2. Komiteens merknader
- 2.1 Generelle merknader
- Lovforslagets kap. 1 Lovens formål, definisjoner og virkeområde
- Lovforslagets kap. 2 Tillatelse til å behandle helseopplysninger, etablering av helseregistre, innsamling av opplysninger, meldingsplikt m.m.
- Lovforslagets kap. 3 Alminnelige bestemmelser om behandling av helseopplysninger
- Lovforslagets kap. 4 Databehandlingsansvarliges informasjonsplikt og den registrertes innsynsrett
- Lovforslagets kap. 5 Særlige bestemmelser om retting og sletting av helseopplysninger
- Lovforslagets kap. 6 Tilsyn, kontroll og sanksjoner
- 2.2 Merknader til de enkelte paragrafer
- § 1 Lovens formål
- § 2 Definisjoner
- § 3 Saklig virkeområde
- § 5 Behandling av helseopplysninger, konsesjonsplikt m.m.
- § 6 Behandlingsrettet helseregister
- § 7 Regionale og lokale helseregistre
- § 8 Sentrale helseregistre
- § 9 Særlig om innsamling av helseopplysninger til sentrale, regionale og lokale helseregistre, meldingsplikt m.v.
- § 11 Krav til formålsbestemthet, saklighet, relevans m.v.
- § 12 Sammenstilling av helseopplysninger
- § 15 Taushetsplikt
- § 24 Informasjonsplikt når det samles inn opplysninger fra andre enn den registrerte
- § 38 Endringer i andre lover
Komiteen, medlemmene fra Arbeiderpartiet, Bendiks H. Arnesen, Reidun Gravdahl, Asmund Kristoffersen, Karin Lian, Einar Olav Skogholt og Gunhild Øyangen, fra Kristelig Folkeparti, Åse Gunhild Woie Duesund og Are Næss, fra Høyre, Annelise Høegh og Sonja Irene Sjøli, fra Fremskrittspartiet, lederen John I. Alvheim og Harald T. Nesvik, fra Senterpartiet, Ola D. Gløtvold, og fra Sosialistisk Venstreparti, Olav Gunnar Ballo, vil påpeke at det foreliggende utkast til lov om helseregistre og behandling av personopplysninger klargjør hjemmelen for eksisterende helseregistre. Komiteen er kjent med at en slik klargjøring tidligere har vært etterlyst fra flere hold som ledd i å sikre gode retningslinjer for databaserte personopplysninger, og vil påpeke det positive i at lovutkastet ivaretar dette behovet.
Komiteen mener generelt at det skal stilles strengere krav til å godta opprettelse av et helseregister for forvaltningen enn for helsetjenesten. Fordi forvaltningens behov for informasjon ut fra ønsket om bedre forebyggingsstrategier egentlig ikke har noen grenser, kan i prinsippet hele befolkningens livsførsel registreres. Etter komiteens oppfatning bør en derfor være tilbakeholden med å opprette slike registre. Disse bør være avidentifiserte eller pseudonymiserte slik at ingen risikerer at opplysninger om ens livsstil og livsførsel kommer på avveie.
Komiteen viser til at siktemålet med loven er å legge til rette for fullgod informasjonssikkerhet ved behandling av helseopplysninger og bidra til at målene som kan settes for folkehelsen og den enkeltes helse kan nås.
Komiteen peker på at stadig mer omfattende informasjon er nødvendig for at helsetjenesten og helseforvaltningen på alle nivåer skal tilby den enkelte en best mulig helsehjelp, og for å kunne bedre befolkningens helsetilstand og utvikle effektive sykdomsforebyggende tiltak. Komiteen har merket seg at det hittil ikke har vært noen samlet lov for helseregistre og behandling av helseopplysninger. Det er etter komiteens mening hensiktsmessig å samle slike bestemmelser i én lov, slik det nå foreslås. Dette er viktig, både ut fra personverninteresse og samfunnsinteresse. Disse interessene vil oftest være sammenfallende, men ikke alltid.
Komiteen vil anmerke at det i Ot.prp. nr. 5 (1999-2000) foreslås at Stortinget skal gi fullmakt til at registre på sentrale, regionale og lokale nivåer kan etableres ved forskrift, jf. §§ 7 og 8. I samme forskrift kan det bestemmes at innsamlingen av helseopplysninger skal gjøres selv om den registrerte ikke har samtykket, jf. § 9.
Komiteens medlemmer fra Kristelig Folkeparti, Høyre, Senterpartiet og Sosialistisk Venstreparti er av den oppfatning at disse forhold kan medvirke til at tillitsforholdet mellom befolkningen og helsevesenet svekkes. Krav ved etablering av helseregistre må ta hensyn til at informasjon om enkeltmenneskers helseforhold er sensitiv i den forstand at den informasjonen gjelder, vil ønske at informasjonen benyttes til det formål den er innhentet for, og spres minst mulig. Enhver sammenstilling av helseinformasjon om enkeltmennesker vil innebære risiko for lekkasjer, misbruk og maktbruk ved at informasjonen benyttes i andre sammenhenger.
Det må derfor etter komiteens syn være et mål å finne registerløsninger som i rimelig grad tilgodeser hensynet til folkehelsen uten å krenke personvernet. Helseregistre med avidentifiserte eller pseudonymiserte helseopplysninger kan ivareta disse hensyn og bør etter komiteens syn benyttes der dette er hensiktsmessig. I den grad det er nødvendig ut fra hensynet til pasienten å benytte helseregistre med personidentifiserbare opplysninger, bør dette etter komiteens syn gjøres etter vedtak av Stortinget eller etter samtykke fra den registrerte. Ved å kreve stortingsbehandling før slike registre etableres sikres en demokratisk prosess som kan bidra til at nødvendige avveininger mellom hensynet til behovet for registre og hensynet til personvern foretas før vedtak treffes.
Komiteen vil påpeke at loven skal bidra til å ivareta et sterkt personvern på et område der det behandles følsomme opplysninger, og der grunnlaget for opplysningene bygger på et absolutt tillitsforhold mellom pasientene og helsepersonellet.
Dersom en skal utvikle effektive sykdomsforebyggende tiltak, behandlingsprosedyrer og behandlingsformer, trenger både helseforvaltningen og helsetjenesten på alle nivåer omfattende kunnskap, forståelse og informasjon. Det hevdes at det i dag mangler tilfredsstillende kvalitets- og styringsinformasjon som igjen har betydning for kvaliteten både på planleggingssida og behandlingssida. Både helseforvaltningen og helsetjenesten trenger dokumenterte kunnskaper om årsak til sykdom og nedsatt helse, såvel som årsaker til god helse.
Dette har stor betydning både i det forebyggende helsearbeidet og i den behandlende delen av helsetjenesten. Dette har også betydning for kapasitetsutbygging, kvalitet og effektivitet i helsetjenesten. Komiteen viser til at god oversikt over årsaksforhold både kan hindre pasientskader og utløse en bedre oppfølging av pasienter. Dessuten kan gode data fortelle om en behandlingsmetode er vellykket eller ikke vellykket. Noen av de helseregistre vi har i Norge, har nettopp bidratt til slike avklaringer.
Komiteen har merket seg at i de tilfeller der det blir gitt tillatelse til å samle data i registre, så skal opplysningene ligge i lukkete og interne systemer, som bl.a. betyr at disse systemer ikke kan tilkoples internett-løsninger.
Komiteen har også merket seg at det er klare restriksjoner på bruken av registre gjennom fastlagte regler for godkjenning. Kopling av registre kan bare skje gjennom godkjenning av det enkelte prosjekt eller formål.
Komiteen mener at det er viktig at personvernet sikres ved at personopplysninger avidentifiseres slik at opplysninger ikke kan tilbakeføres til den enkelte pasient. Komiteen vil også påpeke viktigheten av at i de tilfeller der det oppstår konflikt mellom personvernet og samfunnsinteresser, skal som hovedregel personvernet gå foran samfunnsinteressene, dog med unntak av opplysninger som er pålagt i henhold til andre lover, eksempelvis smittevernloven. Personvernhensyn må også vike når liv og helse står i fare for enkeltmennesker eller grupper av mennesker. Komiteen er av den oppfatning at lovens forskrifter skal forelegges Datatilsynet til uttalelse før ikrafttredelse.
Komiteen har merket seg at det i proposisjonen stilles krav om begrunnelse for nødvendigheten av å benytte personidentifiserbare opplysninger, både til regionale, lokale og sentrale helseregistre. Imidlertid kan slike registre opprettes i henhold til forskrift. Komiteen mener det er grunn til å iaktta særlig vaktsomhet når det gjelder bruk av personidentifiserbare opplysninger. Komiteen mener derfor at helseregistre som benytter personidentifiserbare opplysninger, og kombinasjoner av slike registre, ikke skal kunne opprettes gjennom forskrift.
Komiteen tror i likhet med det som sies i proposisjonen, at kunnskap om sykdomsårsaker er nødvendig for å drive helsefremmende og sykdomsforebyggende helsearbeid.
Det er flere faktorer som tilsier behov for å overvåke befolkningens helsetilstand over tid for å kunne oppdage endring i hyppighet av sykdom og risikofaktorer. På samme måte er kunnskap viktig for styring, planlegging, kvalitetsutvikling og kvalitetssikring av helsetjenestene.
Komiteen viser til at det i lovforslaget legges til grunn at ved innsamling av helseopplysninger til sentrale, regionale eller lokale helseregistre, skal hovedregelen være at den registrertes samtykke skal innhentes før opplysningene utleveres eller overføres, noe som tydeliggjøres ytterligere ved at kommunehelsetjenesteloven § 3-4 og tannhelsetjenesteloven § 3-4 om utlevering av taushetsbelagte opplysninger innskjerpes. Dette vil bidra til å gi pasienten et bedre vern mot spredning av taushetsbelagt pasientinformasjon.
Komiteen viser også til at det i loven foreslås at dersom en pasient føler at registrering av bestemte opplysninger er belastende, skal denne på visse vilkår ha mulighet til å få slettet eller sperret opplysningene.
Komiteen har merket seg at det må lovhjemles at behandlingsrettete registre kan føres elektronisk når dette er i samsvar med annen lovgivning, f.eks. personopplysningsloven §§ 9 og 33.
Komiteen viser til at det i §§ 7 til 8 i proposisjonen er åpnet for en adgang til at Kongen i Statsråd i forskrift kan etablere helseregistre med helseopplysninger. Komiteen mener at denne adgang kun skal gjelde i de tilfeller der den registrerte aktivt har gitt sitt samtykke eller identiteten er pseudonymisert eller opplysningene er avidentifisert. I andre tilfeller enn disse kan registre bare opprettes etter vedtak i Stortinget, enten gjennom egen lov eller proposisjon som inneholder en supplering av listen over lovbestemte registre.
Komiteen mener for øvrig at en lovregulerer dagens praksis for de allerede eksisterende registrene. Det vises i denne sammenheng til forslag til tredje ledd i § 8.
Komiteen har merket seg at formålet med behandlingen av helseopplysninger for alle registres vedkommende skal være kjent og klar. Helseopplysninger kan ikke brukes til formål som er uforenlig med det opprinnelige formålet med innsamlingen av opplysninger, med mindre at den registrerte samtykker.
Komiteen har merket seg at det stilles klare betingelser for å kunne sammenstille opplysninger fra to eller flere registre, og at dette må hjemles i forskrift og dessuten være hjemlet i lovens formål. Komiteen viser til at lovforslaget gir Kongen i Statsråd adgang til å gi mer utdypende sikkerhetsforskrifter.
Komiteen har merket seg at den databehandlingsansvarlige har plikt til å informere befolkningen om behandlingen av helseopplysninger i både sentrale, regionale og lokale registre på samme måte som slik informasjon skal gis til den registrerte. Det skal også gis informasjon om at helseopplysninger kan bli utlevert til andre, og eventuelt om hvem som er mottaker.
Komiteen ser det også som en betydelig styrking av personvernet at det nå blir en lovfestet rett til innsyn i behandlingen av helseopplysninger som kan knyttes til en selv, uavhengig av i hvilke helseregistre disse opplysningene finnes. Dette gjelder også innsyn i rene forskningsregistre.
Komiteen er tilfreds med at departementet vil vurdere om det bør innføres ytterligere restriksjoner på behandling av helseregistre etter at det er utredet bruk av helseopplysninger i forsikring og biologisk prøvetaking i arbeidsforhold.
Komiteen har merket seg ordninger for den enkelte til å få rettet mangelfulle helseopplysninger, sletting av unødvendige opplysninger og slettet eller sperret opplysninger som den registrerte føler er belastende. Disse bestemmelsene må slik det går fram av lovforslaget, holdes opp mot arkivlovgivningen som håndteres av Datatilsynet og Riksantikvaren.
Komiteen har merket seg at Datatilsynet skal føre tilsyn med at loven og forskriftene gitt i medhold av loven følges spesielt på det personvernfaglige. Statens helsetilsyn har tilsvarende ansvar i forhold til helsefaglige spørsmål. Komiteen har også merket seg at all opprettelse og behandling av helseopplysninger i alle registre skal underlegges meldeplikt til Datatilsynet.
Datatilsynet får også lovhjemmel til å stoppe behandling av helseopplysninger som er i strid med loven, eller gi pålegg om eventuelle vilkår som må oppfylles for at behandlingen skal være i samsvar med loven.
Komiteen viser til at det også innføres klare straffebestemmelser med fengsel og/eller bøter for brudd på loven.
Komiteen viser til at formålsparagrafen må legge meget klare føringer for å sikre at personvernet ikke blir krenket, ved at personvernhensyn ved behandlingen av helseopplysninger skal tillegges avgjørende vekt.
Komiteen viser også til at formålsparagrafen må legge grunnlaget for at systematisk og kvalitativ god informasjon og kunnskap skal være med å sikre at helsehjelp kan gis på en forsvarlig og effektiv måte.
På samme måte legges det til grunn at informasjon og kunnskap om helseforhold, årsaker til nedsatt helse og sykdomsutvikling kan brukes i helseplanleggingsarbeid, administrasjon, forskning og kvalitetssikring.
Formålsbestemmelsen skal gi føringer for hvilke hensyn som skal begrunne opprettelsen av helseregistre og behandlingen av denne informasjon, med andre ord hvilke krav som skal stilles.
Ved opprettingen av helseregistre er helseforvaltningen og helsetjenestens behov for sammenstilling av informasjon og kunnskap om flere pasienter et sentralt hensyn. Dette hensyn må etter komiteens syn avveies mot hensynet til den enkelte pasients personvern.
Komiteen fremmer følgende forslag:
«I lov om helseregistre og behandling av helseopplysninger skal § 1 lyde:
§ 1 Lovens formål
Formålet med denne lov er å bidra til å gi helsetjenesten og helseforvaltningen informasjon og kunnskap uten å krenke personvernet slik at helsehjelp kan gis på en forsvarlig og effektiv måte. Gjennom forskning og statistikk skal loven bidra til informasjon og kunnskap om befolkningens helseforhold, årsaker til nedsatt helse og utvikling av sykdom for administrasjon, kvalitetssikring, planlegging og styring. Loven skal sikre at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på helseopplysninger.»
Komiteen mener at det under definisjonene i § 2 bør vedtas et nytt punkt 4 om pseudonyme helseopplysninger for å få tydelig fram hva som er forskjellen på avidentifiserte opplysninger (nr. 2), anonyme opplysninger (nr. 3) og pseudonyme opplysninger (nytt nr. 4). Det vises for øvrig til forslag til lovtekst til §§ 7 og 8.
Komiteen fremmer følgende forslag:
«I lov om helseregistre og behandling av helseopplysninger skal § 2 nr. 4 lyde:
4. pseudonyme helseopplysninger: helseopplysninger der identitet er kryptert eller skjult på annet vis, men likevel individualisert slik at det lar seg gjøre å følge hver person gjennom helsesystemet uten at identiteten røpes.
Proposisjonens forslag til nr. 4-10 blir nr. 5-11.»
Komiteen viser til den beskrivelsen og definisjonen som er gitt av «behandlingsrettet register» i proposisjonens forslag til § 2 nr. 6 som etter forslag til ny nr. 4 vil bli nr. 7.
Komiteen slutter seg til denne definisjonen, men foreslår at formuleringen «pasientjournal eller annet helseregister» endres til «journal- og informasjonssystem». Dette endrer ikke innholdet i definisjonen, men synliggjør klart at det er det elektroniske systemet for pasientjournaler og ikke den enkelte pasientjournalen en tar sikte på å regulere, slik det også er lagt til grunn i proposisjonens tekst.
Det vises til at bl.a. helsepersonalets dokumentasjonsplikt, innholdet i pasientjournalen og helsepersonalets taushetsplikt reguleres i helsepersonelloven.
Komiteen fremmer følgende forslag:
«I lov om helseregistre og behandling av helseopplysninger skal § 2 nr. 7 lyde:
7. Behandlingsrettet helseregister: journal- og informasjonssystem eller annet helseregister som har til formål å gi grunnlag for handlinger som har forebyggende, diagnostisk, behandlende, helsebevarende eller rehabiliterende mål i forhold til den enkelte pasient og som utføres av helsepersonell, samt administrasjon av slike handlinger.»
Komiteens medlemmer fra Kristelig Folkeparti, Høyre, Senterpartiet og Sosialistisk Venstreparti er av den oppfatning at verken den enkelte pasientjournal eller en samling pasientjournaler kan ansees som et register. Et register blir det dersom opplysninger fra journal trekkes ut og oppbevares som en enhet.
Pasientjournalen bør på denne bakgrunn etter disse medlemmers syn skilles ut fra definisjonen av helseregister. Definisjonen bør formuleres slik at det først er når opplysninger fra journal trekkes ut og sammenstilles på bakgrunn av et bestemt formål, og/eller entydige kriterier, at opplysningene favnes av definisjonen helseregister.
Pasientadministrative systemer som i dag er konsesjonsbasert, bør etter disse medlemmers syn omfattes av loven for å sikre den registrertes rettigheter. Denne typen register vil være omfattet av definisjonen av helseregister.
Komiteen slutter seg til at loven skal gjelde for det virkeområdet som proposisjonen beskriver.
Komiteen viser til at helseregistre skal opprettes etter lov, og derfor må dette inntas i § 5 der ordene «eller følger av lov» tas inn i paragrafens første ledd. Komiteen fremmer følgende forslag:
«I lov om helseregistre og behandling av helseopplysninger skal § 5 første ledd lyde:
Helseopplysninger kan bare behandles elektronisk når dette er tillatt etter personopplysningsloven §§ 9 og 33 eller følger av lov, og behandlingen ikke er forbudt ved annet særskilt rettsgrunnlag. Det samme gjelder annen behandling av helseopplysninger, dersom opplysningene inngår eller skal inngå i et helseregister.»
Komiteen viser til at det i proposisjonens forslag til § 6 første ledd annet punktum er tatt med følgende:
«Helsepersonell som yter helsehjelp, skal registrere opplysningene i pasientjournalen i samsvar med dokumentasjonsplikt etter helsepersonalloven §§ 39 og 49.»
Komiteen foreslår å ta ut denne setningen da den er overflødig, idet en viser til at helsepersonellets dokumentasjonsplikt ved helsehjelp til den enkelte pasient reguleres av helsepersonelloven.
Komiteen fremmer følgende forslag:
«I lov om helseregistre og behandling av helseopplysninger skal § 6 første ledd lyde:
Behandlingsrettede helseregistre kan føres elektronisk. Det skal framgå av registeret hvem som har registrert opplysningene. Dette kan gjøres ved hjelp av elektronisk signatur eller tilsvarende sikker dokumentasjon.»
Komiteen viser til nedenstående forslag til § 7 og viser til at bestemmelsen i paragrafen innebærer at det gis forbud mot å etablere regionale og lokale helseregistre, med mindre det følger av denne eller annen lov.
Det vises videre til at det følger av bestemmelsene i annet og tredje ledd at Kongen i Statsråd kan gi forskrift om regionale og lokale helseregistre, men at navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn bare kan innsamles og behandles i slike registre etter samtykke fra den registrerte.
Komiteen viser til at dette innebærer at uten den registrertes samtykke må navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn pseudonymiseres/krypteres før opplysninger oversendes til et regionalt eller lokalt helseregister, og mottaker må ikke kunne dekryptere opplysningene.
Komiteen viser til omtale av pseudonyme helseopplysninger i § 2 og foreslår at helseopplysninger i pseudonymisert form eller avidentifisert form kan danne grunnlag for registre uten samtykke fra den registrerte. Dette tas inn i denne paragrafen i tillegg til i § 8.
Komiteen viser til at det følger av annet ledd i bestemmelsene at Kongen i Statsråd for visse formål kan gi forskrift om sentrale helseregistre, men at navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn bare kan innsamles og behandles i slike registre etter samtykke fra den registrerte. Dette innebærer at uten den registrertes samtykke, må navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn, pseudonymiseres/avidentifiseres før opplysninger oversendes til et sentralt helseregister, og mottaker må ikke kunne dekryptere opplysningene. Dette framgår nå tydelig av annet ledd tredje punktum og tredje ledd tredje punktum.
Komiteens medlemmer fra Kristelig Folkeparti, Høyre, Senterpartiet og Sosialistisk Venstreparti vil anmerke at ved å sammenstille opplysninger fra flere helseregistre vil opplysningene akkumuleres. Med moderne informasjonsteknologi kan det bli mulig å stille opplysninger sammen uten at opplysningene blir akkumulert i et nytt register. Komiteen mener at denne måten å stille opplysninger sammen på, vil tilgodese behovet for å få stilt opplysningene sammen for den enkelte anledning, samtidig som man unngår å skape nye, større registre ved sammenstillingen.
Komiteen mener enhver opprettelse av helseregister må gjøres på bakgrunn av en avveining mellom det formålet registeret skal ivareta, og personverninteresser, jf. § 1. I forbindelse med etablering av helseregisteret bør formålet etter komiteens syn være entydig. I tillegg må det etter komiteens syn klart framgå hvilke opplysninger som kan innhentes, og begrunnelsen for å benytte helseopplysninger.
Komiteen fremmer følgende forslag:
«I lov om helseregistre og behandling av helse- opplysninger skal § 7 lyde:
§ 7 Regionale og lokale helseregistre
Det kan ikke etableres andre regionale og lokale helseregistre med helseopplysninger enn det som følger av denne eller annen lov.
Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om etablering av regionale helseregistre og behandling av helseopplysninger i regionale helseregistre for ivaretakelse av oppgaver etter smittevernloven, spesialisthelsetjenesteloven og tannhelsetjenesteloven. Navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn kan bare behandles etter samtykke fra den registrerte. Samtykke fra den registrerte er ikke nødvendig, dersom det i forskriften bestemmes at helseopplysningene bare kan behandles i pseudonymisert eller avidentifisert form. Forskriften skal angi formålet med behandlingen av helseopplysningene, hvilke opplysninger som kan behandles, og eventuelt nærmere regler om hvem som skal foreta pseudonymiseringen og prinsipper for hvordan det skal gjøres. Fylkeskommunen er databehandlingsansvarlig for opplysningene, med mindre noe annet er bestemt i forskriften. Databehandlingsansvaret kan delegeres.
Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om etablering av lokale helseregistre og behandling av helseopplysninger i lokale helseregistre for ivaretakelse av oppgaver etter kommunehelsetjenesteloven og smittevernloven. Navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn kan bare behandles etter samtykke fra den registrerte. Samtykke fra den registrerte er ikke nødvendig, dersom det i forskriften bestemmes at helseopplysningene bare kan behandles i pseudonymisert eller avidentifisert form. Forskriften skal angi formålet med behandlingen av helseopplysningene, hvilke opplysninger som kan behandles, og eventuelt nærmere regler om hvem som skal foreta pseudonymiseringen og prinsipper for hvordan det skal gjøres. Kommunen er databehandlingsansvarlig for opplysningene, med mindre noe annet er bestemt i forskriften. Databehandlingsansvaret kan delegeres.»
Komiteen viser til sine merknader til § 7 og at disse også gjelder for § 8. Komiteen viser spesielt til tredje ledd i nedenstående forslag til § 8 som gir det lovmessige grunnlag for å videreføre dagens praksis for eksisterende registre.
Komiteen viser til sine merknader under § 7 om etablering av helseregistre med avidentifiserte eller pseudonyme helseopplysninger.
Komiteen mener Stortinget må ta konkret stilling til om det skal opprettes helseregistre med personopplysninger, dersom det skal utløse opplysningsplikt fra helsepersonell uten tillatelse fra den opplysningene gjelder.
Enhver opprettelse av helseregister må etter komiteens syn gjøres på bakgrunn av en avveining mellom det formål registeret skal ivareta og personverninteresser, jf. § 1. I forbindelse med etablering av helseregisteret bør formålet etter komiteens syn være entydig. I tillegg må det etter komiteens syn klart fremgå hvilke opplysninger som kan innhentes og begrunnelsen for å benytte helseopplysninger.
Komiteen fremmer følgende forslag:
«I lov om helseregistre og behandling av helseopplysninger skal § 8 lyde:
§ 8 Sentrale helseregistre
Det kan ikke etableres andre sentrale helseregistre med helseopplysninger enn det som følger av denne eller annen lov.
Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om etablering av sentrale helseregistre og behandling av helseopplysninger i sentrale helseregistre for ivaretakelse av oppgaver etter apotekloven, kommunehelsetjenesteloven, tannhelsetjenesteloven, smittevernloven og spesialisthelsetjenesteloven, herunder overordnet styring og planlegging av tjenestene, kvalitetsutvikling, forskning og statistikk. Navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn kan bare behandles etter samtykke fra den registrerte. Samtykke fra den registrerte er ikke nødvendig, dersom det i forskriften bestemmes at helseopplysningene bare kan behandles i psudonymisert eller avidentifisert form. Forskriften skal eventuelt fastsette nærmere regler om hvem som skal foreta pseudonymiseringen og prinsipper for hvordan det skal gjøres.
I følgende registre kan navn, fødselsnummer og andre direkte personidentifiserende kjennetegn behandles uten samtykke fra den registrerte i den utstrekning det er nødvendig for å nå formålet med registeret:
1 Dødsårsaksregisteret
2 Kreftregisteret
3 Medisinsk fødselsregister
4 Meldesystemet for infeksjonssykdommer
5 Det sentrale tuberkuloseregisteret
6 System for vaksinasjonskontroll (SYSVAK)
Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om behandlingen av helseopplysningene i helseregistrene.
Forskriftene etter annet og tredje ledd skal angi formålet med behandlingen av helseopplysningene og hvilke opplysninger som skal behandles. Forskriften skal videre angi hvem som er databehandlingsansvarlig for opplysningene.
Databehandlingsansvaret kan delegeres. Forskriftene bør også gi bestemmelser om den databehandlingsansvarliges plikt til å gjøre data tilgjengelig for at formålene kan nås.»
Komiteen viser til merknader knyttet til § 2, der komiteen også har tatt inn en definisjon av pseudonyme helseregistre, fordi komiteen ser behovet for å tilrettelegge for forskjellige typer registre i andre former enn personidentifiserbar form. Etter komiteens syn bør det i forskrifter til denne lov utarbeides klare retningslinjer for opprettelsen av sentrale helseregistre med avidentifiserte eller pseudonyme helseopplysninger. I disse forskriftene må det etter komiteens syn klargjøres på hvilke vilkår helseopplysningene skal avidentifiseres eller pseudonymiseres, og med det formål at personvernet sikres for den enkelte. Etter komiteens syn bør Statistisk sentralbyrå spille en nøkkelrolle i avidentifiseringen sammen med et annet organ som råder over koder for identifisering, og da på en slik måte at personvernet for den enkelte er sikret best mulig ved avidentifiseringen eller pseudonymiseringen.
Komiteen vil under henvisning til de foreslåtte endringer i §§ 7 og 8 tilpasse § 9 til disse paragrafene.
Komiteen fremmer følgende forslag:
«I lov om helseregistre og behandling av helseopplysninger skal § 9 lyde:
§ 9 Særlig om innsamling av helseopplysninger til sentrale, regionale og lokale helseregistre, meldingsplikt m.v.
Virksomheter og helsepersonell som tilbyr eller yter tjenester i henhold til apotekloven, kommunehelsetjenesteloven, smittevernloven, spesialisthelsetjenesteloven eller tannhelsetjenesteloven, plikter å utlevere eller overføre opplysninger som bestemt i forskrifter etter §§ 7 og 8 samt etter paragrafen her.
Kongen kan gi forskrifter om innsamling av helseopplysninger etter §§ 7 og 8, herunder bestemmelser om hvem som skal gi og motta opplysningene og om frister, formkrav og meldingsskjemaer. Den som mottar opplysningene, skal varsle avsenderen av opplysningene dersom opplysningene er mangelfulle.»
Komiteen vil påpeke at den databehandlingsansvarlige skal være ansvarlig for at de opplysninger som behandles, er nødvendige og relevante for formålet med behandlingen av opplysningene, og dermed altså for at opplysningene må være nødvendige, i stedet for tilstrekkelige, som er opprinnelig ordlyd i lovforslaget.
Komiteen fremmer følgende forslag:
«I lov om helseregistre og behandling av helseopplysninger skal § 11 første ledd annet punktum lyde:
Den databehandlingsansvarlige skal sørge for at helseopplysningene som behandles er relevante og nødvendige for formålet med behandlingen av opplysningene.»
Komiteen slutter seg til proposisjonens forslag til lovformulering.
Komiteen understreker at helsepersonellovens taushetspliktbestemmelser også setter rammer for kommunikasjonen av pasientopplysninger i pasientadministrative systemer.
Komiteen viser til sine merknader til § 7.
Komiteen slutter seg til proposisjonens forslag til lovformulering om taushetsplikt etter reglene i forvaltningslovens §§ 13 til 13 e, men med tillegg av henvisning også til helsepersonellovens bestemmelser om taushetsplikt.
I kontakten mellom pasient og helsearbeider og den informasjon dette genererer, gjelder selvsagt taushetspliktreglene i profesjonslovgivningen for de forhold dette er relevant for.
Komiteen viser til at omtalen av pseudonyme helseopplysninger foran også får konsekvens for teksten i § 15, der ordet «pseudonym» inntas i opplistingen over hva taushetsplikten gjelder.
Komiteen fremmer følgende forslag.
«I lov om helseregistre og behandling av helseopplysninger skal § 15 første og annet ledd lyde:
Enhver som behandler helseoplysninger etter denne lov, har taushetsplikt etter forvaltningsloven §§ 13 til 13e og helsepersonelloven.
Taushetsplikten etter første ledd gjelder også pasientents fødested, fødselsdato, personnummer, pseudonym, statsborgerforhold, sivilstand, yrke, bopel og arbeidssted.»
Komiteen viser til at denne paragrafen er en parallell til § 20 i lov om behandling av personopplysninger, og at det i § 20 annet ledd i denne loven heter at
«Den registrerte har ikke krav på varsel etter første ledd dersom
a) innsamlingen eller formidlingen av opplysningene er uttrykkelig fastsatt i lov,»
På denne bakgrunn fremmer komiteen følgende forslag:
«I lov om helseregistre og behandling av helseopplysninger skal § 24 annet ledd pkt. 1 lyde:
1 innsamlingen eller formidlingen av opplysningene er uttrykkelig fastsatt i lov,»
Komiteen viser til at forslagene i proposisjonen til endring av helsepersonelloven § 43 ble vedtatt i forbindelse med behandlingen av Ot.prp. nr. 14 (2000-2001), jf. Innst. O. nr. 38 (2000-2001). Disse forslagene blir følgelig ikke fremmet i denne innstillingen.
Komiteen viser videre til at forslag til lov om pasientskader m.v. (jf. Ot.prp. nr. 31 (1998-1999) og Ot.prp. nr. 55 (1999-2000) ennå ikke er behandlet av Stortinget, og fremmer følgelig ikke forslaget til endring av § 4 annet ledd i pasientskadeloven.
Komiteens flertall, medlemmene fra Arbeiderpartiet og Fremskrittspartiet, viser til ovenstående forslag til forandringer i helseregisterloven som krever at andre lover må harmoniseres slik at bestemmelser i disse lovene samsvarer med bestemmelsene i helseregisterloven.
Flertallet fremmer følgende forslag:
«I lov 5. august 1994 nr. 55 om vern mot smittsomme sykdommer skal § 2-3 lyde:
§ 2-3 Meldingsplikt for leger. Varslingsplikt for sykepleiere og jordmødre
En lege som oppdager en smittet person, har meldingsplikt etter forskrifter gitt i medhold av fjerde ledd uten hinder av lovbestemt taushetsplikt. En sykepleier eller jordmor som i sin virksomhet oppdager en smittet person har varslingsplikt etter forskrifter gitt i medhold av fjerde ledd uten hinder av lovbestemt taushetsplikt.
Den som etter første ledd mottar opplysninger undergitt taushetsplikt, har samme taushetsplikt som dem som gir opplysningene.
Når en lege som er meldingspliktig etter bestemmelsen i første ledd, gir en melding som identifiserer en person, skal legen informere den meldingen angår, om hvem som skal få meldingene og hva de skal brukes til.
Kongen i Statsråd kan gi forskrifter om behandling av helseopplysninger, herunder om bruk av navn, fødselsnummer eller andre personidentifiserende kjennetegn i samsvar med helseregisterloven. Forskriftene skal angi formålet med behandlingen av opplysningene, og hvilke smittsomme sykdommer som skal meldes eller varsles. Kongen i Statsråd kan også gi forskrifter om meldingsplikt for bivirkninger av forebyggende tiltak, og om undersøkelse, behandling og andre tiltak etter loven. Kongen kan gi nærmere bestemmelser om hvem som skal melde eller varsle, og om formkrav, meldingsskjemaer og frister for meldingene og varslene, herunder om hvem som kan eller skal motta meldinger og varsler.
Uten samtykke fra departementet kan verken private eller offentlige sette i verk meldingsordninger for smittsomme sykdommer hos mennesker. Dette gjelder ikke interne systemer.
Ved utbrudd av allmennfarlig smittsom sykdom, eller når det er fare for slikt utbrudd, og når det er nødvendig av hensyn til smittevernet, kan Statens helsetilsyn med øyeblikkelig virkning pålegge personer som nevnt i første ledd midlertidige meldings- og varslingsplikter som fraviker fra forskrifter etter fjerde ledd uten hinder av lovbestemt taushetsplikt.»
Komiteens medlemmer fra Kristelig Folkeparti, Høyre, Senterpartiet og Sosialistisk Venstreparti vil anmerke at krav til behandling av opplysninger i helseregistre vedrørende smittsomme sykdommer bør hjemles på samme måte som krav til andre registre, og reguleres etter §§ 7, 8 og 9 i denne lov. På denne bakgrunn finner disse medlemmer ikke grunn til å endre § 2-3 i smittevernloven.
Komiteen fremmer følgende forslag:
«I lov om helsepersonell skal § 37 lyde:
§ 37 Melding til helseregistre m.v.
Kongen kan pålegge helsepersonell med autorisasjon eller lisens å gi opplysninger til helseregistre i samsvar med forskrift gitt i medhold av helseregisterloven.»
Komiteens medlemmer fra Kristelig Folkeparti, Høyre, Senterpartiet og Sosialistisk Venstreparti viser til at den foreslåtte endring i helsepersonelloven § 37 gir en åpen fullmakt til Kongen i Statsråd til å etablere de helseregistre som anses nødvendig ut fra helseadministrative formål.