1. Sammendrag
- 1.1 Innledning
- 1.2 Bakgrunn
- 1.3 Gjeldende rett
- 1.4 Menneskerettighetene
- 1.5 Lovgivning i andre land
- 1.6 Viktige hensyn lov om helseregistre og behandling av helseopplysninger må ivareta
- 1.7 Lovens formål, definisjoner og virkeområde
- 1.8 Etablering av helseregistre og elektronisk behandling av helseopplysninger, innsamling av opplysningene mv.
- 1.9 Alminnelige bestemmelser om behandling av helseopplysninger
- 1.10 Informasjonsplikt og innsynsrett
- 1.11 Retting og sletting av helseopplysninger
- 1.12 Tilsyn, kontroll og sanksjoner
- 1.13 Forholdet til andre lover
- 1.14 Økonomiske og administrative konsekvenser av de enkelte lovforslag
Regjeringen legger i proposisjonen fram forslag til lov om helseregistre og behandling av helseopplysninger (helseregisterloven). Siktemålet med loven er å legge til rette for fullgod informasjonssikkerhet ved behandling av helseopplysninger og bidra til at målene som settes for folkehelsen og den enkeltes helse, kan nås. Det uttales at loven skal bidra til å ivareta et sterkt pasientvern såvel som personvern.
Det framholdes at en viktig utfordring for den utøvende helsetjeneste er hvordan en skal sikre opplysningenes konfidensialitet og kvalitet, og samtidig sikre helsetjenesten adekvat tilgang på opplysninger for å kunne tilby den enkelte pasient best mulig helsehjelp.
Det har i de siste 20 år vært nedsatt en rekke forskjellige arbeidsgrupper og utvalg for å vurdere ulike sider som drift, organisering, ansvarsforhold, hjemmelsspørsmål og lignende for de epidemiologiske registrene i Norge. Det redegjøres i proposisjonen for USEI-rapportene («Utredning vedrørende samarbeid mellom sentrale epidemiologiske institutter»), Lerche-utvalget, Hellandsvik-utvalgets delrapport nr. 6, NOU 1993:22 Pseudonyme helseregistre (Boe-utvalget), Sosial- og helsedepartementets IT-plan og NOU 1997:26 Tilgang til helseregistre.
Sosial- og helsedepartementet sendte i november 1998 utkast til lov om helseregistre og elektronisk behandling av helseopplysninger på høring. Høringsfristen ble satt til februar 1999. Departementet har mottatt 101 svar på høringsbrevet.
Departementet har særlig vurdert om opprettelsen av landsomfattende helseregistre bør skje direkte i lov, ved at det gis en lov for hvert sentralt register. Det uttales at demokratihensyn og kanskje muligheten til bedre å sikre den politiske debatt kunne tale for å legge en slik myndighet til Stortinget. Departementet har imidlertid kommet til ikke å ville foreslå en slik løsning idet det mener at personvernet kan bli like godt, om ikke bedre, ivaretatt, ved at Stortinget gir rammebestemmelser for sentrale helseregistre, og at det enkelte register opprettes ved forskrift.
I arbeidet med proposisjonen har departementet særskilt vurdert forslaget fra Den nasjonale forskningsetiske komité om å innta et forbud mot at arbeidsgivere, forsikringsselskaper og lignende interessenter skal kunne be om samtykke fra enkeltpersoner for å få tilgang til data fra forskningsregistre. Departementet finner det riktig å avvente den pågående utredning om dette før en tar endelig stilling til forslaget.
Det vises til at Sosial- og helsedepartementet har nedsatt et utvalg for å utrede problemstillinger knyttet til biologisk prøvetaking i arbeidslivet. Utvalget skal bl.a. vurdere om det er tilstrekkelig regulert hvordan helseopplysninger skal behandles, og hva resultatet av prøvetakingen skal brukes til. Dersom utredningen viser at det er behov for nye tiltak for å beskytte arbeidssøkere og arbeidstakere på dette området, bør utvalget foreslå nødvendige tiltak, herunder forslag til endringer i regelverk/avtaler/praksis. Utvalget skal avgi sin innstilling innen juni 2000.
Det framholdes at spørsmål om innsamling, lagring og bruk av biologisk materiale reiser en rekke rettslige spørsmål som dagens personvernlovgivning og helselovgivning ikke tar stilling til. Det uttales at Sosial- og helsedepartementet arbeider med å nedsette et utvalg som nærmere skal utrede ulike rettslige spørsmål i forhold til bioteknologi, forskning og biobanker.
Om gjeldende rett framholdes bl.a. at når en skal vurdere hjemmelsgrunnlaget til helseregistre og andre informasjonssystemer, må en ta utgangspunkt i følgende forhold:
Personidentifiserbare helseopplysninger som foreligger i helseregistre, er opplysninger som i utgangspunktet er underlagt taushetsplikt, og det må stilles spørsmål om det er adgang til å gjøre unntak fra taushetsplikten.
Det må skilles mellom opplysningsrett og opplysningsplikt, og det må foreligge et rettsgrunnlag for å kunne pålegge noen en meldeplikt.
Dersom det er tillatt å utlevere helseopplysningene med basis i taushetspliktbestemmelsene, oppstår spørsmålet om disse opplysningene kan registreres.
Det gis en generell redegjørelse om taushetsplikt, og det redegjøres nærmere for relevante bestemmelser i helselovgivningen og personregisterloven. Det framholdes bl.a. at alle landets helseregistre bortsett fra elektroniske pasientjournaler i den offentlige helsetjeneste er underlagt konsesjonsplikt etter personregisterloven.
Det understrekes at både folketrygdloven og arbeidsmiljøloven har bestemmelser som er av stor betydning for muligheten til å opprette helseregistre utenfor helseforvaltningen og helsetjenesten.
Videre redegjøres for direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, og forholdet til det foreliggende lovforslaget. Direktivet ble besluttet innlemmet i EØS-avtalen 25. juni 1999.
Det framholdes at etter Grunnloven § 110 bokstav c første punktum påligger det statens myndigheter å respektere og sikre menneskerettighetene.
De mest sentrale konvensjonene av betydning for behandling av helseopplysninger er Europarådets konvensjon av 4. november 1950 om beskyttelse av menneskerettighetene og de grunnleggende friheter (EMK), Europarådets konvensjon av 28. januar 1981 nr. 108 om personvern i forbindelse med elektronisk behandling av personopplysninger (personvernkonvensjonen) og De forente nasjoners internasjonale konvensjon av 16. desember 1966 om sivile og politiske rettigheter. De nevnte konvensjonene er folkerettslig bindende for Norge.
Det uttales at for oppfølging av personvernkonvensjonen har Europarådet bl.a. fastsatt to rekommandasjoner av betydning for opprettelse av helseregistre. Det er rekommandasjon av 23. januar 1981 om medisinske databanker og rekommandasjon av 23. september 1983 om forskning og statistikk. Andre relevante rekommandasjoner som omtales, er rekommandasjonen om innsamling av epidemiologiske data av 6. mars 1989 og rekommandasjonen om beskyttelse av medisinske opplysninger av 13. februar 1997 som erstatter rekommandasjonen om medisinske databanker. Rekommandasjonene er ikke rettslig bindende for Norge, men det understrekes at de likevel vil veie tungt ved utforming av norske regler på tilsvarende område, da det legges til grunn at norske myndigheter så langt som mulig vil tilstrebe å rette seg etter anbefalingene.
Slik departementet ser det, respekterer og sikrer lovforslaget menneskerettighetene på en god måte. Dette blir utdypet gjennom omtale av de ulike konvensjonene og rekommandasjonene.
Det redegjøres for relevant lovgivning i Finland, Sverige, Danmark og Island.
Det redegjøres for Sosial- og helsedepartementets hovedoppgaver og for Statens helsetilsyn som har det overordnede faglige tilsyn med helsetjenesten i landet. Eksempler på andre institusjoner under departementet som har ansvar for behandling av helseopplysninger i sentrale landsomfattende registre, er Kreftregisteret, Statens institutt for folkehelse (bl.a. Meldesystemet for smittsomme sykdommer og Medisinsk fødselsregister i Bergen), Statens rettstoksikologiske institutt, Statens strålevern og Statens helseundersøkelser (bl.a. Tuberkuloseregisteret).
Det redegjøres for fylkeskommunenes og kommunenes ansvar når det gjelder helsetjenester, og det understrekes særskilt at kommunenes helsetjeneste for å kunne gjennomføre sine oppgaver til enhver tid må ha oversikt over helseforholdene til befolkningen i kommunen og de faktorer som kan virke inn på denne.
Under drøftingen av personvern og den personlige integritet understrekes det bl.a. at det er et viktig politisk spørsmål å finne balansen mellom samfunnets behov for opplysninger og individers ønske om hemmeligholdelse.
Ulike involverte interesser drøftes, og det framholdes bl.a. at pasientinteressen representerer den enkelte pasients interesse i å kunne holde seg frisk og å få adekvat diagnostikk og behandling når sykdom oppstår, mens personverninteressen representerer den enkeltes interesse i at opplysninger om vedkommende ikke spres, uten at det kan komme han eller henne til nytte, og at opplysningene er riktige og benyttes riktig. Det påpekes at det er en klar forbindelse mellom pasientinteressene og samfunnets interesse for kunnskapsoppbygging, forskning og effektiv helseadministrasjon da ulike pasientgrupper vil ha stor nytte av godt utviklede kvalitetssikringssystemer. For pasientinteressen er det viktig at behandling av helseopplysninger skjer på en måte som kan sikre en effektiv og forsvarlig helsehjelp til pasienten.
Det understrekes at dersom det er konflikt mellom personvernet til den enkelte pasient og andre interesser, skal det svært tungtveiende argumenter til for at personvernet til enkeltindividet skal vike.
Det framholdes at kunnskap om sykdomsårsaker er nødvendig for å drive helsefremmende og sykdomsforebyggende helsearbeid. Introduksjon av nye kjemiske stoffer i produksjon av varer og tjenester, nye medikamenter og nye tilsetningsstoffer i næringsmidler gjør at samfunnet har et økende behov for å overvåke befolkningens helsetilstand over tid for å kunne oppdage endring eller økning i hyppighet av sykdom og risikofaktorer. Det framholdes videre at kunnskap er av stor betydning for styring, planlegging og kvalitetsutvikling og kvalitetssikring av helsetjenestene. Det uttales at opprettelse av et landsomfattende pasientregister i Norge med personentydige data vil kunne gi sentrale myndigheter informasjon om kvalitetsutviklingen og kvalitetssikringen i langt større grad enn i dag.
Det redegjøres for den betydningen gode data har for ulike typer forskning som epidemiologisk forskning, helsetjenesteforskning, klinisk forskning og basal medisinsk forskning. Det understrekes at et fellestrekk ved all behandling av helseopplysninger er kravet til god datakvalitet. God datakvalitet er nødvendig for å bygge opp god og riktig helsefaglig kunnskap, og for personvernet er det viktig at de avgjørelser som treffes, bygger på et fullstendig og riktig kunnskapsgrunnlag.
Om lovens formål uttaler Sosial- og helsedepartementet bl.a. at loven skal gi det nødvendige verktøy for å kunne ta i bruk elektroniske pasientjournaler og elektronisk informasjonsutveksling i helsetjenesten. Videre skal loven gi det nødvendige rettsgrunnlag for lokale, regionale og sentrale helseregistre helseforvaltningen finner det nødvendig å opprette for å utvikle og formidle informasjon og kunnskap, slik at de målene som settes for folkehelsen, helsetjenesten og den enkeltes helse, kan nås.
Personvernformålene i loven er angitt på samme måte som i lov om behandling av personopplysninger.
Det redegjøres i proposisjonen for definisjoner av begreper som «helseopplysninger», «avidentifiserte opplysninger», «anonyme opplysninger», «behandling av helseopplysninger», «helseregister», «elektronisk pasientjournal», «behandlingsrettet helseregister», «databehandlingsansvarlig», «databehandler», «registrert» og «samtykke».
Departementet har kommet til at hensynet til et enhetlig, helhetlig og sammenhengende lovverk taler for å samle reglene om elektronisk behandling av helseopplysninger, herunder regler om informasjonssikkerhet, standarder, kode- og klassifikasjonssystemer, elektronisk kommunikasjon etc. i én lov. Departementet mener at en enhetlig og helhetlig lovstruktur særlig er viktig av hensynet til personvernet og de registrertes muligheter til å kunne følge med på hvordan helseopplysninger om dem selv behandles.
Departementet foreslår at loven skal gjelde for behandling av helseopplysninger i helseforvaltningen og helsetjenesten som skjer helt eller delvis med elektroniske hjelpemidler for å fremme formål som beskrevet i § 1. I tillegg foreslår departementet at loven skal gjelde for annen behandling av helseopplysninger, når helseopplysningene inngår eller skal inngå i et helseregister. Departementet foreslår at Kongen i Statsråd i forskrift kan bestemme at en eller flere av lovens bestemmelser også skal gjelde for behandling av helseopplysninger utenfor helseforvaltningen og helsetjenesten for å ivareta formål som beskrevet i loven § 1. Det uttales at en slik utvidelse av lovens virkeområde først og fremst vil strekke seg til sosialforvaltningen og trygdeforvaltningen.
Når det gjelder helseregistre som opprettes i henhold til arbeidsmiljøloven § 20, innebærer avgrensningen til helseforvaltningen at disse helseregistrene i utgangspunktet ikke omfattes av loven. Det samme gjelder Arbeidstilsynets helseregistre.
Departementet foreslår at pasientjournalen og andre behandlingsrettede helseregistre kan føres elektronisk. Det framholdes at målet er at elektroniske pasientjournaler, elektronisk kommunikasjon og bruk av nett som infrastruktur skal bli like akseptert, tillitvekkende og ha samme juridiske holdbarhet som tradisjonell skriftlig dokumentasjon og kommunikasjon.
Departementet foreslår at Kongen i forskrift skal kunne gi nærmere bestemmelser om behandling av helseopplysninger i elektroniske pasientjournaler og andre behandlingsrettede helseregistre. Loven forutsetter at før de nærmere krav til slike pasientjournaler er utredet, vil den elektroniske pasientjournalen ikke kunne erstatte den papirbaserte pasientjournalen.
Hjemmelen eller rettsgrunnlaget for en forskrift om elektroniske pasientjournaler vil i tillegg til helseregisterloven være helsepersonelloven og evt. spesialisthelsetjenesteloven.
Departementet foreslår at databehandlingsansvaret for elektroniske pasientjournaler legges til den fylkeskommune, kommune og annen offentlig eller privat virksomhet som tar i bruk elektroniske pasientjournaler, eventuelt andre behandlingsrettede helseregistre.
Departementet påpeker at det er svært viktig at innføring av ny informasjonsteknologi skjer i takt med utbygging av sikkerhetssystemer og kompetanse på området. Loven åpner opp for at det er tilstrekkelig å ha elektronisk pasientjournal. Det uttales at hvordan en praktisk kan oppfylle kravet til sikker dokumentasjon, må framgå nærmere av forskriften, og videre at dersom den papirbaserte pasientjournalen skal kunne erstattes av elektroniske pasientjournaler, må det etableres en standard for arkivering av elektroniske pasientjournaler som er så god at den også tilfredsstiller arkivlovens regelverk.
Det gis i proposisjonen en kort omtale av sentrale landsomfattende helseregistre som Kreftregisteret, Medisinsk fødselsregister, Dødsårsaksregisteret og Meldingssystemet for infeksjonssykdommer.
Departementet foreslår at Kongen i Statsråd i forskrift skal kunne gi nærmere bestemmelser om behandling av helseopplysninger i sentrale helseregistre til bruk for administrasjon, styring, planlegging og kvalitetssikring av helsetjenesten, forskning og statistikk. I denne forskriften vil Kongen i Statsråd også ta stilling til personidentifikasjonen, dvs. om opplysningene skal registreres på navn og fødselsnummer, eller om navn og fødselsnummer skal erstattes med et pseudonym. Departementet påpeker at det følger av lovforslaget § 11 at helseopplysninger (personidentifiserbare opplysninger) bare kan innsamles til sentrale helseregistre når personidentifisering er nødvendig for å ivareta formålet med registeret.
Det uttales at den nærmere grensetrekning av hvilke sentrale helseregistre som bør opprettes etter beslutning av Kongen i Statsråd, versus hvilke helseregistre Datatilsynet bør gi konsesjon til, må vurderes ut fra helseforvaltningens og helsetjenestens behov, og ses i forhold til personregisterloven og lov om behandling av personopplysninger. Departementet legger til grunn at sykdomsregistre og kvalitetsregistre som omfatter flere diagnosetyper over hele befolkningen, bør reguleres i forskrift av Kongen i Statsråd, og det samme gjelder sykdomsregistre, kvalitetsregistre eller helsetjenesteregistre som inneholder svært følsomme opplysninger som gir stor usikkerhet om virkningen av registreringen. Mindre omfattende helseregistre som avdekker en ikke spesielt sensitiv sykdomsgruppe, bør ifølge proposisjonen kunne opprettes etter konsesjon fra Datatilsynet.
Departementet foreslår at forskriften som gis, også bør gi nærmere bestemmelser om den databehandlingsansvarliges plikt til å gjøre data tilgjengelig for at formålene kan nås, og at det skal fastsettes i forskriften hvem som skal være databehandlingsansvarlig for opplysningene.
Det opplyses at det har vist seg meget vanskelig å få oversikt over regionale og lokale helseregistre i den desentraliserte helseforvaltningen.
Departementet foreslår at Kongen i Statsråd i forskrift skal kunne gi nærmere bestemmelser om behandling av helseopplysninger i regionale helseregistre for ivaretakelse av oppgaver etter smittevernloven, spesialisthelsetjenesteloven og tannhelsetjenesteloven. Forskriften skal angi formålet med behandlingen av opplysningene og hvilke opplysninger som kan behandles. Det framholdes at regionale sykdoms- og/eller kvalitetsregistre vil være meget viktige verktøy i avklaring av behandlingseffekter, virkninger og bivirkninger.
Videre foreslår departementet at Kongen i Statsråd i forskrift også skal kunne gi nærmere bestemmelser om behandling av helseopplysninger i lokale helseregistre for ivaretakelse av oppgaver etter kommunehelsetjenesteloven og smittevernloven.
Departementet foreslår at det i lovens kapittel om tillatelse til å behandle helseopplysninger, etablering av helseregistre etc. presiseres at behandling av helseopplysninger bare kan skje når dette er tillatt etter personopplysningsloven §§ 9 og 33 eller følger av bestemmelser fastsatt i forskrift med hjemmel i helseregisterloven. Det samme gjelder annen behandling av slike opplysninger dersom opplysningene inngår eller skal inngå i et helseregister. Videre foreslår departementet at det tas inn et tillegg om at behandlingen av opplysningene ikke skal være forbudt ved lov eller ved annet særskilt rettsgrunnlag som f.eks. menneskerettighetskonvensjoner Norge er bundet av.
Departementet foreslår at hovedregelen ved innsamling av helseopplysninger til sentrale, regionale og lokale helseregistre skal være at den registrertes samtykke skal innhentes før opplysningene utleveres eller overføres, evt. innhentes fra den registrerte selv. Lovforslaget åpner opp for at helseopplysninger etter forskrift av Kongen i Statsråd skal kunne overføres til sentrale helseregistre selv om den registrerte ikke har samtykket, og selv om opplysningene er underlagt lovbestemt taushetsplikt. For bedre å synliggjøre hovedregelen om samtykke foreslår departementet at det tas inn et nytt annet punktum i kommunehelsetjenesteloven § 3-4 og tannhelsetjenesteloven § 3-4 om at utlevering av taushetsbelagte opplysninger etter første punktum skal skje etter samtykke fra den opplysningene angår, hvis ikke annet er bestemt i eller i medhold av lov. Departementet mener dette vil bidra til å styrke pasientenes vern mot spredning av taushetsbelagt pasientinformasjon.
Når det gjelder innsamling av helseopplysninger etter smittevernloven, foreslår departementet at smittevernloven harmoniseres til helseregisterloven.
Departementet har vurdert om noen diagnosetyper (f.eks. psykiske lidelser, kjønnssykdommer, rusmiddelavhengighet, HIV, AIDS) er så følsomme at de bør reguleres særskilt, slik som visse genetiske helseopplysninger i lov om bruk av medisinsk bioteknologi § 6-4 annet ledd. Departementet har kommet til at en ikke vil foreslå å særregulere nærmere bestemte opplysninger i loven, men framholder at det ikke er noe i veien for at den enkelte forskrift gjør dette. Departementet har også vurdert om enkelte opplysninger av betydning for helseforhold burde særreguleres, f.eks. personlige levevaner som røyking, alkoholkonsum etc., men vil ikke foreslå dette.
Departementet foreslår at dersom den registrerte føler at en registrering av nærmere bestemte opplysninger er sterkt belastende, skal han eller hun på vilkår ha en mulighet til få slettet eller sperret opplysningene.
Departementet har vurdert om den enkelte registrerte i sin alminnelighet bør kunne kreve at navn og fødselsnummer, eventuelt andre personentydige data, skal fjernes fra de øvrige opplysningene, før opplysningene overføres til sentrale, landsomfattende helseregister, men har kommet til ikke å ville fremme et slikt forslag.
Departementet foreslår at virksomheter og helsepersonell som tilbyr eller yter tjenester i henhold til apotekloven, kommunehelsetjenesteloven, smittevernloven, spesialisthelsetjenesteloven og tannhelsetjenesteloven, bør kunne pålegges meldingsplikt til sentrale, regionale og lokale helseregistre i forskrift.
Det foreslås at departementet skal kunne pålegge fylkeskommuner og kommuner å innrapportere avidentifiserte eller anonyme data til statistikk og også fastsette standarder m.v. for dette. Dagens kommunelov gir ikke departementet nødvendig lovhjemmel for dette, og det uttales at inntil dette endres, bør det være et tilstrekkelig rettsgrunnlag for statstikkinnhenting i helsesektoren i helseregisterloven.
Departementet mener det er viktig å synliggjøre krav til formålsangivelse, relevans og saklighet i forhold til behandling av helseopplysninger, og har lagt vekt på å harmonisere ordlyden i sikkerhetsbestemmelsen med tilsvarende bestemmelse i lov om behandling av personopplysninger.
For både sentrale helseregistre og regionale og lokale helseregistre mener departementet at formålet med behandlingen av helseopplysningene skal angis i forskrift. Slik som i lov om behandling av personopplysninger foreslås en bestemmelse om at helseopplysninger ikke kan anvendes til formål som er uforenlig med det opprinnelige formålet med innsamlingen av opplysningene, uten at den registrerte samtykker.
Departementet foreslår at helseopplysninger i elektroniske pasientjournaler og andre behandlingsrettede helseregistre kan sammenstilles med helseopplysninger i annen pasientjournal eller behandlingsrettet helseregister om samme pasient i tråd med helsepersonelloven §§ 25, 26 og 45. Formålet med en slik sammenstilling vil være å skaffe best mulig kunnskapsgrunnlag for pasientbehandling.
Departementet foreslår også at Kongen i Statsråd gis adgang til å gi særlige regler om sammenstilling av helseopplysninger i forskrift som gis etter loven §§ 7 og 8. Det eller de formål som kan begrunne sammenstilling av helseopplysninger, må framgå av forskriften, og formålet må omfattes av lovens formål.
Det framholdes at det kan stilles spørsmål om en utlevering av helseopplysninger fra koplingsinstansen til den instans som skal bearbeide dataene videre, har tilstrekkelig hjemmel i lov. Rettsgrunnlag for en slik praksis foreslås derfor tatt inn i loven.
Departementet har kommet til at taushetspliktbestemmelsen i helsergisterloven bør ta mønster av tilsvarende bestemmelse i spesialisthelsetjenesteloven.
Departementet mener adgangen til å utlevere helseopplysninger for sammenstilling bør framgå av loven, og foreslår rettsgrunnlag for dette.
Departementet foreslår å lovfeste en generell sikkerhetsbestemmelse som skal gjelde ved all behandling av helseopplysninger i helseforvaltningen og helsetjenesten. Bestemmelsen som foreslås, er harmonisert med sikkerhetsbestemmelsen i lov om behandling av personopplysninger, men knytter i tillegg informasjonssikkerhet til begrepet kvalitet.
Lovforslaget i proposisjonen gir Kongen adgang til å gi mer utdypende sikkerhetsforskrifter, bl.a. i form av krav til elektronisk signering, kommunikasjon og langtidslagring, om godkjenning av programvare, og om bruk av standarder m.v. Departementet finner at en slik hjemmel er nødvendig for å kunne gå over fra papirbasert til elektronisk behandling av helseopplysninger i helseforvaltningen og helsetjenesten.
Det framholdes at behandling av helseopplysninger etter lovforslaget forutsetter at det gis nærmere regler i forskrift, og at det i denne forbindelse blant annet må tas hensyn til avleveringsbestemmelsene i arkivloven med forskrift.
Departementet foreslår i proposisjonen at det inntas en bestemmelse om internkontroll, og en egen forskriftshjemmel om dette fordi det kan bli tale om mer omfattende og utdypende regler enn i den generelle forskriften, som blir fastsatt i henhold til lov om behandling av personopplysninger, og fordi det kan bli nødvendig å samordne interkontrollforskriften med den øvrige internkontrollvirksomhet innen helsetjenesten. Departementet har i lovforslaget brukt samme formulering som i personopplysningloven.
Ifølge departementets forslag skal den databehandlingsansvarlige svare på henvendelser om informasjon og innsyn i behandling av helseopplysninger, og anmodning om retting og sletting av helseopplysninger uten ugrunnet opphold og senest innen 30 dager. Dersom særlige grunner gjør det umulig å svare innen 30 dager, skal det gis foreløpig svar.
Departementet mener at det i utgangspunktet ikke skal kreves betaling for generell informasjon om helseregistre og behandling av helseopplysninger.
Når det gjelder forespørsel om innsyn i behandling av helseopplysninger om en selv, mener departementet at utgangspunktet fortsatt bør være at innsyn i slike opplysninger gis uten vederlag, men foreslår at dersom særlige grunner gjør det nødvendig, skal Kongen kunne gi forskrift om at den registrerte må betale vederlag inntil det som det koster å etterkomme kravet.
Departementet mener det er meget viktig å gi informasjon til befolkningen om behandling av helseopplysninger i sentrale, regionale og lokale helseregistre, og databehandlingsansvarlige for slike registre pålegges å informere allmennheten av eget tiltak. Departementet foreslår også bestemmelser som pålegger den databehandlingsansvarlige informasjonsplikt til den registrerte ved innsamling av helseopplysninger, både ved innsamling av opplysninger fra den registrerte og ved innsamling av opplysninger fra andre enn den registrerte. Informasjonsplikten ved innsamling av opplysninger fra den registrerte omfatter også informasjon om helseopplysningene vil bli utlevert til andre.
Departementet foreslår å lovfeste en rett til generell informasjon om helseregistre og elektronisk behandling av helseopplysninger til alle som ber om det, og videre at den registrerte skal ha en alminnelig rett til innsyn i behandling av helseopplysninger som kan knyttes til en selv, uansett i hvilke helseregistre disse helseopplysningene finnes. For å styrke tilliten til registre og elektronisk behandling av helseopplysninger ønsker departementet å utvide den registrertes innsynsrett i forhold til tidligere regelverk. Lovforslaget innebærer at innsynsretten i utgangspunktet også omfatter rene forskningsregistre.
Etter at de to utvalgene som departementet har opprettet til å utrede bruk av helseopplysninger i forsikring og biologisk prøvetaking i arbeidsforhold, har lagt fram innstilling, vil departementet vurdere om det bør innføres ytterligere restriksjoner på behandling av helseopplysninger.
Departementet foreslår en felles unntaksregel fra plikten til å varsle den registrerte ved innsamling av helseopplysninger og fra innsynsretten. Bestemmelsen har tatt utgangspunkt i en tilsvarende unntaksregel i lov om behandling av personopplysninger. Databehandlingsansvarlige som nekter å gi innsyn i medhold av en eller flere unntaksbestemmelser, må begrunne dette skriftlig med presis henvisning til unntakshjemmelen.
Departementet foreslår at det inntas egne bestemmelser om retting og sletting av helseopplysninger i helseregisterloven. Ved utformingen av bestemmelsen har departementet tatt utgangspunkt i de tilsvarende bestemmelsene i lov om behandling av personopplysninger. Det er bestemmelser om retting av mangelfulle helseopplysninger, sletting av unødvendige helseopplysninger og om sletting eller sperring av helseopplysninger som føles belastende for den registrerte.
Ved en inkurie ble ikke helsepersonellovens bestemmelse om sletting av opplysninger i pasientjournaler harmonisert til arkivloven, og med dette siktemål foreslås bestemmelsen i helsepersonelloven § 43 om sletting endret.
Departementet foreslår at dersom det er behandlet helseopplysninger som er uriktige, ufullstendige eller som det ikke er adgang til å behandle, skal den databehandlingsansvarlige sørge for å rette de mangelfulle opplysningene. Den databehandlingsansvarlige skal foreta rettingen av eget tiltak eller på begjæring fra den registrerte.
Når det gjelder retting av uriktige eller ufullstendige opplysninger i sentrale, regionale og lokale helseregistre, foreslår departementet at en bygger på tilsvarende bestemmelser som i lov om behandling av personopplysninger.
På samme måte som i lov om behandling av personopplysninger, foreslår departementet at Datatilsynet kan pålegge sletting av mangelfulle helseopplysninger, dersom tungtveiende personvernhensyn tilsier det. Et slikt pålegg vil gå foran arkivloven § 9 bokstav d. Før et slikt pålegg gis, skal Riksarkivaren høres.
Lovforslaget fastsetter at ved retting av helseopplysninger skal alltid eventuelle mottakere informeres.
Departementet har valgt å foreslå en egen bestemmelse om plikt til å slette helseopplysninger som det ikke lenger er nødvendig å oppbevare for å gjennomføre formålet med behandlingen av opplysningene, hvis ikke arkivlovgivningen eller annen lovgivning bestemmer at opplysningene skal oppbevares. Bestemmelsen er utformet etter mønster av tilsvarende bestemmelse i lov om behandling av personopplysninger.
Departementet foreslår at det inntas en generell bestemmelse i loven om at helseopplysninger kan lagres for historiske, statistiske eller vitenskapelige formål, dersom samfunnets interesse i at opplysningene lagres klart overstiger de ulempene det kan medføre for den enkelte.
Når det gjelder sletting av helseopplysninger i elektroniske pasientjournaler og andre behandlingsrettede helseregistre, henviser lovforslaget til bestemmelsene i helsepersonelloven. For helseopplysninger i andre helseregistre enn behandlignsrettede helseregistre, mener departementet det bør være en slettingsrett for den registrerte på visse vilkår.
Departementet foreslår at den registrerte kan kreve helseopplysninger om seg selv slettet eller sperret dersom den registrerte føler det sterkt belastende at opplysningene behandles, og det ikke av sterke allmenne hensyn finnes grunn til å oppbevare opplysningene. Dersom det i arkivlovgivningen er bestemt at opplysningene den registrerte krever slettet, skal oppbevares, kan den databehandlingsansvarlige ikke slette opplysningene etter egen vurdering. Et vedtak på tvers av arkivlovgivningen kan bare treffes av Datatilsynet etter at Riksarkivaren er hørt.
Etter lovforslaget kan krav om retting eller sletting av journalopplysninger i pasientjournalen rettes til helsepersonell som har dokumentasjonsplikt etter helsepersonelloven § 39, eller til den databehandlingsansvarlige for opplysningene, mens krav om retting eller sletting av helseopplysninger i sentrale, regionale og lokale helseregistre skal kunne rettes til den databehandlingsansvarlige for opplysningene. Dersom den databehandlingsansvarlige avslår et krav om retting eller sletting fra den registrerte, kan den registrerte anmode Datatilsynet om å pålegge den databehandlingsansvarlige å rette, evt. slette opplysningene. Departementet foreslår at Datatilsynets vedtak om retting eller sletting går foran reglene i arkivloven. Forslaget er i samsvar med tilsvarende bestemmelse i lov om behandling av personopplysninger. Avslag på krav om retting og sletting som omfattes av helsepersonelloven §§ 42 og 43, kan påklages til fylkeslegen som etter å ha innhentet uttalelse fra Datatilsynet, avgjør om retting evt. sletting kan foretas.
Departementet foreslår at Datatilsynet skal føre tilsyn med at loven og forskrifter som gis i medhold av loven, overholdes, og at feil eller mangler blir rettet, hvis ikke tilsynsoppgaven påligger Statens helsetilsyn etter lov om statlig tilsyn med helsetjenesten. Forholdet mellom Datatilsynets og Helsetilsynets oppgaver, tilsynsansvar og påleggsmyndighet drøftes nærmere, og det framholdes bl.a. at utgangspunktet for Datatilsynets tilsynsansvar er det personvernfaglige, mens Statens helsetilsyn skal føre tilsyn med loven i forhold til helsefaglige spørsmål.
For å legge forholdene til rette for at det faktisk foregår en dialog mellom Datatilsynet og den databehandlingsansvarlige før en behandling av helseopplysninger tar til, foreslår departementet en presisering av meldeplikten som innebærer at melding til Datatilsynet skal gis senest 30 dager før behandling av helseopplysninger tar til, og at Datatilsynet skal gi den databehandlingsansvarlige kvittering for at melding er mottatt.
Departementet foreslår at opprettelse og behandling av helseopplysninger i sentrale, landsomfattende registre, som reguleres ved egen forskrift med hjemmel i loven, underlegges meldeplikt til Datatilsynet. Departementet foreslår videre at helseregistre og elektronisk behandling av helseopplysninger som kommuner og fylkeskommuner driver for å ivareta lovpålagte oppgaver, og som har hjemmel i forskrift i medhold av helseregisterloven, underlegges meldeplikt til Datatilsynet. Når det gjelder hvilke opplysninger meldingen til Datatilsynet skal inneholde, foreslås en bestemmelse som er harmonisert med den tilsvarende bestemmelse i lov om behandling av personopplysninger.
Departementet foreslår at Datatilsynet gis adgang til å gi den databehandlingsansvarlige pålegg om at behandling av helseopplysninger i strid med loven skal opphøre, eller stille vilkår som må oppfylles for at behandlingen av helseopplysningene skal være i samsvar med loven. Videre foreslår departementet at Statens helsetilsyn kan gi slike pålegg dersom det kan antas at behandlingen av helseopplysningene kan ha skadelige følger for pasienten. Statens helsetilsyn skal informeres når Datatilsynet treffer en avgjørelse om pålegg, og Datatilsynet skal informeres når Statens helsetilsyn treffer en avgjørelse om pålegg. Pålegg skal iverksettes straks hvis ikke påleggsmyndigheten bestemmer noe annet.
Departementet foreslår også at Datatilsynet kan fastsette tvangsmulkt. Det uttales at da Helsetilsynet verken etter tidligere rett eller etter de nye helselovene gis adgang til å ilegge tvangsmulkt, er det naturlig at Helsetilsynet heller ikke gis dette etter helseregisterloven.
Departementet har kommet til at straffebestemmelsene i helseregisterloven i størst mulig grad bør harmonisere med tilsvarende bestemmelser i lov om behandling av personopplysninger.
Departementet foreslår at følgende handlinger evt. unnlatelser etter loven skal kunne straffeforfølges:
unnlatelse av å informere den registrerte om innsamling av opplysninger
behandling av helseopplysninger i strid med bestemmelsene om sikring av konfidensialitet, integritet, kvalitet og tilgjengelighet
behandling av helseopplysninger i strid med bestemmelsen om databehandlers rådighet over helseopplysningene
unnlatelse av å sende melding til Datatilsynet
unnlatelse av å gi opplysninger til tilsynsmyndighetene
unnlatelse av å etterkomme pålegg fra Datatilsynet og Statens helsetilsyn
Videre mener departementet at overtredelse av eventuell meldingsplikt fastsatt i henhold til forskrift etter loven, bør kunne straffesanksjoneres, og eventuelt også overtredelse av andre krav som forskriftfestes.
Departementet foreslår at det inntas egne erstatningsregler i loven for å synliggjøre og presisere gjeldende rett og ny lovgivning på området.
Det vises til at når personopplysningsloven har trådt i kraft, vil den være den generelle loven for behandling av personopplysninger. Bestemmelsene om behandling av helseopplysninger i helseregisterloven vil være spesialbestemmelser i forhold til tilsvarende bestemmelser i personopplysningsloven. Departementet foreslår at det i helseregisterloven inntas en bestemmelse om at i den utstrekning ikke annet følger av loven, gjelder personopplysningsloven som utfyllende bestemmelser.Videre vil de alminnelige regler for behandling av personopplysninger i personopplysningsloven være rettsgrunnlag for Datatilsynet i behandlingen av konsesjonspørsmål.
Det uttales at det er vanskelig å være konkret i vurderingene knyttet til mulige administrative og økonomiske konsekvenser av lovforslaget, men at arbeidet med forskriftene i større grad vil kunne avdekke økonomiske og administrative konsekvenser ved innføring av elektronisk informasjonsteknologi.
Det framholdes at journalforskriften må revideres; eventuelt må det utarbeides en ny forskrift om elektroniske pasientjournaler. Departementet har beregnet at arbeidet med journalforskriften vil kreve ca. ett årsverk, eller ca. 500 000 kroner på sentralt hold. Dette forskriftsarbeidet vil også bedre kunne konkretisere de økonomiske kostnadene ved overgangen til elektroniske pasientjournaler.
Overgangen til elektroniske pasientjournaler og elektronisk samhandling og kommunikasjon antas å medføre flere praktiske fordeler knyttet til effektivisering og kvalitet på helsetjenesten. Det framholdes at kostnadene må veies opp mot forventet gevinst ved gjennomføring av tiltakene.
Det uttales at gevinsten for helsevesenet og for samfunnet generelt representerer størrelser som ikke lar seg tallfeste fordi en ikke vil kunne se resultatene før noen tid er gått. Gevinsten for helseforvaltningen og helsetjenesten forutsetter at en bygger opp nødvendig kompetanse på området.
Det framholdes at lovbestemmelsene om sammenstilling og utlevering er synlige virkemidler for å følge opp og videreutvikle arbeidet som ble igangsatt med NOU 1997:26 «Tilgang til helseregistre», men at arbeidet med dokumentasjon av data vil kunne bli en tidkrevende prosess, og er en oppgave som innebærer et økt behov for ressurser. Samlet antas det at oppfølgingen av NOU 1997: 26 vil beløpe seg til ca. 2,9 mill. kroner første år, 2,7 mill. kroner annet og tredje driftsår, og ca. 2,5 mill. kroner i etterfølgende år.
Det uttales at det vil knytte seg utgifter til tilpasning av elektroniske pasientournaler, herunder behandlingsrettede helseregistre og andre helseregistre i helsetjenesten til lovens sikkerhetsbestemmelser, men at konkrete beløp er vanskelig å anslå, og at det vil variere avhengig av om aktørene driver registre og/eller hvor langt en er kommet i å ta i bruk elektronisk kommunikasjon.
Det framholdes at innføring av internkontroll i en overgangsperiode vil medføre etableringskostnader, men at internkontroll som alle andre kvalitetssystemer også har som mål å effektivisere driften.
Når det gjelder helseregistre som allerede er etablert, vil databehandlingsansvarlige få noe utvidede plikter. Det uttales at merkostnadene her må anses som moderate, og at de må dekkes av de alminnelige driftsutgifter.
Det påpekes at erstatningsreglene er nye, og at en nærmere fastleggelse av de økonomiske kostnadene etter bestemmelsene bare kan bygge på antakelser. Departementet vil derfor vurdere de økonomiske og administrative konsekvenser av erstatningsreglene ca. 2 år etter lovens ikrafttreden.
Departementet forventer moderate økte kostnader for tilsynsmyndighetene.