av helseopplysninger
Den registrerte kan kreve at helseopplysninger som behandles
etter §§ 8 til 11 skal slettes eller sperres, dersom behandling
av opplysningene føles sterkt belastende for den registrerte og
det ikke finnes sterke allmenne hensyn som tilsier at opplysningene
behandles. Krav om sletting eller sperring av slike opplysninger
rettes til den databehandlingsansvarlige for opplysningene.
Datatilsynet kan, etter at Riksarkivaren er hørt, treffe
vedtak om at retten til sletting etter første ledd går foran reglene
i arkivloven §§ 9 og 18. Hvis dokumentet som inneholdt de slettede
opplysningene, gir et åpenbart misvisende bilde etter slettingen,
skal hele dokumentet slettes.
Kapittel 5 Tilsyn og sanksjoner
§ 26 Tilsynsmyndighetene
Datatilsynet fører tilsyn med at bestemmelsene i loven
blir fulgt og at feil eller mangler blir rettet, jf. personopplysningsloven
§ 42. Dette gjelder ikke for tilsynsoppgaver som påligger Statens
helsetilsyn eller Fylkesmannen etter helsetilsynsloven.
Tilsynsmyndighetene kan kreve de opplysninger som trengs
for at de kan gjennomføre sine oppgaver.
Tilsynsmyndighetene kan, som ledd i sin kontroll med at
lovens regler etterleves, kreve adgang til steder hvor det finnes
helseregistre, helseopplysninger som behandles elektronisk og hjelpemidler
for slik behandling av opplysninger. Tilsynsmyndighetene kan gjennomføre
de prøver eller kontroller som de finner nødvendig, og kreve bistand
fra personalet på stedet i den grad dette må til for å få utført
prøvene eller kontrollene.
Retten til å kreve opplysninger, eller tilgang til lokaler
og hjelpemidler i medhold av andre og tredje ledd, gjelder uten
hinder av taushetsplikt.
Tilsynsmyndighetene og andre som utfører tjeneste for tilsynsmyndighetene,
har taushetsplikt etter § 17. Taushetsplikten omfatter også opplysninger
om sikkerhetstiltak.
Avgjørelser som Datatilsynet fatter etter denne bestemmelsen
eller etter §§ 7, 25, 27, 28 eller 29, kan påklages til Personvernnemnda.
Kongen kan gi forskrift om unntak fra første til fjerde
ledd av hensyn til rikets sikkerhet. Kongen kan også gi forskrift
om dekning av utgiftene ved kontroll. Skyldige bidrag til dekning
av utgiftene er tvangsgrunnlag for utlegg.
§ 27 Adgang til å gi pålegg
Datatilsynet kan gi pålegg om at behandling av helseopplysninger
i strid med bestemmelser i eller i medhold av denne loven skal opphøre,
eller stille vilkår som må oppfylles for at behandlingen av helseopplysningene
skal være i samsvar med loven. Statens helsetilsyn kan gi pålegg
dersom det i tillegg må antas at behandlingen av helseopplysningene
kan ha skadelige følger for pasienter eller brukere.
Når Datatilsynet har gitt et pålegg, skal Statens helsetilsyn
informeres om dette. Når Statens helsetilsyn har gitt et pålegg,
skal Datatilsynet informeres om dette.
Pålegg etter første ledd skal inneholde en frist for å
rette seg etter pålegget.
§ 28 Tvangsmulkt
Ved pålegg etter § 27 kan Datatilsynet fastsette en tvangsmulkt
som løper for hver dag som går etter utløpet av den fristen som
er satt for oppfylling av pålegget, inntil pålegget er oppfylt.
Tvangsmulkten løper ikke før klagefristen er ute. Hvis
vedtaket påklages, løper ikke tvangsmulkt før klageinstansen har
bestemt det.
Datatilsynet kan frafalle påløpt tvangsmulkt.
§ 29 Overtredelsesgebyr
Datatilsynet kan pålegge den som har overtrådt denne loven
eller forskrifter i medhold av den, å betale et pengebeløp til statskassen
(overtredelsesgebyr) på inntil ti ganger grunnbeløpet i folketrygden. Fysiske
personer kan bare ilegges overtredelsesgebyr for forsettlige eller
uaktsomme overtredelser. Et foretak kan ikke ilegges overtredelsesgebyr
dersom overtredelsen skyldes forhold utenfor foretakets kontroll.
Ved vurderingen av om overtredelsesgebyr skal ilegges,
og ved utmålingen, skal det særlig legges vekt på
a) hvor alvorlig overtredelsen har krenket de
interesser loven verner,
b) graden av skyld, om overtrederen ved retningslinjer,
instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget
overtredelsen,
c) om overtredelsen er begått for å fremme overtrederens
interesser,
d) om overtrederen har hatt eller kunne ha oppnådd noen
fordel ved overtredelsen,
e) om det foreligger gjentakelse,
f) om andre reaksjoner som følge av overtredelsen blir ilagt
overtrederen eller noen som har handlet på vegne av denne, blant
annet om noen enkeltperson blir ilagt straff, og
g) overtrederens økonomiske evne.
Oppfyllelsesfristen er fire uker etter at vedtaket om overtredelsesgebyr
er endelig. Dersom et vedtak om overtredelsesgebyr bringes inn for
en domstol, kan den prøve alle sider av saken.
§ 30 Straff
Den som forsettlig eller grovt uaktsomt overtrer § 17 om
taushetsplikt eller § 18 om forbud mot urettmessig tilegnelse av
helseopplysninger, straffes med bøter eller fengsel i inntil tre
måneder.
Med bøter eller fengsel inntil ett år eller begge deler
straffes den som forsettlig eller grovt uaktsomt
a) behandler helseopplysninger uten nødvendig konsesjon
eller i strid med konsesjonsvilkår etter § 7,
b) behandler helseopplysninger i strid med § 21,
c) unnlater å informere den registrerte etter § 24, jf. personopplysningsloven
§§ 19 eller 20,
d) unnlater å gi opplysninger til tilsynsmyndighetene etter
§ 26, eller
e) unnlater å etterkomme pålegg eller overtrer vilkår fra
tilsynsmyndighetene etter § 27.
Ved særdeles skjerpende omstendigheter kan fengsel inntil
tre år idømmes. Ved avgjørelsen av om det foreligger særdeles skjerpende
omstendigheter skal det blant annet legges vekt på faren for stor
skade eller ulempe for den registrerte, den tilsiktede vinningen
ved overtredelsen, overtredelsens varighet og omfang, utvist skyld,
og om den databehandlingsansvarlige tidligere er straffet for å
ha overtrådt tilsvarende bestemmelser.
Medvirkning straffes på samme måte.
I forskrift som gis i medhold av loven, kan det fastsettes
at den som forsettlig eller grovt uaktsomt overtrer forskriften
skal straffes med bøter eller fengsel inntil ett år eller begge
deler.
§ 31 Erstatning
Den databehandlingsansvarlige skal erstatte skade som er
oppstått som følge av at helseopplysninger er behandlet i strid
med bestemmelser i eller i medhold av loven, med mindre det godtgjøres
at skaden ikke skyldes feil eller forsømmelse på den databehandlingsansvarliges
side.
Erstatningen skal svare til det økonomiske tapet som den
skadelidte er påført som følge av den ulovlige behandlingen av helseopplysningene.
Den databehandlingsansvarlige kan også pålegges å betale slik erstatning
for skade av ikke-økonomisk art (oppreisning) som synes rimelig.
Kapittel 6 Ikraftsetting m.m.
§ 32 Ikraftsetting
Loven trer i kraft fra den tid Kongen bestemmer. Fra samme
tid oppheves lov 18. mai 2001 nr. 24 om helseregistre og behandling
av helseopplysninger.
Kongen kan bestemme at de enkelte bestemmelsene i loven
skal tre i kraft til ulik tid.
§ 33 Videreføring av forskrifter
Forskrifter gitt i medhold av lov 18. mai 2001 nr. 24 om
helseregistre og behandling av helseopplysninger gjelder også etter
at loven her har trådt i kraft. Dette gjelder selv om forskriften
ikke har alle bestemmelser som kreves etter § 8 fjerde ledd.
§ 34 Endringer i andre lover
Fra den tid loven trer i kraft gjøres følgende endringer
i andre lover:
1) I lov 4. desember 1992 nr. 126 om arkiv skal
§ 9 bokstav c lyde:
kasserast. Dette forbodet går
framom føresegner om kassasjon i eller i medhald av andre lover.
Personregister eller delar av personregister kan likevel slettast
etter føresegnene i personopplysningslova, helseregisterlova og
etter føresegner i medhald av helseregisterlova §§ 8 til
12. Slik sletting kan først gjerast etter at det er innhenta
fråsegn frå Riksarkivaren.
2) I lov 5. august 1994 nr. 55 om vern mot smittsomme
sykdommer skal § 7-9 første ledd andre punktum lyde:
Nasjonalt folkehelseinstitutt
skal overvåke den nasjonale og delta i overvåkingen av den internasjonale
epidemiologiske situasjonen, utføre helseanalyser, drive
forskning på smittevernområdet og sikre nødvendig vaksineforsyning
og vaksineberedskap, herunder egen vaksineproduksjon.
3) I lov 2. juli 1999 nr. 64 om helsepersonell m.v. gjøres
følgende endringer:
§ 25 første ledd andre punktum oppheves.
§ 26 nytt andre ledd:
Ved samarbeid om behandlingsrettede helseregistre
etter pasientjournalloven § 9 kan slike opplysninger også gis til
ledelsen i samarbeidende virksomhet.
Nåverende andre og tredje ledd blir tredje og fjerde ledd.
§ 29 b skal lyde:
§ 29 b. Opplysninger til helseanalyser,
kvalitetssikring, administrasjon mv.
Departementet kan bestemme at helseopplysninger kan eller
skal gis til bruk for helseanalyser og kvalitetssikring,
administrasjon, planlegging eller styring av helse- og omsorgstjenesten,
og at det skal skje uten hensyn til taushetsplikt. Dette kan bare
skje dersom behandlingen av opplysningene er av vesentlig interesse
for samfunnet og hensynet til pasientens integritet og velferd er
ivaretatt. Graden av personidentifikasjon skal ikke være større
enn nødvendig for det aktuelle formålet. Kun i særskilte tilfeller
kan det gis tillatelse til bruk av direkte personidentifiserbare opplysninger
som for eksempel navn eller fødselsnummer. Reglene om taushetsplikt
gjelder tilsvarende for den som mottar opplysningene.
Departementet kan sette vilkår for bruken av opplysninger
etter paragrafen her.
§ 29 c skal lyde:
Med mindre pasienten motsetter seg det, kan taushetsbelagte
opplysninger etter særskilt anmodning gis til annet helsepersonell
som tidligere har ytt helsehjelp til pasienten i et konkret behandlingsforløp, for
kvalitetssikring av helsehjelpen eller egen læring. Behandlingen
av anmodningen kan automatiseres. Helsepersonell kan bare gis de
opplysninger som er nødvendige og relevante for formålet. I pasientens
journal skal det dokumenteres hvem opplysninger har blitt utlevert
til og hvilke opplysninger som har blitt utlevert, jf. § 40.
§ 45 første ledd andre punktum oppheves.
Nåværende første ledd tredje punktum blir første ledd
andre punktum.
4) I lov 20. juni 2008 nr. 44 om medisinsk og helsefaglig
forskning gjøres følgende endringer:
§ 25 femte ledd skal lyde:
Departementet kan i forskrift gi bestemmelser om opprettelse
og annen behandling av humant biologisk materiale i biobanker som
er tilknyttet helseregistre etter helseregisterloven §§ 8
til 11.
§ 33 andre ledd skal lyde:
Behandling av helseopplysninger fra helseregistre etter
helseregisterloven §§ 8 til 11 krever ikke tillatelser
etter første ledd, med mindre annet følger av forskriftene til registrene.
5) I lov 24. juni 2011 nr. 29 om folkehelsearbeid skal
§ 25 første ledd lyde:
Nasjonalt folkehelseinstitutt
skal overvåke utviklingen av folkehelsen, utarbeide oversikt over
befolkningens helsetilstand og faktorer som påvirker denne, samt utføre
helseanalyser og drive forskning på folkehelseområdet.
Oslo, i helse- og omsorgskomiteen, den 12. juni 2014
Kari Kjønaas Kjos
|
Tove Karoline Knutsen
|
leder
|
ordfører
|