Presidenten: Etter ønske fra sosialkomiteen vil presidenten foreslå at debatten begrenses til 50 minutter, og at taletiden fordeles slik på gruppene: Arbeiderpartiet 10 minutter, Sosialistisk Venstreparti 10 minutter, de øvrige grupper 5 minutter hver.
Videre vil presidenten foreslå at det gis anledning til replikkordskifte på inntil fem replikker med svar etter innlegg fra medlemmer av Regjeringen.
Videre foreslås det at de som måtte tegne seg på talerlisten utover den fordelte taletid, får en taletid på inntil 3 minutter. – Det anses vedtatt.
Olav Gunnar Ballo (SV) (ordfører for saken): Det har i de siste 20 årene vært nedsatt en rekke forskjellige arbeidsgrupper og utvalg for å vurdere ulike sider som drift, organisering og ansvarsforhold, hjemmelsspørsmål o.l. for de epidemiologiske registrene i Norge. Av utvalg som har behandlet spørsmål i tilknytning til helseregistre, kan nevnes Lerche-utvalget, Hellandsvik-utvalget, delrapport nr. 6, og NOU 1993:22 Pseudonyme helseregistre. Også Sosial- og helsedepartementets IT-plan samt NOU 1997:26 Tilgang til helseregistre kan nevnes.
I november 1998 sendte Sosial- og helsedepartementet utkast til lov om helseregistre og elektronisk behandling av helseopplysninger ut på høring. Det innkom 101 svar på høringsbrevet. Mange av de høringsuttalelsene som kom, kan være preget av at det er en til dels komplisert lov, at det kan være vanskelig å fange opp en del av de sentrale problemstillingene. Men både i forbindelse med høringene og senere, da departementet la fram sin endelige proposisjon overfor Stortinget, er det særlig hensynet til personvernet som har vært vektlagt. I forbindelse med høring i sosialkomiteen har vi sett at det har kommet innvendinger som har vært ganske likelydende, eller som i hvert fall har trukket i samme retning, fra så vel Datatilsynet og tidligere leder av utvalget som avgav NOU 1993:22, Erik Boe, som fra Den norske lægeforening.
Da sosialkomiteen startet sitt arbeid med foreliggende proposisjon, viste det seg underveis at det var vilje til å ta hensyn til de innvendingene som var kommet, og at man ønsket å se på endringer i forhold til det som Regjeringen hadde foreslått. Dette er altså et forslag fra den foregående regjering som den sittende regjering har sluttet seg til, man har ikke trukket proposisjonen tilbake.
Komiteen har i sine merknader påpekt at det foreliggende utkast til lov om helseregister og behandling av personopplysninger klargjør hjemmelen for eksisterende helseregistre. Komiteen er kjent med at en slik klargjøring tidligere har vært etterlyst fra flere hold som ledd i å sikre gode retningslinjer for databaserte personopplysninger, og komiteen påpeker også samlet det positive i at lovutkastet ivaretar dette behovet.
Komiteen mener generelt at det skal stilles strengere krav til å godta opprettelse av et helseregister for forvaltningen enn for helsetjenesten. Fordi forvaltningens behov for informasjon ut fra ønsket om bedre forebyggingsstrategier egentlig ikke har noen grenser, kan i prinsippet hele befolkningens livsførsel registreres. Etter komiteens oppfatning bør en derfor være tilbakeholden med å opprette slike registre. De bør være avidentifiserte eller pseudonymiserte slik at ingen risikerer at opplysninger om ens livsstil og livsførsel kommer på avveie.
Jeg vil i tillegg trekke fram at komiteen har anmerket at det i Ot.prp. nr. 5 for 1999-2000 foreslås at Stortinget skal gi fullmakt til at registre på sentrale, regionale og lokale nivåer kan etableres ved forskrift, jf. §§ 7 og 8 i lovutkastet. I samme forskrift kan det bestemmes at innsamlingen av helseopplysninger skal gjøres selv om den registrerte ikke har samtykket, jf. § 9.
Med bakgrunn i de innvendinger som komiteen har til den innretningen man har gitt lovutkastet, har man kommet med forslag til endringer på vesentlige punkter i forhold til det som Regjeringen foreslår.
Man har også hatt innvendinger mot formålsparagrafen slik den opprinnelig var utformet, fordi den todelingen som formålsparagrafen i utgangspunktet hadde, kunne virke uklar med hensyn til om det sentrale var å registrere helseopplysningene, eller om det sentrale også var å ivareta personvernet. Så det formålet som komiteen nå foreslår, integrerer begrepet «personvern» mer sentralt i formålsbeskrivelsen.
Fordi det har vært sentralt for komiteen å få til at det skal være Stortinget som for registre som ikke er avanonymisert, bestemmer hva slags registre man skal ha, har man også kommet med endringer knyttet til definisjonene i § 2. Man har der tatt inn et begrep som var brukt av Erik Boe i 1993 i forbindelse med hans offentlige utredning om pseudonyme helseopplysninger, og definert begrepet. Man har også tatt inn begrepet både i merknadene og ellers i lovteksten der det har vært nødvendig for å sidestille det med andre måter å registrere opplysninger på.
I tillegg har komiteen forandret på begrepet «behandlingsrettet helseregister», slik at man ikke lenger snakker om at journaler/arkiver i egentlig forstand er en del av det behandlingsrettede helseregisteret, men at det er selve journal- og informasjonssystemet som muliggjør uttak av de opplysninger som er en del av det behandlingsrettede helseregisteret.
Komiteen har også endret på § 5 ut fra de endringene som skjer i §§ 7, 8 og 9, der man understreker at det er Stortingets ansvar å stå for opprettelsen av helseregistre som ikke er avanonymisert. De sentrale endringene kommer spesielt i §§ 7 og 8. Det slås fast i § 7 at det «kan ikke etableres andre regionale og lokale helseregistre med helseopplysninger enn det som følger av denne eller annen lov», slik at man ikke lenger åpner for opprettelse av det via forskrift. Det samme gjelder for de sentrale helseregistrene, der man har tatt inn i første ledd: «Det kan ikke etableres andre sentrale helseregistre med helseopplysninger enn det som følger av denne eller annen lov.»
I samme paragraf har komiteen listet opp de registrene som er tatt inn, og presisert hvert enkelt av de gjeldende registrene. Således er presisert Dødsårsaksregisteret, Kreftregisteret, Medisinsk fødselsregister, Meldesystemet for infeksjonssykdommer, Det sentrale tuberkuloseregisteret og System for vaksinasjonskontroll.
Det foreligger også i § 9 endringer ut fra de endringene som er gjort i §§ 7 og 8, for å samstemme loven. Det samme gjelder for en del andre paragrafer i loven, slik at det samlet sett er gjort ganske betydelige endringer ut fra de innvendinger som er kommet, og som altså har fått gjennomslag.
Jeg vil berømme komiteen samlet for at man får til disse endringene, og for at det er en samlet komite som står bak det lovforslaget som nå foreligger. Det må fremstå som en styrke å kunne bidra til at befolkningen føler seg trygg for at når helseopplysningene skal brukes, eventuelt innhentes fra journaler, så skjer det på en måte som ivaretar personvernet og ikke virker krenkende, og samtidig at innsamling av opplysninger skjer på en måte som er tjenlig, slik at det kan bidra til å styrke folkehelsen og kartlegge eventuelle sykdommer i befolkningen. Sånn sett tror jeg vi alle i dag kan si oss fornøyd med at vi har fått en god lov, en lov som vil være tjenlig for det formålet den er tenkt brukt til.
Marit Nybakk hadde her overtatt presidentplassen.
Asmund Kristoffersen (A): Dersom vi skal få gode helsetjenester, trenger både de som planlegger helsetilbudene, og de som utfører helsetjenestene, god kunnskap om årsak til sykdom og nedsatt helse, kunnskap om hva som holder oss friske, og hvilke behandlingsmetoder som er effektive. Noe av grunnlaget for å få dette til er å samle opplysninger om befolkningens sykdommer. Kreftregisteret som vi har i dag, er en slik samling av opplysninger som gir helsepersonell og forskere bedre muligheter for å finne årsaker til sykdom, utvikle gode behandlingsmetoder og gi svar på forebyggingsmuligheter som kan fremme god helse.
Utviklingen innenfor informasjonsteknologien vil trolig medføre at vi i framtiden kommer til å registrere flere helseopplysninger enn tidligere, også opplysninger som kan samles i registre for en stor gruppe mennesker. Nå vil Stortinget vedta en lov som regulerer dette, for hittil finnes bare spredte bestemmelser i helselovgivningen på dette området. Det er derfor viktig at grunnlaget for innsamling av helseopplysninger, registrering, oppbevaring og bruk av slike opplysninger reguleres i én lov. Dette gir bedre mulighet til å behandle helseopplysninger i samsvar med grunnleggende verdier og ufravikelige krav til personvern, samtidig som den enkelte av oss skal ha full innsynsrett i hvordan våre helseopplysninger behandles. På dette grunnlag kan en gjennom å opprette registre over enkelte sykdomsgrupper få kunnskap om befolkningens helseforhold, årsaken til nedsatt helse og utvikling av sykdom, som en da kan bruke i forskning, planlegging, kvalitetssikring, statistikk og styring.
Som saksordføreren var inne på, har komiteen hatt en grundig behandling av saken. Ett sentralt tema var spørsmålet om hvem som skulle kunne opprette registre – Stortinget eller Kongen i statsråd. Det var i Regjeringens forslag lagt opp til og i komiteen enighet om at Kongen i statsråd kan gi forskrift om etablering av helseregistre i de tilfeller der personopplysninger er avidentifisert eller pseudonymisert. Det samme gjelder i tilfeller der det er samtykke fra den registrerte. Det er viktig å understreke at samtykke er hovedregelen. Det vil si at navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn bare kan behandles etter samtykke fra den registrerte. Videre er det grunn til å understreke at det alltid skal være angitt et klart formål med behandlingen av helseopplysninger, dvs. oppretting av helseregistre.
Utfordringen i komitearbeidet var, som tidligere nevnt, hvorvidt også Kongen i statsråd skulle ha fullmakt til å opprette helseregistre i de tilfeller hvor det ikke er så lett å få til avidentifisering, pseudonymisering eller annen form for anonymisering av personopplysninger. I proposisjonen var det lagt opp til at dette skulle skje ved Kongen i statsråd, men komiteen stod samlet om at Stortinget i disse tilfellene er det organ som skal ta stilling til oppretting av slike nye registre. Det kan synes vel omstendelig, og erfaringene i framtiden vil vise om dette er en hensiktsmessig og nødvendig lovgivning og eventuelt praksis. Konsekvensene av denne forandringen i forhold til proposisjonen har saksordføreren gjort greie for på en fullt ut god måte.
Jeg er svært tilfreds med at de helseregistrene vi har i dag, skal kunne bestå som nå. Det er meget viktig både for kvalitetssikringen i helsevesenet og for forskning, helseadministrasjon og forebyggende helsearbeid. Jeg synes også det er viktig, som saksordføreren understreket, at vi nå har fått en lov som en samlet komite og forhåpentligvis også et samlet odelsting står bak. Det vil gjøre det enklere å tolke og praktisere loven. Med det synes jeg komiteen har gjort et godt arbeid.
Are Næss (KrF): Det lovforslaget vi nå behandler, er viktig og angår egentlig oss alle. Lovforslaget om helseregistre og behandling av helseopplysninger har et tosidig formål: Loven skal bidra til å gi helsetjenestene og helseforvaltningen informasjon og kunnskap, bl.a. om befolkningens helseforhold og årsaker til nedsatt helse og utvikling av sykdom. Samtidig skal loven sikre personvernet. Lovforslaget ble fremmet av sentrumsregjeringen og er ikke trukket tilbake av arbeiderpartiregjeringen.
Komiteen har nedlagt et grundig arbeid, noe ikke minst saksordføreren har æren for. Det kan derfor se ut som om komiteens innstilling i betydelig grad avviker fra det opprinnelige lovforslaget. Det er imidlertid ikke riktig. Det er nemlig spesielt ett forhold som komiteen har ønsket å endre i forhold til proposisjonen, og det er at helseregistre med personidentifiserbare helseopplysninger ikke skal kunne opprettes gjennom forskrift, men skal behandles i Stortinget. Slike registre hvor helseopplysninger kan føres tilbake til enkeltpersoner, bør ikke opprettes uten at man har hatt en forsvarlig gjennomgang av formålet med og behovet for et slikt register. Dette hensyn ivaretas etter Kristelig Folkepartis mening best gjennom en åpen politisk behandling. Når det gjelder øvrige typer registre, der opplysningene er behandlet på en måte som gjør at de ikke kan tilbakeføres til enkeltpersoner, er det ingen grunn til å kreve tilsvarende behandling.
Etter Kristelig Folkepartis mening har loven fått en god balanse mellom enkeltmenneskets personverninteresse og samfunnets behov for opplysninger som kan føre til kunnskap om sykdom og behandling, noe som i siste instans vil komme alle til gode. En samvittighetsfull registrering gir oss gode holdepunkter for kunnskap om sykdommers utbredelse og forekomst, noe som igjen kan gi grunnlag for tiltak for å motvirke disse sykdommene. I tillegg kan vi få opplysninger knyttet til behandlingsmetoder og medikamentbruk, noe som kan avsløre både positive og negative effekter. Helseregistre er et viktig redskap for folkehelsen.
Helseregistre bør mest mulig baseres på samtykke og frivillighet, og er derfor avhengig av tillit i befolkningen. Med vår tids elektroniske databehandling er det en vanskelig, men svært viktig oppgave å sikre at informasjonen er korrekt, relevant og nødvendig for registrets oppgaver. Etter min mening ivaretar lovforslaget dette hensynet på en god måte. Jeg ser det også som betryggende at komiteen står samlet om denne loven. Riktignok mener Kristelig Folkeparti, Høyre, Senterpartiet og Sosialistisk Venstreparti at det ikke er grunn til å endre § 2-3 i smittevernloven, slik proposisjonen og komiteflertallet foreslår. Dette oppleves neppe som dramatisk, verken av flertallet eller mindretallet.
Annelise Høegh (H): Siktemålet med den andre av lovene vi skal vedta i dag, er å legge til rette for god informasjonssikkerhet ved behandling av helseopplysninger. Vi får, som flere har vært inne på, gjennom denne loven en klargjort hjemmel for de eksisterende helseregistrene, vi får en lov for helseregistre og behandling av helseopplysninger. Det er positivt både for pasientene og for samfunnet.
I likhet med hele komiteen – saksordføreren var inne på det tidligere – mener jeg det er viktig at vi understreker at det skal stilles strengere krav til å godta opprettelse av helseregistre for forvaltningen enn for helsetjenesten. Forvaltningen kan nok føle at den har mange behov, men forvaltningens behov må komme i annen rekke i forhold til å sikre personverninteressene, mens helsetjenesten jo er mer avhengig av det for å kunne gi god og kvalitetssikret behandling. I prinsippet kan jo forvaltningen, gjennom å vise til å finne frem til bedre forebyggingsstrategier, nærmest ha interesse av, ønske om og behov for å registrere alt vi gjør fra vugge til grav. Det ønsker ikke jeg, av grunner jeg ikke skal komme nærmere inn på her, men i alle fall bør slike registre være avidentifisert eller pseudonymisert når de blir opprettet.
Det er, synes jeg, meget gledelig at det er så å si full enighet i komiteen om de endringer vi gjør, slik at vi får et formål for loven som integrerer de to hovedhensynene som loven har, å bidra til å gi helsetjenesten og forvaltningen informasjon og kunnskap slik at helsetjenesten kan gis på en forsvarlig og effektiv måte, og å ivareta personvernet. Disse to hensyn er nå sterkere integrert i formålsparagrafen enn de i alle fall etter Høyres syn var i utkastet i proposisjonen.
I utgangspunktet var lovforslaget i proposisjonen en ren fullmaktslov. Jeg har sjelden sett et lovforslag som så til de grader inviterte Stortinget til bare å gi departementet fullmakter til på dette området å gjøre det de syntes var fornuftig, enten det gjaldt sentrale, regionale eller lokale registre. Selv med personidentifiserbare opplysninger, og selv om den registrerte ikke hadde gitt sitt samtykke, skulle Stortinget bare gi departementet fullmakt til å gjøre dette når de fant det for godt. Det er her at Stortingets viktigste endring slår inn. Selv om det er dette ene som slår igjennom av alle de endringene vi har gjort, så ville jeg nok ikke ha formulert meg akkurat som Are Næss gjorde, og si at det ikke var så mange endringer. Det er endring i det helt betydelige og sentrale, og da spiller det ingen rolle hvor mange endringer det er. Vi har gjort en betydelig endring av denne loven, og det er jeg på Høyres vegne svært fornøyd med. Jeg er også ganske sikker på at Asmund Kristoffersen ikke vil få rett i at dette blir en svært omstendelig måte å gjøre det på. Når vi får Stortinget inn på denne måten, sikrer det en større bredde i den demokratiske prosessen, en større bredde ved at vi får folkevalgt medansvar i å opprette personidentifiserbare helseregistre. For det er jo det vi innskrenker oss til – men det er viktig.
Når Høyre har gått i bresjen for å endre det lovforslaget som ble lagt frem, fra en fullmaktslov til en lov som krever lovfestet personidentifiserbare registre, er det ikke fordi vi er motstandere av slike registre. Tvert imot. Jeg har selv tatt initiativ til og fått flertall for her i salen å opprette et såkalt ms-register, til stor glede, tror jeg, både for pasientene, for helsepersonellet og for forskerne, og sannsynligvis også for helseforvaltningen. Jeg mener at vi trenger flere personidentifiserbare sykdomsregistre for å kvalitetssikre behandling og diagnostikk, men de skal opprettes etter høring med de berørte og etter vedtak i Stortinget.
Med den loven vi nå er invitert til å vedta, slutter jeg meg til saksordførerens konklusjon. Vi får en god lov som vil være tjenlig så vel for pasientene som for helsetjenesten, for helseforvaltningen og for forskningen.
Harald T. Nesvik (Frp): Da utkastet til denne loven ble fremlagt, skapte det en viss debatt, og da særlig om hvem det var som skulle kunne opprette sentrale helseregistre. Utgangspunktet for loven var at man ved hjelp av forskrifter skulle kunne regulere hvilke registre som skulle kunne opprettes. Dette var det mange som var uenig i, da en mente at det var Stortinget som måtte opprette disse registrene med personopplysninger, dersom det skal utløse opplysningsplikt fra helsepersonell uten tillatelse fra den opplysningene gjelder. Det er derfor gledelig at det er en samlet komite som står bak at det i disse tilfellene er Stortinget som skal ta konkret stilling til en slik eventuell opprettelse av denne type helseregistre.
Komiteen legger videre i innstillingen stor vekt på at personvernet må ivaretas på en best mulig måte. Slik Fremskrittspartiet ser det, er lovens formålsparagraf en sikkerhet for at dette vil kunne bli fulgt opp på en god måte. Det heter bl.a. der:
«Loven skal sikre at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på helseopplysninger.»
Det må innrømmes at dette har vært en meget vanskelig sak med en rekke forskjellige avveininger, det være seg spørsmål om hvem som skal kunne opprette registrene, i hvor stor grad en skal ta hensyn til eventuelle synspunkter fra Datatilsynet, og ikke minst hvordan en skal kunne klare å ivareta personvernet til den enkelte på en best mulig måte.
Dette er slik Fremskrittspartiet ser det, nå ivaretatt på en god måte i komiteens innstilling til Odelstinget.
Statsråd Tore Tønne: Det er et viktig lovforslag som nå behandles. Jeg er derfor glad for at innstillingen fra sosialkomiteen til Odelstinget er enstemmig.
Formålet med loven er å legge til rette for sikker informasjonsutveksling og oppbygging av kunnskap i helseforvaltningen og helsetjenesten uten å krenke personvernet, slik at helsehjelp kan gis på en forsvarlig og effektiv måte. Gjennom forskning og statistikk skal loven bidra til kunnskap om befolkningens helseforhold, årsaker til nedsatt helse og utvikling av sykdom for administrasjon, kvalitetssikring, planlegging og styring.
Loven skal bidra til å ivareta et sterkt pasientvern så vel som personvern. Hensynet til personvernet må stå sterkt ved all behandling av helseopplysninger, både fordi helseopplysninger er følsomme, og fordi disse opplysningene springer ut av et tillitsforhold mellom pasient og behandlende helsepersonell.
Personopplysningsloven gjelder for all behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler og for personregistre. Helseregisterloven er en spesiallov i forhold til personopplysningsloven. Et sammenhengende lovverk for elektronisk behandling av helseopplysninger og etablering av helseregistre er viktig for å få oversikt i informasjonsutvekslingen i helseforvaltningen og helsetjenesten, og for den registrertes muligheter til å følge med på hvordan opplysninger om dem selv blir behandlet.
Loven rydder opp i hjemmelsgrunnlaget for dagens sentrale helseregistre, og gir det lovmessige grunnlag for videreføring av dagens praksis ved disse. Det foreslås at disse registrene skal reguleres i forskrift, som vedtas av Kongen i statsråd, og etter at Datatilsynet er hørt.
Loven stiller strenge krav for etablering av nye helseregistre i helseforvaltningen. Innstillingen fra sosialkomiteen er innskjerpet i forhold til forslaget i odelstingsproposisjonen. Jeg er innforstått med og enig i denne innskjerpingen. Nye helseregistre kan bare etableres med navn, fødselsnummer og andre direkte personidentifiserbare opplysninger dersom den registrerte samtykker. Et unntak fra dette kan bare treffes av Stortinget ved lovvedtak.
Eventuelle nye helseregistre som ikke forutsetter samtykke fra den registrerte, skal være avidentifiserte eller pseudonyme. Det må være et mål å finne registerløsninger som i rimelig grad tilgodeser folkehelsen uten å krenke personvernet. Jeg slutter meg til komiteens syn om at helseregistre med avidentifiserte eller pseudonyme helseopplysninger bidrar til å ivaretar hensynet til personvernet. Ved å kreve stortingsbehandling før nye registre etableres uten samtykke, sikres en demokratisk prosess med nødvendige avveininger mellom hensynet til behovet for registre og hensynet til personvern.
Informasjon og innsynsrett for den registrerte er et viktig prinsipp i helseregisterloven. Loven gir den registrerte en mer omfattende innsynsrett i opplysninger om en selv enn det personopplysningsloven gjør, idet helseregisterloven også gir rett til innsyn i personidentifiserbare opplysninger som bare brukes til historiske, statistiske eller vitenskapelige formål. I tillegg kan den registrerte etter helseregisterloven lettere få slettet eller sperret opplysninger om seg selv, dersom de føles belastende for den registrerte.
Loven regulerer også elektroniske journaler og informasjonssystemer. Pasientadministrative systemer som i dag er konsesjonsbasert, omfattes av helseregisterloven for å sikre den registrertes rettigheter.
Den elektroniske pasientjournalen er nær knyttet til helsepersonells yrkesutøvelse, og rettsgrunnlaget for elektroniske pasientjournaler, helsepersonells dokumentasjonsplikt, taushetsplikt etc. hører naturlig hjemme i helsepersonelloven. Det elektroniske systemet reguleres imidlertid også av helseregisterloven ved at loven gir adgang til å sette krav til sikkerhet i forhold til databaserte journalsystemer. Etter helseregisterloven kan det stilles krav til standarder og programvare, krav til elektronisk signatur, kommunikasjon, klassifikasjonssystemer og kodeverk. Disse forhold er av stor betydning for satsingen på IT innen helsesektoren og muligheten til å pålegge alle nivåer i helsetjenesten å bruke kompatible systemer m.m.
Datatilsynet skal føre tilsyn med at lov og forskrifter etterleves på det personvernfaglige området. Statens helsetilsyn skal føre tilsyn med det helsefaglige området.
Dersom det oppstår skade som følge av at helseopplysninger er behandlet i strid med loven, skal denne erstattes. Det innføres klare straffebestemmelser for brudd på loven.
Oppsummeringsvis vil jeg si at lovforslaget som her legges fram, legger gode rammebetingelser for at lovens formål – effektiv og forsvarlig helsehjelp til den enkelte – skal kunne oppfylles.
Presidenten: Det blir replikkordskifte.
Olav Gunnar Ballo (SV): Når vi til slutt er enige om det meste, skal man naturligvis ikke plage med intrikate spørsmål, og det er egentlig ikke noe ønske om å være intrikat heller.
Men som det var påpekt i sted, har mindretallet – og SV tilhører det mindretallet – foreslått at man ikke skal foreta endringer i smittevernloven, fordi man mener at man bør behandle smittevernloven som andre lover, og når man får et system knyttet til lov om helseregistre, kan det synes ulogisk at den skal særbehandles. Jeg spør – jeg hadde nær sagt av nysgjerrighet – fordi jeg har litt vansker med å oppfatte hva som ligger i det flertallssynet at det er nødvendig å endre § 2-3 i smittevernloven. Jeg har absolutt en viss forståelse for det hvis det vil være vanskelig for helseministeren å redegjøre for det, for jeg synes spørsmålet er komplisert – jus er komplisert. Og dette er ikke noe forsøk på å sette helseministeren fast. Det understreker jeg.
Statsråd Tore Tønne: Siden representanten Ballo ikke liker å stille intrikate spørsmål, og ikke ønsker å sette helseministeren fast, hadde jeg selvfølgelig foretrukket at han ikke hadde interpellert i sakens anledning heller. Og siden han spesielt ber om en forklaring på flertallets begrunnelse for saken, foretrekker jeg å få anledning til å sette meg bedre inn i flertallsbegrunnelsen før jeg kommer tilbake til representanten Ballo med et intrikat svar på et intrikat spørsmål.
Presidenten: Flere har ikke bedt om ordet til replikk.
Flere har heller ikke bedt om ordet til sak nr. 2.
(Votering, se side 394)
Gunnar Skaug overtok her presidentplassen.
Votering i sak nr. 2
Komiteen hadde innstillet til Odelstinget å gjøre
slikt vedtak til
lov
om helseregistre og behandling av
helseopplysninger (helseregisterloven)
Kapittel 1 Lovens formål, definisjoner og
virkeområde
§ 1 Lovens
formål
Formålet med denne lov er å bidra
til å gi helsetjenesten og helseforvaltningen informasjon
og kunnskap uten å krenke personvernet, slik at helsehjelp
kan gis på en forsvarlig og effektiv måte. Gjennom
forskning og statistikk skal loven bidra til informasjon og kunnskap
om befolkningens helseforhold, årsaker til nedsatt helse
og utvikling av sykdom for administrasjon, kvalitetssikring, planlegging
og styring. Loven skal sikre at helseopplysninger blir behandlet
i samsvar med grunnleggende personvernhensyn, herunder behovet for
personlig integritet, privatlivets fred og tilstrekkelig kvalitet
på helseopplysninger.
§ 2 Definisjoner
I denne loven forstås med:
1 helseopplysninger: taushetsbelagte
opplysninger i henhold til helsepersonelloven § 21 og andre
opplysninger og vurderinger om helseforhold eller av betydning for helseforhold,
som kan knyttes til en enkeltperson,
2 avidentifiserte helseopplysninger: helseopplysninger der
navn, fødselsnummer og andre personentydige kjennetegn
er fjernet, slik at opplysningene ikke lenger kan knyttes til en
enkeltperson, og hvor identitet bare kan tilbakeføres ved
sammenstilling med de samme opplysninger som tidligere ble fjernet,
3 anonyme opplysninger: opplysninger der navn, fødselsnummer
og andre personentydige kjennetegn er fjernet, slik at opplysningene
ikke lenger kan knyttes til en enkeltperson,
4 pseudonyme helseopplysninger: helseopplysninger der identitet
er kryptert eller skjult på annet vis, men likevel individualisert
slik at det lar seg gjøre å følge hver
person gjennom helsesystemet uten at identiteten røpes,
5 behandling av helseopplysninger: enhver formålsbestemt
bruk av helseopplysninger, som f.eks. innsamling, registrering,
sammenstilling, lagring og utlevering eller en kombinasjon av slike
bruksmåter,
6 helseregister: registre, fortegnelser, m.v. der helseopplysninger
er lagret systematisk slik at opplysninger om den enkelte kan finnes
igjen,
7 behandlingsrettet helseregister: journal- og informasjonssystem
eller annet helseregister som har til formål å gi
grunnlag for handlinger som har forebyggende, diagnostisk, behandlende,
helsebevarende eller rehabiliterende mål i forhold til
den enkelte pasient og som utføres av helsepersonell, samt
administrasjon av slike handlinger,
8 databehandlingsansvarlig: den som bestemmer formålet
med behandlingen av helseopplysningene og hvilke hjelpemidler som
skal brukes, hvis ikke databehandlingsansvaret er særskilt
angitt i loven eller i forskrift i medhold av loven,
9 databehandler: den som behandler helseopplysninger på vegne
av den databehandlingsansvarlige,
10 registrert: den som helseopplysninger kan knyttes til,
11 samtykke: en frivillig, uttrykkelig og informert erklæring
fra den registrerte om at han eller hun godtar behandling av helseopplysninger
om seg selv.
§ 3 Saklig
virkeområde
Loven gjelder for
1 behandling av helseopplysninger i
helseforvaltningen og helsetjenesten som skjer helt eller delvis
med elektroniske hjelpemidler for å fremme formål
som beskrevet i § 1, og
2 annen behandling av helseopplysninger i helseforvaltningen
og helsetjenesten til slike formål, når helseopplysningene
inngår eller skal inngå i et helseregister.
Loven gjelder både offentlig og privat
virksomhet.
Kongen i Statsråd kan i forskrift
bestemme at loven helt eller delvis skal gjelde for behandling av
helseopplysninger utenfor helseforvaltningen og helsetjenesten for å ivareta
formål som beskrevet i § 1.
Det som er fastsatt for fylkeskommuner i denne
lov, gjelder også for Oslo kommune.
§ 4 Geografisk
virkeområde
Loven gjelder for databehandlingsansvarlige
som er etablert i Norge. Kongen kan i forskrift bestemme at loven
helt eller delvis skal gjelde for Svalbard og Jan Mayen, og kan
fastsette særlige regler om behandling av helseopplysninger
for disse områdene.
Loven gjelder også for databehandlingsansvarlige som
er etablert i stater utenfor EØS-området, dersom den databehandlingsansvarlige
benytter hjelpemidler i Norge. Dette gjelder likevel ikke dersom
hjelpemidlene bare brukes til å overføre helseopplysninger
via Norge.
Databehandlingsansvarlige som nevnt i annet
ledd, skal ha en representant som er etablert i Norge. Bestemmelsene
som gjelder for den databehandlingsansvarlige, gjelder også for
representanten.
Kapittel 2 Tillatelse til å behandle helseopplysninger, etablering
av helseregistre, innsamling av opplysninger, meldingsplikt m.m.
§ 5 Behandling
av helseopplysninger, konsesjonsplikt m.m.
Helseopplysninger kan bare behandles elektronisk
når dette er tillatt etter personopplysningsloven §§ 9
og 33, eller følger av lov og behandlingen ikke er forbudt
ved annet særskilt rettsgrunnlag. Det samme gjelder annen behandling
av helseopplysninger, dersom opplysningene inngår eller
skal inngå i et helseregister.
Konsesjonsplikt etter personopplysningsloven § 33 gjelder
ikke for behandling av helseopplysninger som skjer med hjemmel i
forskrift etter §§ 6 til 8.
Før helseopplysninger innhentes for
behandling etter første ledd, skal samtykke fra den registrerte
foreligge, hvis ikke annet er bestemt i eller i medhold av lov.
Pasientrettighetsloven §§ 4-3
til 4-8 gjelder tilsvarende for samtykke etter denne lov. Barn mellom
12 og 16 år kan selv treffe beslutning om samtykke, dersom
pasienten av grunner som bør respekteres, ikke ønsker
at opplysningene gjøres kjent for foreldrene eller andre med
foreldreansvar.
§ 6 Behandlingsrettet
helseregister
Behandlingsrettede helseregistre kan føres
elektronisk. Det skal fremgå av registeret hvem som har
registrert opplysningene. Dette kan gjøres ved hjelp av
elektronisk signatur eller tilsvarende sikker dokumentasjon.
Fylkeskommune, kommune og annen offentlig eller privat
virksomhet som tar i bruk behandlingsrettede helseregistre, er databehandlingsansvarlig
for opplysningene. Fylkeskommunen og kommunen kan delegere databehandlingsansvaret.
Kongen kan i forskrift gi nærmere
bestemmelser om behandling av helseopplysninger i behandlingsrettede helseregistre,
herunder om godkjenning av programvare og andre forhold som nevnt
i § 16 fjerde ledd.
§ 7 Regionale
og lokale helseregistre
Det kan ikke etableres andre regionale og lokale
helseregistre med helseopplysninger enn det som følger
av denne eller annen lov.
Kongen i Statsråd kan i forskrift
gi nærmere bestemmelser om etablering av regionale helseregistre
og behandling av helseopplysninger i regionale helseregistre for
ivaretakelse av oppgaver etter smittevernloven, spesialisthelsetjenesteloven
og tannhelsetjenesteloven. Navn, fødselsnummer eller andre
direkte personidentifiserende kjennetegn kan bare behandles etter
samtykke fra den registrerte. Samtykke fra den registrerte er ikke
nødvendig, dersom det i forskriften bestemmes at helseopplysningene
bare kan behandles i pseudonymisert eller avidentifisert form. Forskriften
skal angi formålet med behandlingen av helseopplysningene,
hvilke opplysninger som kan behandles, og eventuelt nærmere
regler om hvem som skal foreta pseudonymiseringen og prinsipper
for hvordan det skal gjøres. Fylkeskommunen er databehandlingsansvarlig
for opplysningene, med mindre noe annet er bestemt i forskriften.
Databehandlingsansvaret kan delegeres.
Kongen i Statsråd kan i forskrift
gi nærmere bestemmelser om etablering av lokale helseregistre
og behandling av helseopplysninger i lokale helseregistre for ivaretakelse
av oppgaver etter kommunehelsetjenesteloven og smittevernloven.
Navn, fødselsnummer eller andre direkte personidentifiserende
kjennetegn kan bare behandles etter samtykke fra den registrerte.
Samtykke fra den registrerte er ikke nødvendig, dersom
det i forskriften bestemmes at helseopplysningene bare kan behandles
i pseudonymisert eller avidentifisert form. Forskriften skal angi
formålet med behandlingen av helseopplysningene, hvilke
opplysninger som kan behandles, og eventuelt nærmere regler
om hvem som skal foreta pseudonymiseringen og prinsipper
for hvordan det skal gjøres. Kommunen er databehandlingsansvarlig
for opplysningene, med mindre noe annet er bestemt i forskriften.
Databehandlingsansvaret kan delegeres.
§ 8 Sentrale
helseregistre
Det kan ikke etableres andre sentrale helseregistre med
helseopplysninger enn det som følger av denne eller annen
lov.
Kongen i Statsråd kan i forskrift
gi nærmere bestemmelser om etablering av sentrale helseregistre
og behandling av helseopplysninger i sentrale helseregistre for ivaretakelse
av oppgaver etter apotekloven, kommunehelsetjenesteloven, tannhelsetjenesteloven,
smittevernloven og spesialisthelsetjenesteloven, herunder
overordnet styring og planlegging av tjenestene, kvalitetsutvikling, forskning
og statistikk. Navn, fødselsnummer eller andre direkte
personidentifiserende kjennetegn kan bare behandles etter samtykke
fra den registrerte. Samtykke fra den registrerte er ikke nødvendig,
dersom det i forskriften bestemmes at helseopplysningene bare kan
behandles i pseudonymisert eller avidentifisert form. Forskriften skal
eventuelt fastsette nærmere regler om hvem som skal foreta
pseudonymiseringen og prinsipper for hvordan det skal gjøres.
I følgende registre kan navn, fødselsnummer
og andre direkte personidentifiserende kjennetegn behandles uten samtykke
fra den registrerte i den utstrekning det er nødvendig
for å nå formålet med registeret:
1 Dødsårsaksregisteret
2 Kreftregisteret
3 Medisinsk fødselsregister
4 Meldesystemet for infeksjonssykdommer
5 Det sentrale tuberkuloseregisteret
6 System for vaksinasjonskontroll (SYSVAK)
Kongen i Statsråd kan i forskrift
gi nærmere bestemmelser om behandlingen av helseopplysningene
i helseregistrene.
Forskriftene etter annet og tredje ledd skal
angi formålet med behandlingen av helseopplysningene og
hvilke opplysninger som skal behandles. Forskriften skal videre
angi hvem som er databehandlingsansvarlig for opplysningene.
Databehandlingsansvaret kan delegeres. Forskriftene bør
også gi bestemmelser om den databehandlingsansvarliges
plikt til å gjøre data tilgjengelig for at formålene
kan nås.
§ 9 Særlig
om innsamling av helseopplysninger til sentrale, regionale og lokale
helseregistre, meldingsplikt m.v.
Virksomheter og helsepersonell som tilbyr eller
yter tjenester i henhold til apotekloven, kommunehelsetjenesteloven,
smittevernloven, spesialisthelsetjenesteloven eller tannhelsetjenesteloven,
plikter å utlevere eller overføre opplysninger
som bestemt i forskrifter etter §§ 7
og 8 samt etter paragrafen her.
Kongen kan gi forskrifter om innsamling av
helseopplysninger etter §§ 7 og 8, herunder
bestemmelser om hvem som skal gi og motta opplysningene og om frister, formkrav
og meldingsskjemaer. Den som mottar opplysningene, skal varsle avsenderen
av opplysningene dersom opplysningene er mangelfulle.
§ 10 Særlig
om plikt til å innrapportere data til statistikk
Departementet kan i forskrift eller ved enkeltvedtak pålegge
fylkeskommuner og kommuner å innrapportere avidentifiserte
eller anonyme data til statistikk, herunder gi nærmere
regler om bruk av standarder, klassifikasjonssystemer og kodeverk.
Kapittel 3 Alminnelige bestemmelser om behandling av
helseopplysninger
§ 11 Krav
til formålsbestemthet, saklighet, relevans m.v.
Enhver behandling av helseopplysninger skal
ha et uttrykkelig angitt formål som er saklig begrunnet
i den databehandlingsansvarliges virksomhet. Den databehandlingsansvarlige
skal sørge for at helseopplysningene som behandles, er
relevante og nødvendige for formålet med behandlingen
av opplysningene.
Helseopplysninger kan bare anvendes til andre
formål enn helsehjelp til den enkelte pasient eller administrasjon av
slik hjelp når personidentifisering er nødvendig
for å fremme disse formålene. Det skal alltid
begrunnes hvorfor det er nødvendig å benytte personidentifiserbare
opplysninger. Tilsynsmyndigheten kan i medhold av § 31
kreve at den databehandlingsansvarlige legger frem begrunnelsen.
Helseopplysninger kan ikke anvendes til formål
som er uforenlig med det opprinnelige formålet med innsamlingen av
opplysningene, uten at den registrerte samtykker.
§ 12 Sammenstilling
av helseopplysninger
Helseopplysninger i behandlingsrettet helseregister
kan sammenstilles med opplysninger om samme pasient i annet behandlingsrettet
helseregister, i den grad helseopplysningene kan utleveres etter
helsepersonelloven §§ 25, 26 og 45. Helseopplysninger
som nevnt kan dessuten sammenstilles med folkeregisteropplysninger
om den registrerte.
Helseopplysninger innsamlet etter § 9,
kan sammenstilles etter nærmere bestemmelser fastsatt i
forskrift etter §§ 7 og 8.
Ut over det som følger av første
og annet ledd, kan helseopplysninger bare sammenstilles når
dette er tillatt etter personopplysningsloven §§ 9
og 33.
§ 13 Tilgang
til helseopplysninger i den databehandlingsansvarliges og databehandlers
institusjon
Bare den databehandlingsansvarlige, databehandlere og
den som arbeider under den databehandlingsansvarliges eller databehandlers
instruksjonsmyndighet, kan gis tilgang til helseopplysninger. Tilgang
kan bare gis i den grad dette er nødvendig for vedkommendes
arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt.
§ 14 Utlevering
av helseopplysninger
Helseopplysninger kan utleveres eller overføres
for sammenstilling som er tillatt etter § 12. Sammenstilte helseopplysninger
kan, etter at navn og fødselsnummer er fjernet, utleveres
eller overføres til en virksomhet som bestemt av departementet,
når formålet er å avidentifisere eller å anonymisere
opplysningene.
Helseopplysninger kan dessuten utleveres eller
overføres når utlevering eller overføring
har hjemmel i eller i medhold av lov, og den som mottar opplysningene
har adgang til å behandle dem etter personopplysningsloven.
§ 15 Taushetsplikt
Enhver som behandler helseopplysninger etter
denne lov, har taushetsplikt etter forvaltningsloven §§ 13
til 13e og helsepersonelloven.
Taushetsplikten etter første ledd
gjelder også pasientens fødested, fødselsdato,
personnummer, pseudonym, statsborgerforhold, sivilstand, yrke, bopel
og arbeidssted.
Opplysninger til andre forvaltningsorganer
etter forvaltningsloven § 13 b nr. 5 og 6 kan bare gis
når det er nødvendig for å bidra til
løsning av oppgaver etter loven her, eller for å forebygge
vesentlig fare for liv eller alvorlig skade for noens helse.
§ 16 Sikring
av konfidensialitet, integritet, kvalitet og tilgjengelighet
Den databehandlingsansvarlige og databehandleren skal
gjennom planlagte og systematiske tiltak sørge for tilfredsstillende
informasjonssikkerhet med hensyn til konfidensialitet, integritet,
kvalitet og tilgjengelighet ved behandling av helseopplysninger.
For å oppnå tilfredsstillende
informasjonssikkerhet skal den databehandlingsansvarlige og databehandleren dokumentere
informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal
være tilgjengelig for medarbeiderne hos den databehandlingsansvarlige
og hos databehandleren. Dokumentasjonen skal også være
tilgjengelig for tilsynsmyndighetene.
En databehandlingsansvarlig som lar andre få tilgang til
helseopplysninger, for eksempel en databehandler eller andre som
utfører oppdrag i tilknytning til informasjonssystemet,
skal påse at disse oppfyller kravene i første
og annet ledd.
Kongen kan gi forskrift om sikkerhet ved behandling av
helseopplysninger etter denne lov. Kongen kan herunder
sette nærmere krav til elektronisk signatur, kommunikasjon
og langtidslagring, om godkjenning (autorisasjon) av programvare
og om bruk av standarder, klassifikasjonssystemer og kodeverk, samt
hvilke nasjonale eller internasjonale standardsystemer som skal følges.
§ 17 Internkontroll
Den databehandlingsansvarlige skal etablere
og holde vedlike planlagte og systematiske tiltak som er nødvendige
for å oppfylle kravene i eller i medhold av denne loven,
herunder sikre helseopplysningenes kvalitet.
Den databehandlingsansvarlige skal dokumentere
tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne
hos den databehandlingsansvarlige og hos databehandleren. Dokumentasjonen
skal også være tilgjengelig for tilsynsmyndighetene.
Kongen kan i forskrift gi nærmere
regler om internkontroll.
§ 18 Databehandlers
rådighet over helseopplysninger
En databehandler kan ikke behandle helseopplysninger
på annen måte enn det som er skriftlig avtalt
med den databehandlingsansvarlige. Opplysningene kan heller ikke
uten slik avtale overlates til noen andre for lagring eller bearbeidelse.
I avtalen med den databehandlingsansvarlige skal det også gå frem
at databehandleren plikter å gjennomføre slike
sikringstiltak som følger av § 16.
§ 19 Frist
for å svare på henvendelser m.v.
Den databehandlingsansvarlige skal svare på henvendelser
om innsyn eller andre rettigheter etter §§ 21,
22, 26 og 28 uten ugrunnet opphold og senest innen 30 dager fra
den dagen henvendelsen kom inn.
Dersom særlige forhold gjør
det umulig å svare på henvendelsen innen 30 dager,
kan gjennomføringen utsettes inntil det er mulig å gi
svar. Den databehandlingsansvarlige skal i så fall gi et
foreløpig svar med opplysninger om grunnen til forsinkelsen
og sannsynlig tidspunkt for når svar kan gis.
Kapittel 4 Databehandlingsansvarliges informasjonsplikt
og den registrertes innsynsrett
§ 20 Informasjon
til allmennheten om behandling av helseopplysninger etter loven
7 og 8
Når helseopplysninger behandles etter
forskrift i medhold av §§ 7 og 8, skal den databehandlingsansvarlige
av eget tiltak informere allmennheten om hva slags behandling av
helseopplysninger som foretas.
§ 21 Rett
til generell informasjon om helseregistre og behandling av helseopplysninger
Enhver som ber om det, skal få vite
hva slags behandling av helseopplysninger en databehandlingsansvarlig foretar,
og kan kreve å få følgende informasjon
om en bestemt type behandling av helseopplysninger:
1 navn og adresse på den databehandlingsansvarlige
og dennes eventuelle representant,
2 hvem som har det daglige ansvaret for å oppfylle
den databehandlingsansvarliges plikter,
3 formålet med behandlingen av helseopplysningene,
4 beskrivelser av hvilke typer helseopplysninger som behandles,
5 hvor opplysningene er hentet fra, og
6 om helseopplysningene vil bli utlevert, og eventuelt hvem
som er mottaker.
Informasjonen kan kreves hos den databehandlingsansvarlige
eller hos dennes databehandler som nevnt i § 18.
§ 22 Rett
til innsyn
Den som ber om det, har rett til innsyn i behandlingsrettet
helseregister i den grad dette følger av pasientrettighetsloven § 5-1
og helsepersonelloven § 41.
Når helseopplysninger behandles etter §§ 5,
7 og 8, har den registrerte på forespørsel i tillegg
til informasjon som nevnt i § 21 første ledd,
rett til å få opplyst
1 hvilke helseopplysninger om den registrerte
som behandles, og
2 sikkerhetstiltakene ved behandlingen av helseopplysningene
så langt innsyn ikke svekker sikkerheten.
Den registrerte kan også kreve at
den databehandlingsansvarlige utdyper informasjonen som nevnt i § 21 første
ledd i den grad dette er nødvendig for at den registrerte
skal kunne vareta egne interesser.
Informasjon etter første og annet
ledd kan kreves skriftlig hos den databehandlingsansvarlige eller
hos dennes databehandler som nevnt i § 18. Den som blir bedt
om å gi innsyn, kan kreve at den registrerte leverer en
skriftlig og undertegnet begjæring.
Kongen kan i forskrift gi nærmere
bestemmelser om retten til innsyn i behandling av helseopplysninger
etter annet og tredje ledd. Dersom særlige grunner gjør
det nødvendig, kan Kongen gi forskrift om at den registrerte må betale
vederlag til den databehandlingsansvarlige. Vederlaget kan ikke
overstige de faktiske kostnadene ved å etterkomme kravet.
§ 23 Informasjonsplikt
når det samles inn opplysninger fra den registrerte
Når det samles inn helseopplysninger
fra den registrerte selv, skal den databehandlingsansvarlige av
eget tiltak først informere den registrerte om
1 navn og adresse på den databehandlingsansvarlige
og dennes eventuelle representant,
2 formålet med behandlingen av helseopplysningene,
3 opplysningene vil bli utlevert, og eventuelt hvem som
er mottaker,
4 det er frivillig å gi fra seg helseopplysningene,
og
5 annet som gjør den registrerte i stand til å bruke
sine rettigheter etter loven her på best mulig måte,
som for eksempel informasjon om retten til å kreve innsyn,
jf. § 22, og retten til å kreve retting og sletting,
jf. §§ 26 og 28.
Varsling er ikke påkrevd dersom det
er på det rene at den registrerte allerede kjenner til
informasjonen i første ledd.
§ 24 Informasjonsplikt
når det samles inn opplysninger fra andre enn den registrerte
En databehandlingsansvarlig som samler inn
helseopplysninger fra andre enn den registrerte selv, skal av eget
tiltak informere den registrerte om hvilke opplysninger som samles
inn og gi informasjon som nevnt i § 23 første
ledd så snart opplysningene er innhentet. Dersom formålet
med innsamlingen av opplysningene er å gi dem videre til
andre, kan den databehandlingsansvarlige vente med å varsle
den registrerte til utleveringen skjer.
Den registrerte har ikke krav på varsel
etter første ledd dersom
1 innsamlingen eller formidlingen av
opplysningene er uttrykkelig fastsatt i lov,
2 varsling er umulig eller uforholdsmessig vanskelig, eller
3 det er på det rene at den registrerte allerede
kjenner til informasjonen som varslet skal inneholde.
Når varsling unnlates med hjemmel
i annet ledd nr. 2, skal informasjon likevel gis senest når
det gjøres en henvendelse til den registrerte på grunnlag
av opplysningene.
§ 25 Unntak
fra retten til informasjon og innsyn
Det kan nektes innsyn i behandlingsrettet helseregister
etter reglene i pasientrettighetsloven § 5-1.
Retten til innsyn etter §§ 21
og 22 annet ledd og plikten til å gi informasjon etter §§ 20,
23 og 24, omfatter ikke opplysninger som
1 om de ble kjent, ville kunne skade
rikets sikkerhet, landets forsvar eller forholdet til fremmede makter eller
internasjonale organisasjoner,
2 det er påkrevd å hemmeligholde av hensyn
til forebygging, etterforskning, avsløring og rettslig
forfølging av straffbare handlinger,
3 det må anses utilrådelig at den registrerte
får kjennskap til, av hensyn til vedkommendes helse eller
forholdet til personer som står vedkommende nær,
4 det i medhold av lov gjelder taushetsplikt for,
5 utelukkende finnes i tekst som er utarbeidet for den interne
saksforberedelse og som heller ikke er utlevert til andre,
6 det vil være i strid med åpenbare og
grunnleggende private eller offentlige interesser å informere
om, herunder hensynet til den registrerte selv.
Opplysninger som den registrerte nektes innsyn
i etter første ledd og etter annet ledd nr. 3, har en representant for
pasienten rett til innsyn i, med mindre representanten anses uskikket
for dette. En lege eller advokat kan ikke nektes innsyn, med mindre
særlige grunner taler for dette.
Den som nekter å gi innsyn i medhold
av første eller annet ledd, må begrunne dette
skriftlig med presis henvisning til unntakshjemmelen.
Kapittel 5 Særlige bestemmelser om retting
og sletting av helseopplysninger
§ 26 Retting
av mangelfulle helseopplysninger
Dersom det er behandlet helseopplysninger etter §§ 5, 7
og 8 som er uriktige, ufullstendige eller som det ikke er adgang
til å behandle, skal den databehandlingsansvarlige av eget
tiltak eller på begjæring av den registrerte rette de
mangelfulle opplysningene. Den databehandlingsansvarlige skal om
mulig sørge for at feilen ikke får betydning for
den registrerte. Dersom helseopplysningene er utlevert, skal den
databehandlingsansvarlige varsle mottakere av utleverte opplysninger.
Retting av uriktige eller ufullstendige helseopplysninger
som kan ha betydning som dokumentasjon, skal skje ved at opplysningene
tydelig markeres og suppleres med korrekte opplysninger.
Dersom tungtveiende personvernhensyn tilsier
det, kan Datatilsynet uten hinder av annet ledd bestemme at retting
skal skje ved at de mangelfulle helseopplysningene slettes eller
sperres. Hvis opplysningene ikke kan kasseres i medhold av arkivloven,
skal Riksarkivaren høres før det treffes vedtak
om sletting. Vedtaket går foran reglene i arkivloven 4.
desember 1992 nr. 126 §§ 9 og 18.
Sletting bør suppleres med registrering
av korrekte og fullstendige opplysninger. Dersom dette ikke er mulig, og
dokumentet som inneholdt de slettede opplysningene av den grunn
gir et åpenbart misvisende bilde, skal hele dokumentet
slettes.
For retting og sletting av helseopplysninger
i behandlingesrettet helseregister gjelder helsepersonellloven
§§ 42 til 44. Første ledd annet og
tredje punktum gjelder tilsvarende.
§ 27 Forbud
mot å lagre unødvendige helseopplysninger
Den databehandlingsansvarlige skal ikke lagre
helseopplysninger lenger enn det som er nødvendig for å gjennomføre
formålet med behandlingen av helseopplysningene. Hvis ikke
helseopplysningene deretter skal oppbevares i henhold til arkivloven
eller annen lovgivning, skal de slettes.
I forskrift etter §§ 6 til
8 kan det bestemmes at helseopplysninger kan lagres for historiske,
statistiske eller vitenskapelige formål, dersom samfunnets
interesse i at opplysningene lagres klart overstiger de ulempene
den kan medføre for den enkelte. Den databehandlingsansvarlige
skal i så fall sørge for at opplysningene ikke oppbevares
på måter som gjør det mulig å identifisere den
registrerte lenger enn nødvendig.
§ 28 Sletting
eller sperring av helseopplysninger som føles belastende for den
registrerte
Den registrerte kan kreve at helseopplysninger
som behandles etter §§ 5, 7 og 8, skal slettes
eller sperres, dersom behandling av opplysningene føles
sterkt belastende for den registrerte og det ikke finnes sterke
allmenne hensyn som tilsier at opplysningene behandles. Krav om sletting
eller sperring av slike opplysninger rettes til den databehandlingsansvarlige
for opplysningene.
Datatilsynet kan, etter at Riksarkivaren er
hørt, treffe vedtak om at retten til sletting etter første
ledd går foran reglene i arkivloven 4. desember 1992 nr.
126 §§ 9 og 18. Hvis dokumentet som inneholdt
de slettede opplysningene, gir et åpenbart misvisende bilde
etter slettingen, skal hele dokumentet slettes.
Krav om sletting av helseopplysninger i behandlingsrettede
helseregistre avgjøres etter helsepersonelloven § 43.
Kapittel 6 Tilsyn, kontroll og sanksjoner
§ 29 Meldeplikt
til Datatilsynet
Den databehandlingsansvarlige skal gi melding
til Datatilsynet før behandling av helseopplysninger
med elektroniske hjelpemidler og før opprettelse av manuelt helseregister.
Meldingen skal gis senest 30 dager før
behandlingen av opplysningene tar til. Datatilsynet skal gi den
databehandlingsansvarlige kvittering for at melding er mottatt.
Ny melding må gis før behandling
av helseopplysninger som går ut over den rammen for behandling
av helseopplysninger som er angitt i medhold av § 30. Selv
om det ikke har skjedd endringer, skal det gis ny melding tre år
etter at forrige melding ble gitt.
Kongen kan gi forskrift om at visse typer behandling av
helseopplysninger eller databehandlingsansvarlige er unntatt fra
meldeplikt eller er underlagt forenklet meldeplikt.
§ 30 Meldepliktens
innhold
Meldingen til Datatilsynet skal opplyse om
1 navn og adresse på den databehandlingsansvarlige
og på dennes eventuelle representant og databehandler,
2 når behandlingen av helseopplysningene starter,
3 hvem som har det daglige ansvaret for å oppfylle
den databehandlingsansvarliges plikter,
4 formålet med behandlingen av helseopplysningene,
5 oversikt over hvilke typer helseopplysninger som skal
behandles,
6 hvor helseopplysningene hentes fra,
7 det rettslige grunnlaget for innsamlingen av helseopplysningene,
8 hvem helseopplysningene vil bli utlevert til, herunder eventuelle
mottakere i andre stater, og
9 hvilke sikkerhetstiltak som er knyttet til behandlingen
av helseopplysningene.
Kongen kan gi forskrift om hvilke opplysninger
meldingene skal inneholde og om gjennomføringen av meldeplikten.
§ 31 Tilsynsmyndighetene
Datatilsynet fører tilsyn med at bestemmelsene
i loven blir fulgt og at feil eller mangler blir rettet, jf. personopplysningsloven § 42,
med mindre tilsynsoppgaven påligger Statens helsetilsyn
eller fylkeslegen etter lov 30. mars 1984 nr. 15 om statlig tilsyn
med helsetjenesten.
Tilsynsmyndighetene kan kreve de opplysninger
som trengs for at de kan gjennomføre sine oppgaver.
Tilsynsmyndighetene kan som ledd i sin kontroll
med at lovens regler etterleves, kreve adgang til steder hvor det
finnes helseregistre, helseopplysninger som behandles elektronisk
og hjelpemidler for slik behandling av opplysninger. Tilsynsmyndighetene
kan gjennomføre de prøver eller kontroller som
de finner nødvendig, og kreve bistand fra personalet på stedet
i den grad dette må til for å få utført
prøvene eller kontrollene.
Retten til å kreve opplysninger eller
tilgang til lokaler og hjelpemidler i henhold til annet og tredje
ledd gjelder uten hinder av taushetsplikt.
Tilsynsmyndighetene og andre som utfører
tjeneste for tilsynsmyndighetene, har taushetsplikt etter § 15. Taushetsplikten
omfatter også opplysninger om sikkerhetstiltak.
Kongen kan gi forskrift om unntak fra første
til fjerde ledd av hensyn til rikets sikkerhet. Kongen kan også gi forskrift
om dekning av utgiftene ved kontroll. Skyldige bidrag til dekning
av utgiftene er tvangsgrunnlag for utlegg.
§ 32 Adgang
til å gi pålegg
Datatilsynet kan gi pålegg om at behandling
av helseopplysninger i strid med bestemmelser i eller i medhold av
denne loven skal opphøre, eller stille vilkår
som må oppfylles for at behandlingen av helseopplysningene
skal være i samsvar med loven. Dersom det i tillegg må antas at
behandlingen av helseopplysningene kan ha skadelige følger
for pasienter, kan Statens helsetilsyn gi pålegg som nevnt.
Når Datatilsynet har gitt et pålegg, skal Statens
helsetilsyn informeres om dette. Når Statens helsetilsyn
har gitt et pålegg, skal Datatilsynet informeres om dette.
Pålegg etter første ledd
skal inneholde en frist for å rette seg etter pålegget.
Avgjørelser som Datatilsynet fatter
i medhold av §§ 26, 28, 31, 32 og 33, kan påklages
til Personvernnemnda.
§ 33 Tvangsmulkt
Ved pålegg etter § 32 kan
Datatilsynet fastsette en tvangsmulkt som løper for hver
dag som går etter utløpet av den fristen som er
satt for oppfylling av pålegget, inntil pålegget
er oppfylt.
Tvangsmulkten løper ikke før
klagefristen er ute. Hvis vedtaket påklages, løper
ikke tvangsmulkt før klageinstansen har bestemt det.
Datatilsynet kan frafalle påløpt
tvangsmulkt.
§ 34 Straff
Med bøter eller fengsel inntil ett år
eller begge deler straffes den som forsettlig eller grovt uaktsomt
1 behandler helseopplysninger i strid
med §§ 16 eller 18,
2 unnlater å gi opplysninger til den registrerte
etter §§ 23 eller 24,
3 unnlater å sende melding til Datatilsynet etter § 29,
4 unnlater å gi opplysninger til tilsynsmyndighetene etter § 31,
eller
5 unnlater å etterkomme pålegg fra tilsynsmyndighetene
etter § 32.
Ved særdeles skjerpende omstendigheter
kan fengsel inntil tre år idømmes. Ved avgjørelsen
av om det foreligger særdeles skjerpende omstendigheter
skal det blant annet legges vekt på faren for stor skade
eller ulempe for den registrerte, den tilsiktede vinningen ved overtredelsen,
overtredelsens varighet og omfang, utvist skyld, og om den databehandlingsansvarlige
tidligere er straffet for å ha overtrådt tilsvarende
bestemmelser.
Medvirkning straffes på samme måte.
I forskrift som gis i medhold av loven, kan
det fastsettes at den som forsettlig eller grovt uaktsomt overtrer
forskriften skal straffes med bøter eller fengsel inntil
ett år eller begge deler.
§ 35 Erstatning
Den databehandlingsansvarlige skal erstatte
skade som er oppstått som følge av at helseopplysninger
er behandlet i strid med bestemmelser i eller i medhold av loven,
med mindre det godtgjøres at skaden ikke skyldes feil eller
forsømmelse på den databehandlingsansvarliges side.
Erstatningen skal svare til det økonomiske
tapet som den skadelidte er påført som følge
av den ulovlige behandlingen av helseopplysningene. Den databehandlingsansvarlige
kan også pålegges å betale slik erstatning for
skade av ikke-økonomisk art (oppreisning) som synes rimelig.
Kapittel 7 Forholdet til andre lover. Ikraftsetting
§ 36 Forholdet
til lov om behandling av personopplysninger
I den utstrekning ikke annet følger
av denne lov, gjelder personopplysningsloven med forskrifter som
utfyllende bestemmelser.
§ 37 Ikraftsetting
Loven trer i kraft fra den tid Kongen bestemmer.
Kongen kan bestemme at de enkelte bestemmelsene i loven skal tre
i kraft til ulik tid.
§ 38 Endringer
i andre lover
(Meldingsplikt til kommuneadministrasjonen
mv.)
Kommunen kan pålegge helsepersonell
som arbeider innenfor rammen av denne lov å gi opplysninger
til bruk for planlegging, styring og utvikling av kommunehelsetjenesten. Utlevering av taushetsbelagte opplysninger etter
første punktum skal skje etter samtykke fra den opplysningene angår,
hvis ikke annet er bestemt i eller i medhold av lov.
(Meldingsplikt til fylkesadministrasjonen
mv.)
Fylkeskommunen kan pålegge helsepersonell
som arbeider innenfor rammen av denne lov å gi opplysninger til
bruk for planlegging, styring og utvikling av tannhelsetjenesten
i fylkeskommunen. Utlevering av taushetsbelagte
opplysninger etter første punktum skal skje etter samtykke fra den
opplysningene angår, hvis ikke annet er bestemt i eller i medhold
av lov.
§ 9 bokstav c tredje punktum
skal lyde:
Personregister eller delar av personregister
kan likevel slettast etter føresegnene i personopplysningslova, helseregisterlova og etter føresegner i medhald
av helseregisterlova 7 og 8.
§ 9 bokstav d annet punktum
skal lyde:
Føresegner om sletting gjevne i medhald
av § 27 tredje og femte leden og § 28 fjerde leden
i personopplysningslova og 7, 8 og 26 tredje
leden og 28 andre leden i helseregisterlova gjeld likevel
uinnskrenka.
§ 18 annet punktum skal
lyde:
Reglane i personopplysningslova og helseregisterlova om retting og sletting
av opplysningar vil likevel gjelda fullt ut.
Votering:
Komiteens innstilling bifaltes enstemmig.Videre var innstillet:
§ 2-3 Meldingsplikt
for leger. Varslingsplikt for sykepleiere og jordmødre
En lege som oppdager en smittet person, har
meldingsplikt etter forskrifter gitt i medhold av fjerde ledd uten
hinder av lovbestemt taushetsplikt. En sykepleier eller jordmor
som i sin virksomhet oppdager en smittet person har varslingsplikt
etter forskrifter gitt i medhold av fjerde ledd uten hinder av lovbestemt
taushetsplikt.
Den som etter første ledd mottar opplysninger
undergitt taushetsplikt, har samme taushetsplikt som dem som gir
opplysningene.
Når en lege som er meldingspliktig
etter bestemmelsen i første ledd, gir en melding som identifiserer
en person, skal legen informere den meldingen angår, om
hvem som skal få meldingen og hva den skal brukes til.
Kongen i Statsråd kan
gi forskrifter om behandling av helseopplysninger, herunder om bruk
av navn, fødselsnummer eller andre personidentifiserende kjennetegn
i samsvar med helseregisterloven. Forskriftene skal angi formålet
med behandlingen av opplysningene, og hvilke smittsomme sykdommer
som skal meldes eller varsles. Kongen i Statsråd kan også gi forskrifter
om meldingsplikt for bivirkninger av forebyggende tiltak, og om
undersøkelse, behandling og andre tiltak etter loven. Kongen kan
gi nærmere bestemmelser om hvem som skal melde eller varsle, og
om formkrav, meldingsskjemaer og frister for meldingene og varslene,
herunder om hvem som kan eller skal motta meldinger og varsler.
Uten samtykke fra departementet kan
verken private eller offentlige sette i verk meldingsordninger for
smittsomme sykdommer hos mennesker. Dette gjelder ikke interne systemer.
Ved utbrudd av allmennfarlig smittsom sykdom,
eller når det er fare for slikt utbrudd, og når
det er nødvendig av hensyn til smittevernet, kan Statens
helsetilsyn med øyeblikkelig virkning pålegge
personer som nevnt i første ledd midlertidige meldings-
og varslingsplikter som fraviker fra forskrifter etter fjerde ledd
uten hinder av lovbestemt taushetsplikt.
Presidenten: Kristelig Folkeparti, Høyre,
Senterpartiet og Sosialistisk Venstreparti har varslet at de går
mot endringene.
Votering:
Komiteens innstilling bifaltes med 36 mot 29 stemmer.(Voteringsutskrift kl. 19.15.50)Videre var innstillet:
§ 3-8 femte ledd skal
lyde:
Kongen i Statsråd kan
i forskrift fastsette at helsepersonell uten hinder av lovbestemt
taushetsplikt skal gi nødvendige opplysninger for gjennomføring
av et kontrollsystem basert på vaksinasjonsregistre, og
gi regler for slike registre, jf. helseregisterloven.
§ 7-11 annet ledd første
punktum oppheves.
§ 35 fjerde ledd skal
lyde:
Lege eller jordmor skal gi melding om fødsel
eller svangerskapsavbrudd etter tolvte uke til Medisinsk fødselsregister
i samsvar med forskrift gitt i medhold av helseregisterloven.
§ 37 skal lyde:
§ 37 Melding til helseregistre
m.v.
Kongen kan pålegge helsepersonell
med autorisasjon eller lisens å gi opplysninger til helseregistre
i samsvar med forskrift gitt i medhold av helseregisterloven.
Votering:
Komiteens innstilling bifaltes enstemmig.Presidenten: Det voteres over lovens
overskrift og loven i sin helhet.
Votering:
Lovens overskrift og loven i sin helhet bifaltes enstemmig.Presidenten: Lovvedtaket vil bli sendt
Lagtinget.