Innstilling fra sosialkomiteen om lov om helseregistre og behandling av helseopplysninger (helseregisterloven)
Dette dokument
- Innst. O. nr. 62 (2000-2001)
- Kildedok: Ot.prp. nr. 5 (1999-2000)
- Dato: 27.03.2001
- Utgiver: Sosialkomiteen
- Sidetall: 23
Tilhører sak
Alt om
Innhold
- 1. Sammendrag
- 1.1 Innledning
- 1.2 Bakgrunn
- 1.3 Gjeldende rett
- 1.4 Menneskerettighetene
- 1.5 Lovgivning i andre land
- 1.6 Viktige hensyn lov om helseregistre og behandling av helseopplysninger må ivareta
- 1.7 Lovens formål, definisjoner og virkeområde
- 1.8 Etablering av helseregistre og elektronisk behandling av helseopplysninger, innsamling av opplysningene mv.
- 1.9 Alminnelige bestemmelser om behandling av helseopplysninger
- 1.10 Informasjonsplikt og innsynsrett
- 1.11 Retting og sletting av helseopplysninger
- 1.12 Tilsyn, kontroll og sanksjoner
- 1.13 Forholdet til andre lover
- 1.14 Økonomiske og administrative konsekvenser av de enkelte lovforslag
- 2. Komiteens merknader
- 2.1 Generelle merknader
- Lovforslagets kap. 1 Lovens formål, definisjoner og virkeområde
- Lovforslagets kap. 2 Tillatelse til å behandle helseopplysninger, etablering av helseregistre, innsamling av opplysninger, meldingsplikt m.m.
- Lovforslagets kap. 3 Alminnelige bestemmelser om behandling av helseopplysninger
- Lovforslagets kap. 4 Databehandlingsansvarliges informasjonsplikt og den registrertes innsynsrett
- Lovforslagets kap. 5 Særlige bestemmelser om retting og sletting av helseopplysninger
- Lovforslagets kap. 6 Tilsyn, kontroll og sanksjoner
- 2.2 Merknader til de enkelte paragrafer
- § 1 Lovens formål
- § 2 Definisjoner
- § 3 Saklig virkeområde
- § 5 Behandling av helseopplysninger, konsesjonsplikt m.m.
- § 6 Behandlingsrettet helseregister
- § 7 Regionale og lokale helseregistre
- § 8 Sentrale helseregistre
- § 9 Særlig om innsamling av helseopplysninger til sentrale, regionale og lokale helseregistre, meldingsplikt m.v.
- § 11 Krav til formålsbestemthet, saklighet, relevans m.v.
- § 12 Sammenstilling av helseopplysninger
- § 15 Taushetsplikt
- § 24 Informasjonsplikt når det samles inn opplysninger fra andre enn den registrerte
- § 38 Endringer i andre lover
- 2.1 Generelle merknader
- 3. Komiteens tilråding
Regjeringen legger i proposisjonen fram forslag til lov om helseregistre og behandling av helseopplysninger (helseregisterloven). Siktemålet med loven er å legge til rette for fullgod informasjonssikkerhet ved behandling av helseopplysninger og bidra til at målene som settes for folkehelsen og den enkeltes helse, kan nås. Det uttales at loven skal bidra til å ivareta et sterkt pasientvern såvel som personvern.
Det framholdes at en viktig utfordring for den utøvende helsetjeneste er hvordan en skal sikre opplysningenes konfidensialitet og kvalitet, og samtidig sikre helsetjenesten adekvat tilgang på opplysninger for å kunne tilby den enkelte pasient best mulig helsehjelp.
Det har i de siste 20 år vært nedsatt en rekke forskjellige arbeidsgrupper og utvalg for å vurdere ulike sider som drift, organisering, ansvarsforhold, hjemmelsspørsmål og lignende for de epidemiologiske registrene i Norge. Det redegjøres i proposisjonen for USEI-rapportene («Utredning vedrørende samarbeid mellom sentrale epidemiologiske institutter»), Lerche-utvalget, Hellandsvik-utvalgets delrapport nr. 6, NOU 1993:22 Pseudonyme helseregistre (Boe-utvalget), Sosial- og helsedepartementets IT-plan og NOU 1997:26 Tilgang til helseregistre.
Sosial- og helsedepartementet sendte i november 1998 utkast til lov om helseregistre og elektronisk behandling av helseopplysninger på høring. Høringsfristen ble satt til februar 1999. Departementet har mottatt 101 svar på høringsbrevet.
Departementet har særlig vurdert om opprettelsen av landsomfattende helseregistre bør skje direkte i lov, ved at det gis en lov for hvert sentralt register. Det uttales at demokratihensyn og kanskje muligheten til bedre å sikre den politiske debatt kunne tale for å legge en slik myndighet til Stortinget. Departementet har imidlertid kommet til ikke å ville foreslå en slik løsning idet det mener at personvernet kan bli like godt, om ikke bedre, ivaretatt, ved at Stortinget gir rammebestemmelser for sentrale helseregistre, og at det enkelte register opprettes ved forskrift.
I arbeidet med proposisjonen har departementet særskilt vurdert forslaget fra Den nasjonale forskningsetiske komité om å innta et forbud mot at arbeidsgivere, forsikringsselskaper og lignende interessenter skal kunne be om samtykke fra enkeltpersoner for å få tilgang til data fra forskningsregistre. Departementet finner det riktig å avvente den pågående utredning om dette før en tar endelig stilling til forslaget.
Det vises til at Sosial- og helsedepartementet har nedsatt et utvalg for å utrede problemstillinger knyttet til biologisk prøvetaking i arbeidslivet. Utvalget skal bl.a. vurdere om det er tilstrekkelig regulert hvordan helseopplysninger skal behandles, og hva resultatet av prøvetakingen skal brukes til. Dersom utredningen viser at det er behov for nye tiltak for å beskytte arbeidssøkere og arbeidstakere på dette området, bør utvalget foreslå nødvendige tiltak, herunder forslag til endringer i regelverk/avtaler/praksis. Utvalget skal avgi sin innstilling innen juni 2000.
Det framholdes at spørsmål om innsamling, lagring og bruk av biologisk materiale reiser en rekke rettslige spørsmål som dagens personvernlovgivning og helselovgivning ikke tar stilling til. Det uttales at Sosial- og helsedepartementet arbeider med å nedsette et utvalg som nærmere skal utrede ulike rettslige spørsmål i forhold til bioteknologi, forskning og biobanker.
Om gjeldende rett framholdes bl.a. at når en skal vurdere hjemmelsgrunnlaget til helseregistre og andre informasjonssystemer, må en ta utgangspunkt i følgende forhold:
Personidentifiserbare helseopplysninger som foreligger i helseregistre, er opplysninger som i utgangspunktet er underlagt taushetsplikt, og det må stilles spørsmål om det er adgang til å gjøre unntak fra taushetsplikten.
Det må skilles mellom opplysningsrett og opplysningsplikt, og det må foreligge et rettsgrunnlag for å kunne pålegge noen en meldeplikt.
Dersom det er tillatt å utlevere helseopplysningene med basis i taushetspliktbestemmelsene, oppstår spørsmålet om disse opplysningene kan registreres.
Det gis en generell redegjørelse om taushetsplikt, og det redegjøres nærmere for relevante bestemmelser i helselovgivningen og personregisterloven. Det framholdes bl.a. at alle landets helseregistre bortsett fra elektroniske pasientjournaler i den offentlige helsetjeneste er underlagt konsesjonsplikt etter personregisterloven.
Det understrekes at både folketrygdloven og arbeidsmiljøloven har bestemmelser som er av stor betydning for muligheten til å opprette helseregistre utenfor helseforvaltningen og helsetjenesten.
Videre redegjøres for direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, og forholdet til det foreliggende lovforslaget. Direktivet ble besluttet innlemmet i EØS-avtalen 25. juni 1999.
Det framholdes at etter Grunnloven § 110 bokstav c første punktum påligger det statens myndigheter å respektere og sikre menneskerettighetene.
De mest sentrale konvensjonene av betydning for behandling av helseopplysninger er Europarådets konvensjon av 4. november 1950 om beskyttelse av menneskerettighetene og de grunnleggende friheter (EMK), Europarådets konvensjon av 28. januar 1981 nr. 108 om personvern i forbindelse med elektronisk behandling av personopplysninger (personvernkonvensjonen) og De forente nasjoners internasjonale konvensjon av 16. desember 1966 om sivile og politiske rettigheter. De nevnte konvensjonene er folkerettslig bindende for Norge.
Det uttales at for oppfølging av personvernkonvensjonen har Europarådet bl.a. fastsatt to rekommandasjoner av betydning for opprettelse av helseregistre. Det er rekommandasjon av 23. januar 1981 om medisinske databanker og rekommandasjon av 23. september 1983 om forskning og statistikk. Andre relevante rekommandasjoner som omtales, er rekommandasjonen om innsamling av epidemiologiske data av 6. mars 1989 og rekommandasjonen om beskyttelse av medisinske opplysninger av 13. februar 1997 som erstatter rekommandasjonen om medisinske databanker. Rekommandasjonene er ikke rettslig bindende for Norge, men det understrekes at de likevel vil veie tungt ved utforming av norske regler på tilsvarende område, da det legges til grunn at norske myndigheter så langt som mulig vil tilstrebe å rette seg etter anbefalingene.
Slik departementet ser det, respekterer og sikrer lovforslaget menneskerettighetene på en god måte. Dette blir utdypet gjennom omtale av de ulike konvensjonene og rekommandasjonene.
Det redegjøres for relevant lovgivning i Finland, Sverige, Danmark og Island.
Det redegjøres for Sosial- og helsedepartementets hovedoppgaver og for Statens helsetilsyn som har det overordnede faglige tilsyn med helsetjenesten i landet. Eksempler på andre institusjoner under departementet som har ansvar for behandling av helseopplysninger i sentrale landsomfattende registre, er Kreftregisteret, Statens institutt for folkehelse (bl.a. Meldesystemet for smittsomme sykdommer og Medisinsk fødselsregister i Bergen), Statens rettstoksikologiske institutt, Statens strålevern og Statens helseundersøkelser (bl.a. Tuberkuloseregisteret).
Det redegjøres for fylkeskommunenes og kommunenes ansvar når det gjelder helsetjenester, og det understrekes særskilt at kommunenes helsetjeneste for å kunne gjennomføre sine oppgaver til enhver tid må ha oversikt over helseforholdene til befolkningen i kommunen og de faktorer som kan virke inn på denne.
Under drøftingen av personvern og den personlige integritet understrekes det bl.a. at det er et viktig politisk spørsmål å finne balansen mellom samfunnets behov for opplysninger og individers ønske om hemmeligholdelse.
Ulike involverte interesser drøftes, og det framholdes bl.a. at pasientinteressen representerer den enkelte pasients interesse i å kunne holde seg frisk og å få adekvat diagnostikk og behandling når sykdom oppstår, mens personverninteressen representerer den enkeltes interesse i at opplysninger om vedkommende ikke spres, uten at det kan komme han eller henne til nytte, og at opplysningene er riktige og benyttes riktig. Det påpekes at det er en klar forbindelse mellom pasientinteressene og samfunnets interesse for kunnskapsoppbygging, forskning og effektiv helseadministrasjon da ulike pasientgrupper vil ha stor nytte av godt utviklede kvalitetssikringssystemer. For pasientinteressen er det viktig at behandling av helseopplysninger skjer på en måte som kan sikre en effektiv og forsvarlig helsehjelp til pasienten.
Det understrekes at dersom det er konflikt mellom personvernet til den enkelte pasient og andre interesser, skal det svært tungtveiende argumenter til for at personvernet til enkeltindividet skal vike.
Det framholdes at kunnskap om sykdomsårsaker er nødvendig for å drive helsefremmende og sykdomsforebyggende helsearbeid. Introduksjon av nye kjemiske stoffer i produksjon av varer og tjenester, nye medikamenter og nye tilsetningsstoffer i næringsmidler gjør at samfunnet har et økende behov for å overvåke befolkningens helsetilstand over tid for å kunne oppdage endring eller økning i hyppighet av sykdom og risikofaktorer. Det framholdes videre at kunnskap er av stor betydning for styring, planlegging og kvalitetsutvikling og kvalitetssikring av helsetjenestene. Det uttales at opprettelse av et landsomfattende pasientregister i Norge med personentydige data vil kunne gi sentrale myndigheter informasjon om kvalitetsutviklingen og kvalitetssikringen i langt større grad enn i dag.
Det redegjøres for den betydningen gode data har for ulike typer forskning som epidemiologisk forskning, helsetjenesteforskning, klinisk forskning og basal medisinsk forskning. Det understrekes at et fellestrekk ved all behandling av helseopplysninger er kravet til god datakvalitet. God datakvalitet er nødvendig for å bygge opp god og riktig helsefaglig kunnskap, og for personvernet er det viktig at de avgjørelser som treffes, bygger på et fullstendig og riktig kunnskapsgrunnlag.
Om lovens formål uttaler Sosial- og helsedepartementet bl.a. at loven skal gi det nødvendige verktøy for å kunne ta i bruk elektroniske pasientjournaler og elektronisk informasjonsutveksling i helsetjenesten. Videre skal loven gi det nødvendige rettsgrunnlag for lokale, regionale og sentrale helseregistre helseforvaltningen finner det nødvendig å opprette for å utvikle og formidle informasjon og kunnskap, slik at de målene som settes for folkehelsen, helsetjenesten og den enkeltes helse, kan nås.
Personvernformålene i loven er angitt på samme måte som i lov om behandling av personopplysninger.
Det redegjøres i proposisjonen for definisjoner av begreper som «helseopplysninger», «avidentifiserte opplysninger», «anonyme opplysninger», «behandling av helseopplysninger», «helseregister», «elektronisk pasientjournal», «behandlingsrettet helseregister», «databehandlingsansvarlig», «databehandler», «registrert» og «samtykke».
Departementet har kommet til at hensynet til et enhetlig, helhetlig og sammenhengende lovverk taler for å samle reglene om elektronisk behandling av helseopplysninger, herunder regler om informasjonssikkerhet, standarder, kode- og klassifikasjonssystemer, elektronisk kommunikasjon etc. i én lov. Departementet mener at en enhetlig og helhetlig lovstruktur særlig er viktig av hensynet til personvernet og de registrertes muligheter til å kunne følge med på hvordan helseopplysninger om dem selv behandles.
Departementet foreslår at loven skal gjelde for behandling av helseopplysninger i helseforvaltningen og helsetjenesten som skjer helt eller delvis med elektroniske hjelpemidler for å fremme formål som beskrevet i § 1. I tillegg foreslår departementet at loven skal gjelde for annen behandling av helseopplysninger, når helseopplysningene inngår eller skal inngå i et helseregister. Departementet foreslår at Kongen i Statsråd i forskrift kan bestemme at en eller flere av lovens bestemmelser også skal gjelde for behandling av helseopplysninger utenfor helseforvaltningen og helsetjenesten for å ivareta formål som beskrevet i loven § 1. Det uttales at en slik utvidelse av lovens virkeområde først og fremst vil strekke seg til sosialforvaltningen og trygdeforvaltningen.
Når det gjelder helseregistre som opprettes i henhold til arbeidsmiljøloven § 20, innebærer avgrensningen til helseforvaltningen at disse helseregistrene i utgangspunktet ikke omfattes av loven. Det samme gjelder Arbeidstilsynets helseregistre.
Departementet foreslår at pasientjournalen og andre behandlingsrettede helseregistre kan føres elektronisk. Det framholdes at målet er at elektroniske pasientjournaler, elektronisk kommunikasjon og bruk av nett som infrastruktur skal bli like akseptert, tillitvekkende og ha samme juridiske holdbarhet som tradisjonell skriftlig dokumentasjon og kommunikasjon.
Departementet foreslår at Kongen i forskrift skal kunne gi nærmere bestemmelser om behandling av helseopplysninger i elektroniske pasientjournaler og andre behandlingsrettede helseregistre. Loven forutsetter at før de nærmere krav til slike pasientjournaler er utredet, vil den elektroniske pasientjournalen ikke kunne erstatte den papirbaserte pasientjournalen.
Hjemmelen eller rettsgrunnlaget for en forskrift om elektroniske pasientjournaler vil i tillegg til helseregisterloven være helsepersonelloven og evt. spesialisthelsetjenesteloven.
Departementet foreslår at databehandlingsansvaret for elektroniske pasientjournaler legges til den fylkeskommune, kommune og annen offentlig eller privat virksomhet som tar i bruk elektroniske pasientjournaler, eventuelt andre behandlingsrettede helseregistre.
Departementet påpeker at det er svært viktig at innføring av ny informasjonsteknologi skjer i takt med utbygging av sikkerhetssystemer og kompetanse på området. Loven åpner opp for at det er tilstrekkelig å ha elektronisk pasientjournal. Det uttales at hvordan en praktisk kan oppfylle kravet til sikker dokumentasjon, må framgå nærmere av forskriften, og videre at dersom den papirbaserte pasientjournalen skal kunne erstattes av elektroniske pasientjournaler, må det etableres en standard for arkivering av elektroniske pasientjournaler som er så god at den også tilfredsstiller arkivlovens regelverk.
Det gis i proposisjonen en kort omtale av sentrale landsomfattende helseregistre som Kreftregisteret, Medisinsk fødselsregister, Dødsårsaksregisteret og Meldingssystemet for infeksjonssykdommer.
Departementet foreslår at Kongen i Statsråd i forskrift skal kunne gi nærmere bestemmelser om behandling av helseopplysninger i sentrale helseregistre til bruk for administrasjon, styring, planlegging og kvalitetssikring av helsetjenesten, forskning og statistikk. I denne forskriften vil Kongen i Statsråd også ta stilling til personidentifikasjonen, dvs. om opplysningene skal registreres på navn og fødselsnummer, eller om navn og fødselsnummer skal erstattes med et pseudonym. Departementet påpeker at det følger av lovforslaget § 11 at helseopplysninger (personidentifiserbare opplysninger) bare kan innsamles til sentrale helseregistre når personidentifisering er nødvendig for å ivareta formålet med registeret.
Det uttales at den nærmere grensetrekning av hvilke sentrale helseregistre som bør opprettes etter beslutning av Kongen i Statsråd, versus hvilke helseregistre Datatilsynet bør gi konsesjon til, må vurderes ut fra helseforvaltningens og helsetjenestens behov, og ses i forhold til personregisterloven og lov om behandling av personopplysninger. Departementet legger til grunn at sykdomsregistre og kvalitetsregistre som omfatter flere diagnosetyper over hele befolkningen, bør reguleres i forskrift av Kongen i Statsråd, og det samme gjelder sykdomsregistre, kvalitetsregistre eller helsetjenesteregistre som inneholder svært følsomme opplysninger som gir stor usikkerhet om virkningen av registreringen. Mindre omfattende helseregistre som avdekker en ikke spesielt sensitiv sykdomsgruppe, bør ifølge proposisjonen kunne opprettes etter konsesjon fra Datatilsynet.
Departementet foreslår at forskriften som gis, også bør gi nærmere bestemmelser om den databehandlingsansvarliges plikt til å gjøre data tilgjengelig for at formålene kan nås, og at det skal fastsettes i forskriften hvem som skal være databehandlingsansvarlig for opplysningene.
Det opplyses at det har vist seg meget vanskelig å få oversikt over regionale og lokale helseregistre i den desentraliserte helseforvaltningen.
Departementet foreslår at Kongen i Statsråd i forskrift skal kunne gi nærmere bestemmelser om behandling av helseopplysninger i regionale helseregistre for ivaretakelse av oppgaver etter smittevernloven, spesialisthelsetjenesteloven og tannhelsetjenesteloven. Forskriften skal angi formålet med behandlingen av opplysningene og hvilke opplysninger som kan behandles. Det framholdes at regionale sykdoms- og/eller kvalitetsregistre vil være meget viktige verktøy i avklaring av behandlingseffekter, virkninger og bivirkninger.
Videre foreslår departementet at Kongen i Statsråd i forskrift også skal kunne gi nærmere bestemmelser om behandling av helseopplysninger i lokale helseregistre for ivaretakelse av oppgaver etter kommunehelsetjenesteloven og smittevernloven.
Departementet foreslår at det i lovens kapittel om tillatelse til å behandle helseopplysninger, etablering av helseregistre etc. presiseres at behandling av helseopplysninger bare kan skje når dette er tillatt etter personopplysningsloven §§ 9 og 33 eller følger av bestemmelser fastsatt i forskrift med hjemmel i helseregisterloven. Det samme gjelder annen behandling av slike opplysninger dersom opplysningene inngår eller skal inngå i et helseregister. Videre foreslår departementet at det tas inn et tillegg om at behandlingen av opplysningene ikke skal være forbudt ved lov eller ved annet særskilt rettsgrunnlag som f.eks. menneskerettighetskonvensjoner Norge er bundet av.
Departementet foreslår at hovedregelen ved innsamling av helseopplysninger til sentrale, regionale og lokale helseregistre skal være at den registrertes samtykke skal innhentes før opplysningene utleveres eller overføres, evt. innhentes fra den registrerte selv. Lovforslaget åpner opp for at helseopplysninger etter forskrift av Kongen i Statsråd skal kunne overføres til sentrale helseregistre selv om den registrerte ikke har samtykket, og selv om opplysningene er underlagt lovbestemt taushetsplikt. For bedre å synliggjøre hovedregelen om samtykke foreslår departementet at det tas inn et nytt annet punktum i kommunehelsetjenesteloven § 3-4 og tannhelsetjenesteloven § 3-4 om at utlevering av taushetsbelagte opplysninger etter første punktum skal skje etter samtykke fra den opplysningene angår, hvis ikke annet er bestemt i eller i medhold av lov. Departementet mener dette vil bidra til å styrke pasientenes vern mot spredning av taushetsbelagt pasientinformasjon.
Når det gjelder innsamling av helseopplysninger etter smittevernloven, foreslår departementet at smittevernloven harmoniseres til helseregisterloven.
Departementet har vurdert om noen diagnosetyper (f.eks. psykiske lidelser, kjønnssykdommer, rusmiddelavhengighet, HIV, AIDS) er så følsomme at de bør reguleres særskilt, slik som visse genetiske helseopplysninger i lov om bruk av medisinsk bioteknologi § 6-4 annet ledd. Departementet har kommet til at en ikke vil foreslå å særregulere nærmere bestemte opplysninger i loven, men framholder at det ikke er noe i veien for at den enkelte forskrift gjør dette. Departementet har også vurdert om enkelte opplysninger av betydning for helseforhold burde særreguleres, f.eks. personlige levevaner som røyking, alkoholkonsum etc., men vil ikke foreslå dette.
Departementet foreslår at dersom den registrerte føler at en registrering av nærmere bestemte opplysninger er sterkt belastende, skal han eller hun på vilkår ha en mulighet til få slettet eller sperret opplysningene.
Departementet har vurdert om den enkelte registrerte i sin alminnelighet bør kunne kreve at navn og fødselsnummer, eventuelt andre personentydige data, skal fjernes fra de øvrige opplysningene, før opplysningene overføres til sentrale, landsomfattende helseregister, men har kommet til ikke å ville fremme et slikt forslag.
Departementet foreslår at virksomheter og helsepersonell som tilbyr eller yter tjenester i henhold til apotekloven, kommunehelsetjenesteloven, smittevernloven, spesialisthelsetjenesteloven og tannhelsetjenesteloven, bør kunne pålegges meldingsplikt til sentrale, regionale og lokale helseregistre i forskrift.
Det foreslås at departementet skal kunne pålegge fylkeskommuner og kommuner å innrapportere avidentifiserte eller anonyme data til statistikk og også fastsette standarder m.v. for dette. Dagens kommunelov gir ikke departementet nødvendig lovhjemmel for dette, og det uttales at inntil dette endres, bør det være et tilstrekkelig rettsgrunnlag for statstikkinnhenting i helsesektoren i helseregisterloven.
Departementet mener det er viktig å synliggjøre krav til formålsangivelse, relevans og saklighet i forhold til behandling av helseopplysninger, og har lagt vekt på å harmonisere ordlyden i sikkerhetsbestemmelsen med tilsvarende bestemmelse i lov om behandling av personopplysninger.
For både sentrale helseregistre og regionale og lokale helseregistre mener departementet at formålet med behandlingen av helseopplysningene skal angis i forskrift. Slik som i lov om behandling av personopplysninger foreslås en bestemmelse om at helseopplysninger ikke kan anvendes til formål som er uforenlig med det opprinnelige formålet med innsamlingen av opplysningene, uten at den registrerte samtykker.
Departementet foreslår at helseopplysninger i elektroniske pasientjournaler og andre behandlingsrettede helseregistre kan sammenstilles med helseopplysninger i annen pasientjournal eller behandlingsrettet helseregister om samme pasient i tråd med helsepersonelloven §§ 25, 26 og 45. Formålet med en slik sammenstilling vil være å skaffe best mulig kunnskapsgrunnlag for pasientbehandling.
Departementet foreslår også at Kongen i Statsråd gis adgang til å gi særlige regler om sammenstilling av helseopplysninger i forskrift som gis etter loven §§ 7 og 8. Det eller de formål som kan begrunne sammenstilling av helseopplysninger, må framgå av forskriften, og formålet må omfattes av lovens formål.
Det framholdes at det kan stilles spørsmål om en utlevering av helseopplysninger fra koplingsinstansen til den instans som skal bearbeide dataene videre, har tilstrekkelig hjemmel i lov. Rettsgrunnlag for en slik praksis foreslås derfor tatt inn i loven.
Departementet har kommet til at taushetspliktbestemmelsen i helsergisterloven bør ta mønster av tilsvarende bestemmelse i spesialisthelsetjenesteloven.
Departementet mener adgangen til å utlevere helseopplysninger for sammenstilling bør framgå av loven, og foreslår rettsgrunnlag for dette.
Departementet foreslår å lovfeste en generell sikkerhetsbestemmelse som skal gjelde ved all behandling av helseopplysninger i helseforvaltningen og helsetjenesten. Bestemmelsen som foreslås, er harmonisert med sikkerhetsbestemmelsen i lov om behandling av personopplysninger, men knytter i tillegg informasjonssikkerhet til begrepet kvalitet.
Lovforslaget i proposisjonen gir Kongen adgang til å gi mer utdypende sikkerhetsforskrifter, bl.a. i form av krav til elektronisk signering, kommunikasjon og langtidslagring, om godkjenning av programvare, og om bruk av standarder m.v. Departementet finner at en slik hjemmel er nødvendig for å kunne gå over fra papirbasert til elektronisk behandling av helseopplysninger i helseforvaltningen og helsetjenesten.
Det framholdes at behandling av helseopplysninger etter lovforslaget forutsetter at det gis nærmere regler i forskrift, og at det i denne forbindelse blant annet må tas hensyn til avleveringsbestemmelsene i arkivloven med forskrift.
Departementet foreslår i proposisjonen at det inntas en bestemmelse om internkontroll, og en egen forskriftshjemmel om dette fordi det kan bli tale om mer omfattende og utdypende regler enn i den generelle forskriften, som blir fastsatt i henhold til lov om behandling av personopplysninger, og fordi det kan bli nødvendig å samordne interkontrollforskriften med den øvrige internkontrollvirksomhet innen helsetjenesten. Departementet har i lovforslaget brukt samme formulering som i personopplysningloven.
Ifølge departementets forslag skal den databehandlingsansvarlige svare på henvendelser om informasjon og innsyn i behandling av helseopplysninger, og anmodning om retting og sletting av helseopplysninger uten ugrunnet opphold og senest innen 30 dager. Dersom særlige grunner gjør det umulig å svare innen 30 dager, skal det gis foreløpig svar.
Departementet mener at det i utgangspunktet ikke skal kreves betaling for generell informasjon om helseregistre og behandling av helseopplysninger.
Når det gjelder forespørsel om innsyn i behandling av helseopplysninger om en selv, mener departementet at utgangspunktet fortsatt bør være at innsyn i slike opplysninger gis uten vederlag, men foreslår at dersom særlige grunner gjør det nødvendig, skal Kongen kunne gi forskrift om at den registrerte må betale vederlag inntil det som det koster å etterkomme kravet.
Departementet mener det er meget viktig å gi informasjon til befolkningen om behandling av helseopplysninger i sentrale, regionale og lokale helseregistre, og databehandlingsansvarlige for slike registre pålegges å informere allmennheten av eget tiltak. Departementet foreslår også bestemmelser som pålegger den databehandlingsansvarlige informasjonsplikt til den registrerte ved innsamling av helseopplysninger, både ved innsamling av opplysninger fra den registrerte og ved innsamling av opplysninger fra andre enn den registrerte. Informasjonsplikten ved innsamling av opplysninger fra den registrerte omfatter også informasjon om helseopplysningene vil bli utlevert til andre.
Departementet foreslår å lovfeste en rett til generell informasjon om helseregistre og elektronisk behandling av helseopplysninger til alle som ber om det, og videre at den registrerte skal ha en alminnelig rett til innsyn i behandling av helseopplysninger som kan knyttes til en selv, uansett i hvilke helseregistre disse helseopplysningene finnes. For å styrke tilliten til registre og elektronisk behandling av helseopplysninger ønsker departementet å utvide den registrertes innsynsrett i forhold til tidligere regelverk. Lovforslaget innebærer at innsynsretten i utgangspunktet også omfatter rene forskningsregistre.
Etter at de to utvalgene som departementet har opprettet til å utrede bruk av helseopplysninger i forsikring og biologisk prøvetaking i arbeidsforhold, har lagt fram innstilling, vil departementet vurdere om det bør innføres ytterligere restriksjoner på behandling av helseopplysninger.
Departementet foreslår en felles unntaksregel fra plikten til å varsle den registrerte ved innsamling av helseopplysninger og fra innsynsretten. Bestemmelsen har tatt utgangspunkt i en tilsvarende unntaksregel i lov om behandling av personopplysninger. Databehandlingsansvarlige som nekter å gi innsyn i medhold av en eller flere unntaksbestemmelser, må begrunne dette skriftlig med presis henvisning til unntakshjemmelen.
Departementet foreslår at det inntas egne bestemmelser om retting og sletting av helseopplysninger i helseregisterloven. Ved utformingen av bestemmelsen har departementet tatt utgangspunkt i de tilsvarende bestemmelsene i lov om behandling av personopplysninger. Det er bestemmelser om retting av mangelfulle helseopplysninger, sletting av unødvendige helseopplysninger og om sletting eller sperring av helseopplysninger som føles belastende for den registrerte.
Ved en inkurie ble ikke helsepersonellovens bestemmelse om sletting av opplysninger i pasientjournaler harmonisert til arkivloven, og med dette siktemål foreslås bestemmelsen i helsepersonelloven § 43 om sletting endret.
Departementet foreslår at dersom det er behandlet helseopplysninger som er uriktige, ufullstendige eller som det ikke er adgang til å behandle, skal den databehandlingsansvarlige sørge for å rette de mangelfulle opplysningene. Den databehandlingsansvarlige skal foreta rettingen av eget tiltak eller på begjæring fra den registrerte.
Når det gjelder retting av uriktige eller ufullstendige opplysninger i sentrale, regionale og lokale helseregistre, foreslår departementet at en bygger på tilsvarende bestemmelser som i lov om behandling av personopplysninger.
På samme måte som i lov om behandling av personopplysninger, foreslår departementet at Datatilsynet kan pålegge sletting av mangelfulle helseopplysninger, dersom tungtveiende personvernhensyn tilsier det. Et slikt pålegg vil gå foran arkivloven § 9 bokstav d. Før et slikt pålegg gis, skal Riksarkivaren høres.
Lovforslaget fastsetter at ved retting av helseopplysninger skal alltid eventuelle mottakere informeres.
Departementet har valgt å foreslå en egen bestemmelse om plikt til å slette helseopplysninger som det ikke lenger er nødvendig å oppbevare for å gjennomføre formålet med behandlingen av opplysningene, hvis ikke arkivlovgivningen eller annen lovgivning bestemmer at opplysningene skal oppbevares. Bestemmelsen er utformet etter mønster av tilsvarende bestemmelse i lov om behandling av personopplysninger.
Departementet foreslår at det inntas en generell bestemmelse i loven om at helseopplysninger kan lagres for historiske, statistiske eller vitenskapelige formål, dersom samfunnets interesse i at opplysningene lagres klart overstiger de ulempene det kan medføre for den enkelte.
Når det gjelder sletting av helseopplysninger i elektroniske pasientjournaler og andre behandlingsrettede helseregistre, henviser lovforslaget til bestemmelsene i helsepersonelloven. For helseopplysninger i andre helseregistre enn behandlignsrettede helseregistre, mener departementet det bør være en slettingsrett for den registrerte på visse vilkår.
Departementet foreslår at den registrerte kan kreve helseopplysninger om seg selv slettet eller sperret dersom den registrerte føler det sterkt belastende at opplysningene behandles, og det ikke av sterke allmenne hensyn finnes grunn til å oppbevare opplysningene. Dersom det i arkivlovgivningen er bestemt at opplysningene den registrerte krever slettet, skal oppbevares, kan den databehandlingsansvarlige ikke slette opplysningene etter egen vurdering. Et vedtak på tvers av arkivlovgivningen kan bare treffes av Datatilsynet etter at Riksarkivaren er hørt.
Etter lovforslaget kan krav om retting eller sletting av journalopplysninger i pasientjournalen rettes til helsepersonell som har dokumentasjonsplikt etter helsepersonelloven § 39, eller til den databehandlingsansvarlige for opplysningene, mens krav om retting eller sletting av helseopplysninger i sentrale, regionale og lokale helseregistre skal kunne rettes til den databehandlingsansvarlige for opplysningene. Dersom den databehandlingsansvarlige avslår et krav om retting eller sletting fra den registrerte, kan den registrerte anmode Datatilsynet om å pålegge den databehandlingsansvarlige å rette, evt. slette opplysningene. Departementet foreslår at Datatilsynets vedtak om retting eller sletting går foran reglene i arkivloven. Forslaget er i samsvar med tilsvarende bestemmelse i lov om behandling av personopplysninger. Avslag på krav om retting og sletting som omfattes av helsepersonelloven §§ 42 og 43, kan påklages til fylkeslegen som etter å ha innhentet uttalelse fra Datatilsynet, avgjør om retting evt. sletting kan foretas.
Departementet foreslår at Datatilsynet skal føre tilsyn med at loven og forskrifter som gis i medhold av loven, overholdes, og at feil eller mangler blir rettet, hvis ikke tilsynsoppgaven påligger Statens helsetilsyn etter lov om statlig tilsyn med helsetjenesten. Forholdet mellom Datatilsynets og Helsetilsynets oppgaver, tilsynsansvar og påleggsmyndighet drøftes nærmere, og det framholdes bl.a. at utgangspunktet for Datatilsynets tilsynsansvar er det personvernfaglige, mens Statens helsetilsyn skal føre tilsyn med loven i forhold til helsefaglige spørsmål.
For å legge forholdene til rette for at det faktisk foregår en dialog mellom Datatilsynet og den databehandlingsansvarlige før en behandling av helseopplysninger tar til, foreslår departementet en presisering av meldeplikten som innebærer at melding til Datatilsynet skal gis senest 30 dager før behandling av helseopplysninger tar til, og at Datatilsynet skal gi den databehandlingsansvarlige kvittering for at melding er mottatt.
Departementet foreslår at opprettelse og behandling av helseopplysninger i sentrale, landsomfattende registre, som reguleres ved egen forskrift med hjemmel i loven, underlegges meldeplikt til Datatilsynet. Departementet foreslår videre at helseregistre og elektronisk behandling av helseopplysninger som kommuner og fylkeskommuner driver for å ivareta lovpålagte oppgaver, og som har hjemmel i forskrift i medhold av helseregisterloven, underlegges meldeplikt til Datatilsynet. Når det gjelder hvilke opplysninger meldingen til Datatilsynet skal inneholde, foreslås en bestemmelse som er harmonisert med den tilsvarende bestemmelse i lov om behandling av personopplysninger.
Departementet foreslår at Datatilsynet gis adgang til å gi den databehandlingsansvarlige pålegg om at behandling av helseopplysninger i strid med loven skal opphøre, eller stille vilkår som må oppfylles for at behandlingen av helseopplysningene skal være i samsvar med loven. Videre foreslår departementet at Statens helsetilsyn kan gi slike pålegg dersom det kan antas at behandlingen av helseopplysningene kan ha skadelige følger for pasienten. Statens helsetilsyn skal informeres når Datatilsynet treffer en avgjørelse om pålegg, og Datatilsynet skal informeres når Statens helsetilsyn treffer en avgjørelse om pålegg. Pålegg skal iverksettes straks hvis ikke påleggsmyndigheten bestemmer noe annet.
Departementet foreslår også at Datatilsynet kan fastsette tvangsmulkt. Det uttales at da Helsetilsynet verken etter tidligere rett eller etter de nye helselovene gis adgang til å ilegge tvangsmulkt, er det naturlig at Helsetilsynet heller ikke gis dette etter helseregisterloven.
Departementet har kommet til at straffebestemmelsene i helseregisterloven i størst mulig grad bør harmonisere med tilsvarende bestemmelser i lov om behandling av personopplysninger.
Departementet foreslår at følgende handlinger evt. unnlatelser etter loven skal kunne straffeforfølges:
unnlatelse av å informere den registrerte om innsamling av opplysninger
behandling av helseopplysninger i strid med bestemmelsene om sikring av konfidensialitet, integritet, kvalitet og tilgjengelighet
behandling av helseopplysninger i strid med bestemmelsen om databehandlers rådighet over helseopplysningene
unnlatelse av å sende melding til Datatilsynet
unnlatelse av å gi opplysninger til tilsynsmyndighetene
unnlatelse av å etterkomme pålegg fra Datatilsynet og Statens helsetilsyn
Videre mener departementet at overtredelse av eventuell meldingsplikt fastsatt i henhold til forskrift etter loven, bør kunne straffesanksjoneres, og eventuelt også overtredelse av andre krav som forskriftfestes.
Departementet foreslår at det inntas egne erstatningsregler i loven for å synliggjøre og presisere gjeldende rett og ny lovgivning på området.
Det vises til at når personopplysningsloven har trådt i kraft, vil den være den generelle loven for behandling av personopplysninger. Bestemmelsene om behandling av helseopplysninger i helseregisterloven vil være spesialbestemmelser i forhold til tilsvarende bestemmelser i personopplysningsloven. Departementet foreslår at det i helseregisterloven inntas en bestemmelse om at i den utstrekning ikke annet følger av loven, gjelder personopplysningsloven som utfyllende bestemmelser.Videre vil de alminnelige regler for behandling av personopplysninger i personopplysningsloven være rettsgrunnlag for Datatilsynet i behandlingen av konsesjonspørsmål.
Det uttales at det er vanskelig å være konkret i vurderingene knyttet til mulige administrative og økonomiske konsekvenser av lovforslaget, men at arbeidet med forskriftene i større grad vil kunne avdekke økonomiske og administrative konsekvenser ved innføring av elektronisk informasjonsteknologi.
Det framholdes at journalforskriften må revideres; eventuelt må det utarbeides en ny forskrift om elektroniske pasientjournaler. Departementet har beregnet at arbeidet med journalforskriften vil kreve ca. ett årsverk, eller ca. 500 000 kroner på sentralt hold. Dette forskriftsarbeidet vil også bedre kunne konkretisere de økonomiske kostnadene ved overgangen til elektroniske pasientjournaler.
Overgangen til elektroniske pasientjournaler og elektronisk samhandling og kommunikasjon antas å medføre flere praktiske fordeler knyttet til effektivisering og kvalitet på helsetjenesten. Det framholdes at kostnadene må veies opp mot forventet gevinst ved gjennomføring av tiltakene.
Det uttales at gevinsten for helsevesenet og for samfunnet generelt representerer størrelser som ikke lar seg tallfeste fordi en ikke vil kunne se resultatene før noen tid er gått. Gevinsten for helseforvaltningen og helsetjenesten forutsetter at en bygger opp nødvendig kompetanse på området.
Det framholdes at lovbestemmelsene om sammenstilling og utlevering er synlige virkemidler for å følge opp og videreutvikle arbeidet som ble igangsatt med NOU 1997:26 «Tilgang til helseregistre», men at arbeidet med dokumentasjon av data vil kunne bli en tidkrevende prosess, og er en oppgave som innebærer et økt behov for ressurser. Samlet antas det at oppfølgingen av NOU 1997: 26 vil beløpe seg til ca. 2,9 mill. kroner første år, 2,7 mill. kroner annet og tredje driftsår, og ca. 2,5 mill. kroner i etterfølgende år.
Det uttales at det vil knytte seg utgifter til tilpasning av elektroniske pasientournaler, herunder behandlingsrettede helseregistre og andre helseregistre i helsetjenesten til lovens sikkerhetsbestemmelser, men at konkrete beløp er vanskelig å anslå, og at det vil variere avhengig av om aktørene driver registre og/eller hvor langt en er kommet i å ta i bruk elektronisk kommunikasjon.
Det framholdes at innføring av internkontroll i en overgangsperiode vil medføre etableringskostnader, men at internkontroll som alle andre kvalitetssystemer også har som mål å effektivisere driften.
Når det gjelder helseregistre som allerede er etablert, vil databehandlingsansvarlige få noe utvidede plikter. Det uttales at merkostnadene her må anses som moderate, og at de må dekkes av de alminnelige driftsutgifter.
Det påpekes at erstatningsreglene er nye, og at en nærmere fastleggelse av de økonomiske kostnadene etter bestemmelsene bare kan bygge på antakelser. Departementet vil derfor vurdere de økonomiske og administrative konsekvenser av erstatningsreglene ca. 2 år etter lovens ikrafttreden.
Departementet forventer moderate økte kostnader for tilsynsmyndighetene.
Komiteen, medlemmene fra Arbeiderpartiet, Bendiks H. Arnesen, Reidun Gravdahl, Asmund Kristoffersen, Karin Lian, Einar Olav Skogholt og Gunhild Øyangen, fra Kristelig Folkeparti, Åse Gunhild Woie Duesund og Are Næss, fra Høyre, Annelise Høegh og Sonja Irene Sjøli, fra Fremskrittspartiet, lederen John I. Alvheim og Harald T. Nesvik, fra Senterpartiet, Ola D. Gløtvold, og fra Sosialistisk Venstreparti, Olav Gunnar Ballo, vil påpeke at det foreliggende utkast til lov om helseregistre og behandling av personopplysninger klargjør hjemmelen for eksisterende helseregistre. Komiteen er kjent med at en slik klargjøring tidligere har vært etterlyst fra flere hold som ledd i å sikre gode retningslinjer for databaserte personopplysninger, og vil påpeke det positive i at lovutkastet ivaretar dette behovet.
Komiteen mener generelt at det skal stilles strengere krav til å godta opprettelse av et helseregister for forvaltningen enn for helsetjenesten. Fordi forvaltningens behov for informasjon ut fra ønsket om bedre forebyggingsstrategier egentlig ikke har noen grenser, kan i prinsippet hele befolkningens livsførsel registreres. Etter komiteens oppfatning bør en derfor være tilbakeholden med å opprette slike registre. Disse bør være avidentifiserte eller pseudonymiserte slik at ingen risikerer at opplysninger om ens livsstil og livsførsel kommer på avveie.
Komiteen viser til at siktemålet med loven er å legge til rette for fullgod informasjonssikkerhet ved behandling av helseopplysninger og bidra til at målene som kan settes for folkehelsen og den enkeltes helse kan nås.
Komiteen peker på at stadig mer omfattende informasjon er nødvendig for at helsetjenesten og helseforvaltningen på alle nivåer skal tilby den enkelte en best mulig helsehjelp, og for å kunne bedre befolkningens helsetilstand og utvikle effektive sykdomsforebyggende tiltak. Komiteen har merket seg at det hittil ikke har vært noen samlet lov for helseregistre og behandling av helseopplysninger. Det er etter komiteens mening hensiktsmessig å samle slike bestemmelser i én lov, slik det nå foreslås. Dette er viktig, både ut fra personverninteresse og samfunnsinteresse. Disse interessene vil oftest være sammenfallende, men ikke alltid.
Komiteen vil anmerke at det i Ot.prp. nr. 5 (1999-2000) foreslås at Stortinget skal gi fullmakt til at registre på sentrale, regionale og lokale nivåer kan etableres ved forskrift, jf. §§ 7 og 8. I samme forskrift kan det bestemmes at innsamlingen av helseopplysninger skal gjøres selv om den registrerte ikke har samtykket, jf. § 9.
Komiteens medlemmer fra Kristelig Folkeparti, Høyre, Senterpartiet og Sosialistisk Venstreparti er av den oppfatning at disse forhold kan medvirke til at tillitsforholdet mellom befolkningen og helsevesenet svekkes. Krav ved etablering av helseregistre må ta hensyn til at informasjon om enkeltmenneskers helseforhold er sensitiv i den forstand at den informasjonen gjelder, vil ønske at informasjonen benyttes til det formål den er innhentet for, og spres minst mulig. Enhver sammenstilling av helseinformasjon om enkeltmennesker vil innebære risiko for lekkasjer, misbruk og maktbruk ved at informasjonen benyttes i andre sammenhenger.
Det må derfor etter komiteens syn være et mål å finne registerløsninger som i rimelig grad tilgodeser hensynet til folkehelsen uten å krenke personvernet. Helseregistre med avidentifiserte eller pseudonymiserte helseopplysninger kan ivareta disse hensyn og bør etter komiteens syn benyttes der dette er hensiktsmessig. I den grad det er nødvendig ut fra hensynet til pasienten å benytte helseregistre med personidentifiserbare opplysninger, bør dette etter komiteens syn gjøres etter vedtak av Stortinget eller etter samtykke fra den registrerte. Ved å kreve stortingsbehandling før slike registre etableres sikres en demokratisk prosess som kan bidra til at nødvendige avveininger mellom hensynet til behovet for registre og hensynet til personvern foretas før vedtak treffes.
Komiteen vil påpeke at loven skal bidra til å ivareta et sterkt personvern på et område der det behandles følsomme opplysninger, og der grunnlaget for opplysningene bygger på et absolutt tillitsforhold mellom pasientene og helsepersonellet.
Dersom en skal utvikle effektive sykdomsforebyggende tiltak, behandlingsprosedyrer og behandlingsformer, trenger både helseforvaltningen og helsetjenesten på alle nivåer omfattende kunnskap, forståelse og informasjon. Det hevdes at det i dag mangler tilfredsstillende kvalitets- og styringsinformasjon som igjen har betydning for kvaliteten både på planleggingssida og behandlingssida. Både helseforvaltningen og helsetjenesten trenger dokumenterte kunnskaper om årsak til sykdom og nedsatt helse, såvel som årsaker til god helse.
Dette har stor betydning både i det forebyggende helsearbeidet og i den behandlende delen av helsetjenesten. Dette har også betydning for kapasitetsutbygging, kvalitet og effektivitet i helsetjenesten. Komiteen viser til at god oversikt over årsaksforhold både kan hindre pasientskader og utløse en bedre oppfølging av pasienter. Dessuten kan gode data fortelle om en behandlingsmetode er vellykket eller ikke vellykket. Noen av de helseregistre vi har i Norge, har nettopp bidratt til slike avklaringer.
Komiteen har merket seg at i de tilfeller der det blir gitt tillatelse til å samle data i registre, så skal opplysningene ligge i lukkete og interne systemer, som bl.a. betyr at disse systemer ikke kan tilkoples internett-løsninger.
Komiteen har også merket seg at det er klare restriksjoner på bruken av registre gjennom fastlagte regler for godkjenning. Kopling av registre kan bare skje gjennom godkjenning av det enkelte prosjekt eller formål.
Komiteen mener at det er viktig at personvernet sikres ved at personopplysninger avidentifiseres slik at opplysninger ikke kan tilbakeføres til den enkelte pasient. Komiteen vil også påpeke viktigheten av at i de tilfeller der det oppstår konflikt mellom personvernet og samfunnsinteresser, skal som hovedregel personvernet gå foran samfunnsinteressene, dog med unntak av opplysninger som er pålagt i henhold til andre lover, eksempelvis smittevernloven. Personvernhensyn må også vike når liv og helse står i fare for enkeltmennesker eller grupper av mennesker. Komiteen er av den oppfatning at lovens forskrifter skal forelegges Datatilsynet til uttalelse før ikrafttredelse.
Komiteen har merket seg at det i proposisjonen stilles krav om begrunnelse for nødvendigheten av å benytte personidentifiserbare opplysninger, både til regionale, lokale og sentrale helseregistre. Imidlertid kan slike registre opprettes i henhold til forskrift. Komiteen mener det er grunn til å iaktta særlig vaktsomhet når det gjelder bruk av personidentifiserbare opplysninger. Komiteen mener derfor at helseregistre som benytter personidentifiserbare opplysninger, og kombinasjoner av slike registre, ikke skal kunne opprettes gjennom forskrift.
Komiteen tror i likhet med det som sies i proposisjonen, at kunnskap om sykdomsårsaker er nødvendig for å drive helsefremmende og sykdomsforebyggende helsearbeid.
Det er flere faktorer som tilsier behov for å overvåke befolkningens helsetilstand over tid for å kunne oppdage endring i hyppighet av sykdom og risikofaktorer. På samme måte er kunnskap viktig for styring, planlegging, kvalitetsutvikling og kvalitetssikring av helsetjenestene.
Komiteen viser til at det i lovforslaget legges til grunn at ved innsamling av helseopplysninger til sentrale, regionale eller lokale helseregistre, skal hovedregelen være at den registrertes samtykke skal innhentes før opplysningene utleveres eller overføres, noe som tydeliggjøres ytterligere ved at kommunehelsetjenesteloven § 3-4 og tannhelsetjenesteloven § 3-4 om utlevering av taushetsbelagte opplysninger innskjerpes. Dette vil bidra til å gi pasienten et bedre vern mot spredning av taushetsbelagt pasientinformasjon.
Komiteen viser også til at det i loven foreslås at dersom en pasient føler at registrering av bestemte opplysninger er belastende, skal denne på visse vilkår ha mulighet til å få slettet eller sperret opplysningene.
Komiteen har merket seg at det må lovhjemles at behandlingsrettete registre kan føres elektronisk når dette er i samsvar med annen lovgivning, f.eks. personopplysningsloven §§ 9 og 33.
Komiteen viser til at det i §§ 7 til 8 i proposisjonen er åpnet for en adgang til at Kongen i Statsråd i forskrift kan etablere helseregistre med helseopplysninger. Komiteen mener at denne adgang kun skal gjelde i de tilfeller der den registrerte aktivt har gitt sitt samtykke eller identiteten er pseudonymisert eller opplysningene er avidentifisert. I andre tilfeller enn disse kan registre bare opprettes etter vedtak i Stortinget, enten gjennom egen lov eller proposisjon som inneholder en supplering av listen over lovbestemte registre.
Komiteen mener for øvrig at en lovregulerer dagens praksis for de allerede eksisterende registrene. Det vises i denne sammenheng til forslag til tredje ledd i § 8.
Komiteen har merket seg at formålet med behandlingen av helseopplysninger for alle registres vedkommende skal være kjent og klar. Helseopplysninger kan ikke brukes til formål som er uforenlig med det opprinnelige formålet med innsamlingen av opplysninger, med mindre at den registrerte samtykker.
Komiteen har merket seg at det stilles klare betingelser for å kunne sammenstille opplysninger fra to eller flere registre, og at dette må hjemles i forskrift og dessuten være hjemlet i lovens formål. Komiteen viser til at lovforslaget gir Kongen i Statsråd adgang til å gi mer utdypende sikkerhetsforskrifter.
Komiteen har merket seg at den databehandlingsansvarlige har plikt til å informere befolkningen om behandlingen av helseopplysninger i både sentrale, regionale og lokale registre på samme måte som slik informasjon skal gis til den registrerte. Det skal også gis informasjon om at helseopplysninger kan bli utlevert til andre, og eventuelt om hvem som er mottaker.
Komiteen ser det også som en betydelig styrking av personvernet at det nå blir en lovfestet rett til innsyn i behandlingen av helseopplysninger som kan knyttes til en selv, uavhengig av i hvilke helseregistre disse opplysningene finnes. Dette gjelder også innsyn i rene forskningsregistre.
Komiteen er tilfreds med at departementet vil vurdere om det bør innføres ytterligere restriksjoner på behandling av helseregistre etter at det er utredet bruk av helseopplysninger i forsikring og biologisk prøvetaking i arbeidsforhold.
Komiteen har merket seg ordninger for den enkelte til å få rettet mangelfulle helseopplysninger, sletting av unødvendige opplysninger og slettet eller sperret opplysninger som den registrerte føler er belastende. Disse bestemmelsene må slik det går fram av lovforslaget, holdes opp mot arkivlovgivningen som håndteres av Datatilsynet og Riksantikvaren.
Komiteen har merket seg at Datatilsynet skal føre tilsyn med at loven og forskriftene gitt i medhold av loven følges spesielt på det personvernfaglige. Statens helsetilsyn har tilsvarende ansvar i forhold til helsefaglige spørsmål. Komiteen har også merket seg at all opprettelse og behandling av helseopplysninger i alle registre skal underlegges meldeplikt til Datatilsynet.
Datatilsynet får også lovhjemmel til å stoppe behandling av helseopplysninger som er i strid med loven, eller gi pålegg om eventuelle vilkår som må oppfylles for at behandlingen skal være i samsvar med loven.
Komiteen viser til at det også innføres klare straffebestemmelser med fengsel og/eller bøter for brudd på loven.
Komiteen viser til at formålsparagrafen må legge meget klare føringer for å sikre at personvernet ikke blir krenket, ved at personvernhensyn ved behandlingen av helseopplysninger skal tillegges avgjørende vekt.
Komiteen viser også til at formålsparagrafen må legge grunnlaget for at systematisk og kvalitativ god informasjon og kunnskap skal være med å sikre at helsehjelp kan gis på en forsvarlig og effektiv måte.
På samme måte legges det til grunn at informasjon og kunnskap om helseforhold, årsaker til nedsatt helse og sykdomsutvikling kan brukes i helseplanleggingsarbeid, administrasjon, forskning og kvalitetssikring.
Formålsbestemmelsen skal gi føringer for hvilke hensyn som skal begrunne opprettelsen av helseregistre og behandlingen av denne informasjon, med andre ord hvilke krav som skal stilles.
Ved opprettingen av helseregistre er helseforvaltningen og helsetjenestens behov for sammenstilling av informasjon og kunnskap om flere pasienter et sentralt hensyn. Dette hensyn må etter komiteens syn avveies mot hensynet til den enkelte pasients personvern.
Komiteen fremmer følgende forslag:
«I lov om helseregistre og behandling av helseopplysninger skal § 1 lyde:
§ 1 Lovens formål
Formålet med denne lov er å bidra til å gi helsetjenesten og helseforvaltningen informasjon og kunnskap uten å krenke personvernet slik at helsehjelp kan gis på en forsvarlig og effektiv måte. Gjennom forskning og statistikk skal loven bidra til informasjon og kunnskap om befolkningens helseforhold, årsaker til nedsatt helse og utvikling av sykdom for administrasjon, kvalitetssikring, planlegging og styring. Loven skal sikre at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på helseopplysninger.»
Komiteen mener at det under definisjonene i § 2 bør vedtas et nytt punkt 4 om pseudonyme helseopplysninger for å få tydelig fram hva som er forskjellen på avidentifiserte opplysninger (nr. 2), anonyme opplysninger (nr. 3) og pseudonyme opplysninger (nytt nr. 4). Det vises for øvrig til forslag til lovtekst til §§ 7 og 8.
Komiteen fremmer følgende forslag:
«I lov om helseregistre og behandling av helseopplysninger skal § 2 nr. 4 lyde:
4. pseudonyme helseopplysninger: helseopplysninger der identitet er kryptert eller skjult på annet vis, men likevel individualisert slik at det lar seg gjøre å følge hver person gjennom helsesystemet uten at identiteten røpes.
Proposisjonens forslag til nr. 4-10 blir nr. 5-11.»
Komiteen viser til den beskrivelsen og definisjonen som er gitt av «behandlingsrettet register» i proposisjonens forslag til § 2 nr. 6 som etter forslag til ny nr. 4 vil bli nr. 7.
Komiteen slutter seg til denne definisjonen, men foreslår at formuleringen «pasientjournal eller annet helseregister» endres til «journal- og informasjonssystem». Dette endrer ikke innholdet i definisjonen, men synliggjør klart at det er det elektroniske systemet for pasientjournaler og ikke den enkelte pasientjournalen en tar sikte på å regulere, slik det også er lagt til grunn i proposisjonens tekst.
Det vises til at bl.a. helsepersonalets dokumentasjonsplikt, innholdet i pasientjournalen og helsepersonalets taushetsplikt reguleres i helsepersonelloven.
Komiteen fremmer følgende forslag:
«I lov om helseregistre og behandling av helseopplysninger skal § 2 nr. 7 lyde:
7. Behandlingsrettet helseregister: journal- og informasjonssystem eller annet helseregister som har til formål å gi grunnlag for handlinger som har forebyggende, diagnostisk, behandlende, helsebevarende eller rehabiliterende mål i forhold til den enkelte pasient og som utføres av helsepersonell, samt administrasjon av slike handlinger.»
Komiteens medlemmer fra Kristelig Folkeparti, Høyre, Senterpartiet og Sosialistisk Venstreparti er av den oppfatning at verken den enkelte pasientjournal eller en samling pasientjournaler kan ansees som et register. Et register blir det dersom opplysninger fra journal trekkes ut og oppbevares som en enhet.
Pasientjournalen bør på denne bakgrunn etter disse medlemmers syn skilles ut fra definisjonen av helseregister. Definisjonen bør formuleres slik at det først er når opplysninger fra journal trekkes ut og sammenstilles på bakgrunn av et bestemt formål, og/eller entydige kriterier, at opplysningene favnes av definisjonen helseregister.
Pasientadministrative systemer som i dag er konsesjonsbasert, bør etter disse medlemmers syn omfattes av loven for å sikre den registrertes rettigheter. Denne typen register vil være omfattet av definisjonen av helseregister.
Komiteen slutter seg til at loven skal gjelde for det virkeområdet som proposisjonen beskriver.
Komiteen viser til at helseregistre skal opprettes etter lov, og derfor må dette inntas i § 5 der ordene «eller følger av lov» tas inn i paragrafens første ledd. Komiteen fremmer følgende forslag:
«I lov om helseregistre og behandling av helseopplysninger skal § 5 første ledd lyde:
Helseopplysninger kan bare behandles elektronisk når dette er tillatt etter personopplysningsloven §§ 9 og 33 eller følger av lov, og behandlingen ikke er forbudt ved annet særskilt rettsgrunnlag. Det samme gjelder annen behandling av helseopplysninger, dersom opplysningene inngår eller skal inngå i et helseregister.»
Komiteen viser til at det i proposisjonens forslag til § 6 første ledd annet punktum er tatt med følgende:
«Helsepersonell som yter helsehjelp, skal registrere opplysningene i pasientjournalen i samsvar med dokumentasjonsplikt etter helsepersonalloven §§ 39 og 49.»
Komiteen foreslår å ta ut denne setningen da den er overflødig, idet en viser til at helsepersonellets dokumentasjonsplikt ved helsehjelp til den enkelte pasient reguleres av helsepersonelloven.
Komiteen fremmer følgende forslag:
«I lov om helseregistre og behandling av helseopplysninger skal § 6 første ledd lyde:
Behandlingsrettede helseregistre kan føres elektronisk. Det skal framgå av registeret hvem som har registrert opplysningene. Dette kan gjøres ved hjelp av elektronisk signatur eller tilsvarende sikker dokumentasjon.»
Komiteen viser til nedenstående forslag til § 7 og viser til at bestemmelsen i paragrafen innebærer at det gis forbud mot å etablere regionale og lokale helseregistre, med mindre det følger av denne eller annen lov.
Det vises videre til at det følger av bestemmelsene i annet og tredje ledd at Kongen i Statsråd kan gi forskrift om regionale og lokale helseregistre, men at navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn bare kan innsamles og behandles i slike registre etter samtykke fra den registrerte.
Komiteen viser til at dette innebærer at uten den registrertes samtykke må navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn pseudonymiseres/krypteres før opplysninger oversendes til et regionalt eller lokalt helseregister, og mottaker må ikke kunne dekryptere opplysningene.
Komiteen viser til omtale av pseudonyme helseopplysninger i § 2 og foreslår at helseopplysninger i pseudonymisert form eller avidentifisert form kan danne grunnlag for registre uten samtykke fra den registrerte. Dette tas inn i denne paragrafen i tillegg til i § 8.
Komiteen viser til at det følger av annet ledd i bestemmelsene at Kongen i Statsråd for visse formål kan gi forskrift om sentrale helseregistre, men at navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn bare kan innsamles og behandles i slike registre etter samtykke fra den registrerte. Dette innebærer at uten den registrertes samtykke, må navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn, pseudonymiseres/avidentifiseres før opplysninger oversendes til et sentralt helseregister, og mottaker må ikke kunne dekryptere opplysningene. Dette framgår nå tydelig av annet ledd tredje punktum og tredje ledd tredje punktum.
Komiteens medlemmer fra Kristelig Folkeparti, Høyre, Senterpartiet og Sosialistisk Venstreparti vil anmerke at ved å sammenstille opplysninger fra flere helseregistre vil opplysningene akkumuleres. Med moderne informasjonsteknologi kan det bli mulig å stille opplysninger sammen uten at opplysningene blir akkumulert i et nytt register. Komiteen mener at denne måten å stille opplysninger sammen på, vil tilgodese behovet for å få stilt opplysningene sammen for den enkelte anledning, samtidig som man unngår å skape nye, større registre ved sammenstillingen.
Komiteen mener enhver opprettelse av helseregister må gjøres på bakgrunn av en avveining mellom det formålet registeret skal ivareta, og personverninteresser, jf. § 1. I forbindelse med etablering av helseregisteret bør formålet etter komiteens syn være entydig. I tillegg må det etter komiteens syn klart framgå hvilke opplysninger som kan innhentes, og begrunnelsen for å benytte helseopplysninger.
Komiteen fremmer følgende forslag:
«I lov om helseregistre og behandling av helse- opplysninger skal § 7 lyde:
§ 7 Regionale og lokale helseregistre
Det kan ikke etableres andre regionale og lokale helseregistre med helseopplysninger enn det som følger av denne eller annen lov.
Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om etablering av regionale helseregistre og behandling av helseopplysninger i regionale helseregistre for ivaretakelse av oppgaver etter smittevernloven, spesialisthelsetjenesteloven og tannhelsetjenesteloven. Navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn kan bare behandles etter samtykke fra den registrerte. Samtykke fra den registrerte er ikke nødvendig, dersom det i forskriften bestemmes at helseopplysningene bare kan behandles i pseudonymisert eller avidentifisert form. Forskriften skal angi formålet med behandlingen av helseopplysningene, hvilke opplysninger som kan behandles, og eventuelt nærmere regler om hvem som skal foreta pseudonymiseringen og prinsipper for hvordan det skal gjøres. Fylkeskommunen er databehandlingsansvarlig for opplysningene, med mindre noe annet er bestemt i forskriften. Databehandlingsansvaret kan delegeres.
Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om etablering av lokale helseregistre og behandling av helseopplysninger i lokale helseregistre for ivaretakelse av oppgaver etter kommunehelsetjenesteloven og smittevernloven. Navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn kan bare behandles etter samtykke fra den registrerte. Samtykke fra den registrerte er ikke nødvendig, dersom det i forskriften bestemmes at helseopplysningene bare kan behandles i pseudonymisert eller avidentifisert form. Forskriften skal angi formålet med behandlingen av helseopplysningene, hvilke opplysninger som kan behandles, og eventuelt nærmere regler om hvem som skal foreta pseudonymiseringen og prinsipper for hvordan det skal gjøres. Kommunen er databehandlingsansvarlig for opplysningene, med mindre noe annet er bestemt i forskriften. Databehandlingsansvaret kan delegeres.»
Komiteen viser til sine merknader til § 7 og at disse også gjelder for § 8. Komiteen viser spesielt til tredje ledd i nedenstående forslag til § 8 som gir det lovmessige grunnlag for å videreføre dagens praksis for eksisterende registre.
Komiteen viser til sine merknader under § 7 om etablering av helseregistre med avidentifiserte eller pseudonyme helseopplysninger.
Komiteen mener Stortinget må ta konkret stilling til om det skal opprettes helseregistre med personopplysninger, dersom det skal utløse opplysningsplikt fra helsepersonell uten tillatelse fra den opplysningene gjelder.
Enhver opprettelse av helseregister må etter komiteens syn gjøres på bakgrunn av en avveining mellom det formål registeret skal ivareta og personverninteresser, jf. § 1. I forbindelse med etablering av helseregisteret bør formålet etter komiteens syn være entydig. I tillegg må det etter komiteens syn klart fremgå hvilke opplysninger som kan innhentes og begrunnelsen for å benytte helseopplysninger.
Komiteen fremmer følgende forslag:
«I lov om helseregistre og behandling av helseopplysninger skal § 8 lyde:
§ 8 Sentrale helseregistre
Det kan ikke etableres andre sentrale helseregistre med helseopplysninger enn det som følger av denne eller annen lov.
Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om etablering av sentrale helseregistre og behandling av helseopplysninger i sentrale helseregistre for ivaretakelse av oppgaver etter apotekloven, kommunehelsetjenesteloven, tannhelsetjenesteloven, smittevernloven og spesialisthelsetjenesteloven, herunder overordnet styring og planlegging av tjenestene, kvalitetsutvikling, forskning og statistikk. Navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn kan bare behandles etter samtykke fra den registrerte. Samtykke fra den registrerte er ikke nødvendig, dersom det i forskriften bestemmes at helseopplysningene bare kan behandles i psudonymisert eller avidentifisert form. Forskriften skal eventuelt fastsette nærmere regler om hvem som skal foreta pseudonymiseringen og prinsipper for hvordan det skal gjøres.
I følgende registre kan navn, fødselsnummer og andre direkte personidentifiserende kjennetegn behandles uten samtykke fra den registrerte i den utstrekning det er nødvendig for å nå formålet med registeret:
1 Dødsårsaksregisteret
2 Kreftregisteret
3 Medisinsk fødselsregister
4 Meldesystemet for infeksjonssykdommer
5 Det sentrale tuberkuloseregisteret
6 System for vaksinasjonskontroll (SYSVAK)
Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om behandlingen av helseopplysningene i helseregistrene.
Forskriftene etter annet og tredje ledd skal angi formålet med behandlingen av helseopplysningene og hvilke opplysninger som skal behandles. Forskriften skal videre angi hvem som er databehandlingsansvarlig for opplysningene.
Databehandlingsansvaret kan delegeres. Forskriftene bør også gi bestemmelser om den databehandlingsansvarliges plikt til å gjøre data tilgjengelig for at formålene kan nås.»
Komiteen viser til merknader knyttet til § 2, der komiteen også har tatt inn en definisjon av pseudonyme helseregistre, fordi komiteen ser behovet for å tilrettelegge for forskjellige typer registre i andre former enn personidentifiserbar form. Etter komiteens syn bør det i forskrifter til denne lov utarbeides klare retningslinjer for opprettelsen av sentrale helseregistre med avidentifiserte eller pseudonyme helseopplysninger. I disse forskriftene må det etter komiteens syn klargjøres på hvilke vilkår helseopplysningene skal avidentifiseres eller pseudonymiseres, og med det formål at personvernet sikres for den enkelte. Etter komiteens syn bør Statistisk sentralbyrå spille en nøkkelrolle i avidentifiseringen sammen med et annet organ som råder over koder for identifisering, og da på en slik måte at personvernet for den enkelte er sikret best mulig ved avidentifiseringen eller pseudonymiseringen.
Komiteen vil under henvisning til de foreslåtte endringer i §§ 7 og 8 tilpasse § 9 til disse paragrafene.
Komiteen fremmer følgende forslag:
«I lov om helseregistre og behandling av helseopplysninger skal § 9 lyde:
§ 9 Særlig om innsamling av helseopplysninger til sentrale, regionale og lokale helseregistre, meldingsplikt m.v.
Virksomheter og helsepersonell som tilbyr eller yter tjenester i henhold til apotekloven, kommunehelsetjenesteloven, smittevernloven, spesialisthelsetjenesteloven eller tannhelsetjenesteloven, plikter å utlevere eller overføre opplysninger som bestemt i forskrifter etter §§ 7 og 8 samt etter paragrafen her.
Kongen kan gi forskrifter om innsamling av helseopplysninger etter §§ 7 og 8, herunder bestemmelser om hvem som skal gi og motta opplysningene og om frister, formkrav og meldingsskjemaer. Den som mottar opplysningene, skal varsle avsenderen av opplysningene dersom opplysningene er mangelfulle.»
Komiteen vil påpeke at den databehandlingsansvarlige skal være ansvarlig for at de opplysninger som behandles, er nødvendige og relevante for formålet med behandlingen av opplysningene, og dermed altså for at opplysningene må være nødvendige, i stedet for tilstrekkelige, som er opprinnelig ordlyd i lovforslaget.
Komiteen fremmer følgende forslag:
«I lov om helseregistre og behandling av helseopplysninger skal § 11 første ledd annet punktum lyde:
Den databehandlingsansvarlige skal sørge for at helseopplysningene som behandles er relevante og nødvendige for formålet med behandlingen av opplysningene.»
Komiteen slutter seg til proposisjonens forslag til lovformulering.
Komiteen understreker at helsepersonellovens taushetspliktbestemmelser også setter rammer for kommunikasjonen av pasientopplysninger i pasientadministrative systemer.
Komiteen viser til sine merknader til § 7.
Komiteen slutter seg til proposisjonens forslag til lovformulering om taushetsplikt etter reglene i forvaltningslovens §§ 13 til 13 e, men med tillegg av henvisning også til helsepersonellovens bestemmelser om taushetsplikt.
I kontakten mellom pasient og helsearbeider og den informasjon dette genererer, gjelder selvsagt taushetspliktreglene i profesjonslovgivningen for de forhold dette er relevant for.
Komiteen viser til at omtalen av pseudonyme helseopplysninger foran også får konsekvens for teksten i § 15, der ordet «pseudonym» inntas i opplistingen over hva taushetsplikten gjelder.
Komiteen fremmer følgende forslag.
«I lov om helseregistre og behandling av helseopplysninger skal § 15 første og annet ledd lyde:
Enhver som behandler helseoplysninger etter denne lov, har taushetsplikt etter forvaltningsloven §§ 13 til 13e og helsepersonelloven.
Taushetsplikten etter første ledd gjelder også pasientents fødested, fødselsdato, personnummer, pseudonym, statsborgerforhold, sivilstand, yrke, bopel og arbeidssted.»
Komiteen viser til at denne paragrafen er en parallell til § 20 i lov om behandling av personopplysninger, og at det i § 20 annet ledd i denne loven heter at
«Den registrerte har ikke krav på varsel etter første ledd dersom
a) innsamlingen eller formidlingen av opplysningene er uttrykkelig fastsatt i lov,»
På denne bakgrunn fremmer komiteen følgende forslag:
«I lov om helseregistre og behandling av helseopplysninger skal § 24 annet ledd pkt. 1 lyde:
1 innsamlingen eller formidlingen av opplysningene er uttrykkelig fastsatt i lov,»
Komiteen viser til at forslagene i proposisjonen til endring av helsepersonelloven § 43 ble vedtatt i forbindelse med behandlingen av Ot.prp. nr. 14 (2000-2001), jf. Innst. O. nr. 38 (2000-2001). Disse forslagene blir følgelig ikke fremmet i denne innstillingen.
Komiteen viser videre til at forslag til lov om pasientskader m.v. (jf. Ot.prp. nr. 31 (1998-1999) og Ot.prp. nr. 55 (1999-2000) ennå ikke er behandlet av Stortinget, og fremmer følgelig ikke forslaget til endring av § 4 annet ledd i pasientskadeloven.
Komiteens flertall, medlemmene fra Arbeiderpartiet og Fremskrittspartiet, viser til ovenstående forslag til forandringer i helseregisterloven som krever at andre lover må harmoniseres slik at bestemmelser i disse lovene samsvarer med bestemmelsene i helseregisterloven.
Flertallet fremmer følgende forslag:
«I lov 5. august 1994 nr. 55 om vern mot smittsomme sykdommer skal § 2-3 lyde:
§ 2-3 Meldingsplikt for leger. Varslingsplikt for sykepleiere og jordmødre
En lege som oppdager en smittet person, har meldingsplikt etter forskrifter gitt i medhold av fjerde ledd uten hinder av lovbestemt taushetsplikt. En sykepleier eller jordmor som i sin virksomhet oppdager en smittet person har varslingsplikt etter forskrifter gitt i medhold av fjerde ledd uten hinder av lovbestemt taushetsplikt.
Den som etter første ledd mottar opplysninger undergitt taushetsplikt, har samme taushetsplikt som dem som gir opplysningene.
Når en lege som er meldingspliktig etter bestemmelsen i første ledd, gir en melding som identifiserer en person, skal legen informere den meldingen angår, om hvem som skal få meldingene og hva de skal brukes til.
Kongen i Statsråd kan gi forskrifter om behandling av helseopplysninger, herunder om bruk av navn, fødselsnummer eller andre personidentifiserende kjennetegn i samsvar med helseregisterloven. Forskriftene skal angi formålet med behandlingen av opplysningene, og hvilke smittsomme sykdommer som skal meldes eller varsles. Kongen i Statsråd kan også gi forskrifter om meldingsplikt for bivirkninger av forebyggende tiltak, og om undersøkelse, behandling og andre tiltak etter loven. Kongen kan gi nærmere bestemmelser om hvem som skal melde eller varsle, og om formkrav, meldingsskjemaer og frister for meldingene og varslene, herunder om hvem som kan eller skal motta meldinger og varsler.
Uten samtykke fra departementet kan verken private eller offentlige sette i verk meldingsordninger for smittsomme sykdommer hos mennesker. Dette gjelder ikke interne systemer.
Ved utbrudd av allmennfarlig smittsom sykdom, eller når det er fare for slikt utbrudd, og når det er nødvendig av hensyn til smittevernet, kan Statens helsetilsyn med øyeblikkelig virkning pålegge personer som nevnt i første ledd midlertidige meldings- og varslingsplikter som fraviker fra forskrifter etter fjerde ledd uten hinder av lovbestemt taushetsplikt.»
Komiteens medlemmer fra Kristelig Folkeparti, Høyre, Senterpartiet og Sosialistisk Venstreparti vil anmerke at krav til behandling av opplysninger i helseregistre vedrørende smittsomme sykdommer bør hjemles på samme måte som krav til andre registre, og reguleres etter §§ 7, 8 og 9 i denne lov. På denne bakgrunn finner disse medlemmer ikke grunn til å endre § 2-3 i smittevernloven.
Komiteen fremmer følgende forslag:
«I lov om helsepersonell skal § 37 lyde:
§ 37 Melding til helseregistre m.v.
Kongen kan pålegge helsepersonell med autorisasjon eller lisens å gi opplysninger til helseregistre i samsvar med forskrift gitt i medhold av helseregisterloven.»
Komiteens medlemmer fra Kristelig Folkeparti, Høyre, Senterpartiet og Sosialistisk Venstreparti viser til at den foreslåtte endring i helsepersonelloven § 37 gir en åpen fullmakt til Kongen i Statsråd til å etablere de helseregistre som anses nødvendig ut fra helseadministrative formål.
Komiteen viser for øvrig til proposisjonen og det som står foran, og rår Odelstinget til å gjøre slikt
vedtak til lov
om helseregistre og behandling av helseopplysninger (helseregisterloven)
Kapittel 1 Lovens formål, definisjoner og virkeområde
§ 1 Lovens formål
Formålet med denne lov er å bidra til å gi helsetjenesten og helseforvaltningen informasjon og kunnskap uten å krenke personvernet, slik at helsehjelp kan gis på en forsvarlig og effektiv måte. Gjennom forskning og statistikk skal loven bidra til informasjon og kunnskap om befolkningens helseforhold, årsaker til nedsatt helse og utvikling av sykdom for administrasjon, kvalitetssikring, planlegging og styring. Loven skal sikre at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på helseopplysninger.
§ 2 Definisjoner
I denne loven forstås med:
1 helseopplysninger: taushetsbelagte opplysninger i henhold til helsepersonelloven § 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson,
2 avidentifiserte helseopplysninger: helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysninger som tidligere ble fjernet,
3 anonyme opplysninger: opplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson,
4 pseudonyme helseopplysninger: helseopplysninger der identitet er kryptert eller skjult på annet vis, men likevel individualisert slik at det lar seg gjøre å følge hver person gjennom helsesystemet uten at identiteten røpes,
5 behandling av helseopplysninger: enhver formålsbestemt bruk av helseopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter,
6 helseregister: registre, fortegnelser, m.v. der helseopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen,
7 behandlingsrettet helseregister: journal- og informasjonssystem eller annet helseregister som har til formål å gi grunnlag for handlinger som har forebyggende, diagnostisk, behandlende, helsebevarende eller rehabiliterende mål i forhold til den enkelte pasient og som utføres av helsepersonell, samt administrasjon av slike handlinger,
8 databehandlingsansvarlig: den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes, hvis ikke databehandlingsansvaret er særskilt angitt i loven eller i forskrift i medhold av loven,
9 databehandler: den som behandler helseopplysninger på vegne av den databehandlingsansvarlige,
10 registrert: den som helseopplysninger kan knyttes til,
11 samtykke: en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av helseopplysninger om seg selv.
§ 3 Saklig virkeområde
Loven gjelder for
1 behandling av helseopplysninger i helseforvaltningen og helsetjenesten som skjer helt eller delvis med elektroniske hjelpemidler for å fremme formål som beskrevet i § 1, og
2 annen behandling av helseopplysninger i helseforvaltningen og helsetjenesten til slike formål, når helseopplysningene inngår eller skal inngå i et helseregister.
Loven gjelder både offentlig og privat virksomhet.
Kongen i Statsråd kan i forskrift bestemme at loven helt eller delvis skal gjelde for behandling av helseopplysninger utenfor helseforvaltningen og helsetjenesten for å ivareta formål som beskrevet i § 1.
Det som er fastsatt for fylkeskommuner i denne lov, gjelder også for Oslo kommune.
§ 4 Geografisk virkeområde
Loven gjelder for databehandlingsansvarlige som er etablert i Norge. Kongen kan i forskrift bestemme at loven helt eller delvis skal gjelde for Svalbard og Jan Mayen, og kan fastsette særlige regler om behandling av helseopplysninger for disse områdene.
Loven gjelder også for databehandlingsansvarlige som er etablert i stater utenfor EØS-området, dersom den databehandlingsansvarlige benytter hjelpemidler i Norge. Dette gjelder likevel ikke dersom hjelpemidlene bare brukes til å overføre helseopplysninger via Norge.
Databehandlingsansvarlige som nevnt i annet ledd, skal ha en representant som er etablert i Norge. Bestemmelsene som gjelder for den databehandlingsansvarlige, gjelder også for representanten.
Kapittel 2 Tillatelse til å behandle helseopplysninger, etablering av helseregistre, innsamling av opplysninger, meldingsplikt m.m.
§ 5 Behandling av helseopplysninger, konsesjonsplikt m.m.
Helseopplysninger kan bare behandles elektronisk når dette er tillatt etter personopplysningsloven §§ 9 og 33, eller følger av lov og behandlingen ikke er forbudt ved annet særskilt rettsgrunnlag. Det samme gjelder annen behandling av helseopplysninger, dersom opplysningene inngår eller skal inngå i et helseregister.
Konsesjonsplikt etter personopplysningsloven § 33 gjelder ikke for behandling av helseopplysninger som skjer med hjemmel i forskrift etter §§ 6 til 8.
Før helseopplysninger innhentes for behandling etter første ledd, skal samtykke fra den registrerte foreligge, hvis ikke annet er bestemt i eller i medhold av lov.
Pasientrettighetsloven §§ 4-3 til 4-8 gjelder tilsvarende for samtykke etter denne lov. Barn mellom 12 og 16 år kan selv treffe beslutning om samtykke, dersom pasienten av grunner som bør respekteres, ikke ønsker at opplysningene gjøres kjent for foreldrene eller andre med foreldreansvar.
§ 6 Behandlingsrettet helseregister
Behandlingsrettede helseregistre kan føres elektronisk. Det skal fremgå av registeret hvem som har registrert opplysningene. Dette kan gjøres ved hjelp av elektronisk signatur eller tilsvarende sikker dokumentasjon.
Fylkeskommune, kommune og annen offentlig eller privat virksomhet som tar i bruk behandlingsrettede helseregistre, er databehandlingsansvarlig for opplysningene. Fylkeskommunen og kommunen kan delegere databehandlingsansvaret.
Kongen kan i forskrift gi nærmere bestemmelser om behandling av helseopplysninger i behandlingsrettede helseregistre, herunder om godkjenning av programvare og andre forhold som nevnt i § 16 fjerde ledd.
§ 7 Regionale og lokale helseregistre
Det kan ikke etableres andre regionale og lokale helseregistre med helseopplysninger enn det som følger av denne eller annen lov.
Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om etablering av regionale helseregistre og behandling av helseopplysninger i regionale helseregistre for ivaretakelse av oppgaver etter smittevernloven, spesialisthelsetjenesteloven og tannhelsetjenesteloven. Navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn kan bare behandles etter samtykke fra den registrerte. Samtykke fra den registrerte er ikke nødvendig, dersom det i forskriften bestemmes at helseopplysningene bare kan behandles i pseudonymisert eller avidentifisert form. Forskriften skal angi formålet med behandlingen av helseopplysningene, hvilke opplysninger som kan behandles, og eventuelt nærmere regler om hvem som skal foreta pseudonymiseringen og prinsipper for hvordan det skal gjøres. Fylkeskommunen er databehandlingsansvarlig for opplysningene, med mindre noe annet er bestemt i forskriften. Databehandlingsansvaret kan delegeres.
Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om etablering av lokale helseregistre og behandling av helseopplysninger i lokale helseregistre for ivaretakelse av oppgaver etter kommunehelsetjenesteloven og smittevernloven. Navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn kan bare behandles etter samtykke fra den registrerte. Samtykke fra den registrerte er ikke nødvendig, dersom det i forskriften bestemmes at helseopplysningene bare kan behandles i pseudonymisert eller avidentifisert form. Forskriften skal angi formålet med behandlingen av helseopplysningene, hvilke opplysninger som kan behandles, og eventuelt nærmere regler om hvem som skal foreta pseudonymiseringen og prinsipper for hvordan det skal gjøres. Kommunen er databehandlingsansvarlig for opplysningene, med mindre noe annet er bestemt i forskriften. Databehandlingsansvaret kan delegeres.
§ 8 Sentrale helseregistre
Det kan ikke etableres andre sentrale helseregistre med helseopplysninger enn det som følger av denne eller annen lov.
Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om etablering av sentrale helseregistre og behandling av helseopplysninger i sentrale helseregistre for ivaretakelse av oppgaver etter apotekloven, kommunehelsetjenesteloven, tannhelsetjenesteloven, smittevernloven og spesialisthelsetjenesteloven, herunder overordnet styring og planlegging av tjenestene, kvalitetsutvikling, forskning og statistikk. Navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn kan bare behandles etter samtykke fra den registrerte. Samtykke fra den registrerte er ikke nødvendig, dersom det i forskriften bestemmes at helseopplysningene bare kan behandles i psudonymisert eller avidentifisert form. Forskriften skal eventuelt fastsette nærmere regler om hvem som skal foreta pseudonymiseringen og prinsipper for hvordan det skal gjøres.
I følgende registre kan navn, fødselsnummer og andre direkte personidentifiserende kjennetegn behandles uten samtykke fra den registrerte i den utstrekning det er nødvendig for å nå formålet med registeret:
1 Dødsårsaksregisteret
2 Kreftregisteret
3 Medisinsk fødselsregister
4 Meldesystemet for infeksjonssykdommer
5 Det sentrale tuberkuloseregisteret
6 System for vaksinasjonskontroll (SYSVAK)
Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om behandlingen av helseopplysningene i helseregistrene.
Forskriftene etter annet og tredje ledd skal angi formålet med behandlingen av helseopplysningene og hvilke opplysninger som skal behandles. Forskriften skal videre angi hvem som er databehandlingsansvarlig for opplysningene.
Databehandlingsansvaret kan delegeres. Forskriftene bør også gi bestemmelser om den databehandlingsansvarliges plikt til å gjøre data tilgjengelig for at formålene kan nås.
§ 9 Særlig om innsamling av helseopplysninger til sentrale, regionale og lokale helseregistre, meldingsplikt m.v.
Virksomheter og helsepersonell som tilbyr eller yter tjenester i henhold til apotekloven, kommunehelsetjenesteloven, smittevernloven, spesialisthelsetjenesteloven eller tannhelsetjenesteloven, plikter å utlevere eller overføre opplysninger som bestemt i forskrifter etter §§ 7 og 8 samt etter paragrafen her.
Kongen kan gi forskrifter om innsamling av helseopplysninger etter §§ 7 og 8, herunder bestemmelser om hvem som skal gi og motta opplysningene og om frister, formkrav og meldingsskjemaer. Den som mottar opplysningene, skal varsle avsenderen av opplysningene dersom opplysningene er mangelfulle.
§ 10 Særlig om plikt til å innrapportere data til statistikk
Departementet kan i forskrift eller ved enkeltvedtak pålegge fylkeskommuner og kommuner å innrapportere avidentifiserte eller anonyme data til statistikk, herunder gi nærmere regler om bruk av standarder, klassifikasjonssystemer og kodeverk.
Kapittel 3 Alminnelige bestemmelser om behandling av helseopplysninger
§ 11 Krav til formålsbestemthet, saklighet, relevans m.v.
Enhver behandling av helseopplysninger skal ha et uttrykkelig angitt formål som er saklig begrunnet i den databehandlingsansvarliges virksomhet. Den databehandlingsansvarlige skal sørge for at helseopplysningene som behandles, er relevante og nødvendige for formålet med behandlingen av opplysningene.
Helseopplysninger kan bare anvendes til andre formål enn helsehjelp til den enkelte pasient eller administrasjon av slik hjelp når personidentifisering er nødvendig for å fremme disse formålene. Det skal alltid begrunnes hvorfor det er nødvendig å benytte personidentifiserbare opplysninger. Tilsynsmyndigheten kan i medhold av § 31 kreve at den databehandlingsansvarlige legger frem begrunnelsen.
Helseopplysninger kan ikke anvendes til formål som er uforenlig med det opprinnelige formålet med innsamlingen av opplysningene, uten at den registrerte samtykker.
§ 12 Sammenstilling av helseopplysninger
Helseopplysninger i behandlingsrettet helseregister kan sammenstilles med opplysninger om samme pasient i annet behandlingsrettet helseregister, i den grad helseopplysningene kan utleveres etter helsepersonelloven §§ 25, 26 og 45. Helseopplysninger som nevnt kan dessuten sammenstilles med folkeregisteropplysninger om den registrerte.
Helseopplysninger innsamlet etter § 9, kan sammenstilles etter nærmere bestemmelser fastsatt i forskrift etter §§ 7 og 8.
Ut over det som følger av første og annet ledd, kan helseopplysninger bare sammenstilles når dette er tillatt etter personopplysningsloven §§ 9 og 33.
§ 13 Tilgang til helseopplysninger i den databehandlingsansvarliges og databehandlers institusjon
Bare den databehandlingsansvarlige, databehandlere og den som arbeider under den databehandlingsansvarliges eller databehandlers instruksjonsmyndighet, kan gis tilgang til helseopplysninger. Tilgang kan bare gis i den grad dette er nødvendig for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt.
§ 14 Utlevering av helseopplysninger
Helseopplysninger kan utleveres eller overføres for sammenstilling som er tillatt etter § 12. Sammenstilte helseopplysninger kan, etter at navn og fødselsnummer er fjernet, utleveres eller overføres til en virksomhet som bestemt av departementet, når formålet er å avidentifisere eller å anonymisere opplysningene.
Helseopplysninger kan dessuten utleveres eller overføres når utlevering eller overføring har hjemmel i eller i medhold av lov, og den som mottar opplysningene har adgang til å behandle dem etter personopplysningsloven.
§ 15 Taushetsplikt
Enhver som behandler helseopplysninger etter denne lov, har taushetsplikt etter forvaltningsloven §§ 13 til 13e og helsepersonelloven.
Taushetsplikten etter første ledd gjelder også pasientens fødested, fødselsdato, personnummer, pseudonym, statsborgerforhold, sivilstand, yrke, bopel og arbeidssted.
Opplysninger til andre forvaltningsorganer etter forvaltningsloven § 13 b nr. 5 og 6 kan bare gis når det er nødvendig for å bidra til løsning av oppgaver etter loven her, eller for å forebygge vesentlig fare for liv eller alvorlig skade for noens helse.
§ 16 Sikring av konfidensialitet, integritet, kvalitet og tilgjengelighet
Den databehandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, kvalitet og tilgjengelighet ved behandling av helseopplysninger.
For å oppnå tilfredsstillende informasjonssikkerhet skal den databehandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den databehandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for tilsynsmyndighetene.
En databehandlingsansvarlig som lar andre få tilgang til helseopplysninger, for eksempel en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og annet ledd.
Kongen kan gi forskrift om sikkerhet ved behandling av helseopplysninger etter denne lov. Kongen kan herunder sette nærmere krav til elektronisk signatur, kommunikasjon og langtidslagring, om godkjenning (autorisasjon) av programvare og om bruk av standarder, klassifikasjonssystemer og kodeverk, samt hvilke nasjonale eller internasjonale standardsystemer som skal følges.
§ 17 Internkontroll
Den databehandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven, herunder sikre helseopplysningenes kvalitet.
Den databehandlingsansvarlige skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den databehandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for tilsynsmyndighetene.
Kongen kan i forskrift gi nærmere regler om internkontroll.
§ 18 Databehandlers rådighet over helseopplysninger
En databehandler kan ikke behandle helseopplysninger på annen måte enn det som er skriftlig avtalt med den databehandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse. I avtalen med den databehandlingsansvarlige skal det også gå frem at databehandleren plikter å gjennomføre slike sikringstiltak som følger av § 16.
§ 19 Frist for å svare på henvendelser m.v.
Den databehandlingsansvarlige skal svare på henvendelser om innsyn eller andre rettigheter etter §§ 21, 22, 26 og 28 uten ugrunnet opphold og senest innen 30 dager fra den dagen henvendelsen kom inn.
Dersom særlige forhold gjør det umulig å svare på henvendelsen innen 30 dager, kan gjennomføringen utsettes inntil det er mulig å gi svar. Den databehandlingsansvarlige skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis.
Kapittel 4 Databehandlingsansvarliges informasjonsplikt og den registrertes innsynsrett
§ 20 Informasjon til allmennheten om behandling av helseopplysninger etter loven §§ 7 og 8
Når helseopplysninger behandles etter forskrift i medhold av §§ 7 og 8, skal den databehandlingsansvarlige av eget tiltak informere allmennheten om hva slags behandling av helseopplysninger som foretas.
§ 21 Rett til generell informasjon om helseregistre og behandling av helseopplysninger
Enhver som ber om det, skal få vite hva slags behandling av helseopplysninger en databehandlingsansvarlig foretar, og kan kreve å få følgende informasjon om en bestemt type behandling av helseopplysninger:
1 navn og adresse på den databehandlingsansvarlige og dennes eventuelle representant,
2 hvem som har det daglige ansvaret for å oppfylle den databehandlingsansvarliges plikter,
3 formålet med behandlingen av helseopplysningene,
4 beskrivelser av hvilke typer helseopplysninger som behandles,
5 hvor opplysningene er hentet fra, og
6 om helseopplysningene vil bli utlevert, og eventuelt hvem som er mottaker.
Informasjonen kan kreves hos den databehandlingsansvarlige eller hos dennes databehandler som nevnt i § 18.
§ 22 Rett til innsyn
Den som ber om det, har rett til innsyn i behandlingsrettet helseregister i den grad dette følger av pasientrettighetsloven § 5-1 og helsepersonelloven § 41.
Når helseopplysninger behandles etter §§ 5, 7 og 8, har den registrerte på forespørsel i tillegg til informasjon som nevnt i § 21 første ledd, rett til å få opplyst
1 hvilke helseopplysninger om den registrerte som behandles, og
2 sikkerhetstiltakene ved behandlingen av helseopplysningene så langt innsyn ikke svekker sikkerheten.
Den registrerte kan også kreve at den databehandlingsansvarlige utdyper informasjonen som nevnt i § 21 første ledd i den grad dette er nødvendig for at den registrerte skal kunne vareta egne interesser.
Informasjon etter første og annet ledd kan kreves skriftlig hos den databehandlingsansvarlige eller hos dennes databehandler som nevnt i § 18. Den som blir bedt om å gi innsyn, kan kreve at den registrerte leverer en skriftlig og undertegnet begjæring.
Kongen kan i forskrift gi nærmere bestemmelser om retten til innsyn i behandling av helseopplysninger etter annet og tredje ledd. Dersom særlige grunner gjør det nødvendig, kan Kongen gi forskrift om at den registrerte må betale vederlag til den databehandlingsansvarlige. Vederlaget kan ikke overstige de faktiske kostnadene ved å etterkomme kravet.
§ 23 Informasjonsplikt når det samles inn opplysninger fra den registrerte
Når det samles inn helseopplysninger fra den registrerte selv, skal den databehandlingsansvarlige av eget tiltak først informere den registrerte om
1 navn og adresse på den databehandlingsansvarlige og dennes eventuelle representant,
2 formålet med behandlingen av helseopplysningene,
3 opplysningene vil bli utlevert, og eventuelt hvem som er mottaker,
4 det er frivillig å gi fra seg helseopplysningene, og
5 annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf. § 22, og retten til å kreve retting og sletting, jf. §§ 26 og 28.
Varsling er ikke påkrevd dersom det er på det rene at den registrerte allerede kjenner til informasjonen i første ledd.
§ 24 Informasjonsplikt når det samles inn opplysninger fra andre enn den registrerte
En databehandlingsansvarlig som samler inn helseopplysninger fra andre enn den registrerte selv, skal av eget tiltak informere den registrerte om hvilke opplysninger som samles inn og gi informasjon som nevnt i § 23 første ledd så snart opplysningene er innhentet. Dersom formålet med innsamlingen av opplysningene er å gi dem videre til andre, kan den databehandlingsansvarlige vente med å varsle den registrerte til utleveringen skjer.
Den registrerte har ikke krav på varsel etter første ledd dersom
1 innsamlingen eller formidlingen av opplysningene er uttrykkelig fastsatt i lov,
2 varsling er umulig eller uforholdsmessig vanskelig, eller
3 det er på det rene at den registrerte allerede kjenner til informasjonen som varslet skal inneholde.
Når varsling unnlates med hjemmel i annet ledd nr. 2, skal informasjon likevel gis senest når det gjøres en henvendelse til den registrerte på grunnlag av opplysningene.
§ 25 Unntak fra retten til informasjon og innsyn
Det kan nektes innsyn i behandlingsrettet helseregister etter reglene i pasientrettighetsloven § 5-1.
Retten til innsyn etter §§ 21 og 22 annet ledd og plikten til å gi informasjon etter §§ 20, 23 og 24, omfatter ikke opplysninger som
1 om de ble kjent, ville kunne skade rikets sikkerhet, landets forsvar eller forholdet til fremmede makter eller internasjonale organisasjoner,
2 det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølging av straffbare handlinger,
3 det må anses utilrådelig at den registrerte får kjennskap til, av hensyn til vedkommendes helse eller forholdet til personer som står vedkommende nær,
4 det i medhold av lov gjelder taushetsplikt for,
5 utelukkende finnes i tekst som er utarbeidet for den interne saksforberedelse og som heller ikke er utlevert til andre,
6 det vil være i strid med åpenbare og grunnleggende private eller offentlige interesser å informere om, herunder hensynet til den registrerte selv.
Opplysninger som den registrerte nektes innsyn i etter første ledd og etter annet ledd nr. 3, har en representant for pasienten rett til innsyn i, med mindre representanten anses uskikket for dette. En lege eller advokat kan ikke nektes innsyn, med mindre særlige grunner taler for dette.
Den som nekter å gi innsyn i medhold av første eller annet ledd, må begrunne dette skriftlig med presis henvisning til unntakshjemmelen.
Kapittel 5 Særlige bestemmelser om retting og sletting av helseopplysninger
§ 26 Retting av mangelfulle helseopplysninger
Dersom det er behandlet helseopplysninger etter §§ 5, 7 og 8 som er uriktige, ufullstendige eller som det ikke er adgang til å behandle, skal den databehandlingsansvarlige av eget tiltak eller på begjæring av den registrerte rette de mangelfulle opplysningene. Den databehandlingsansvarlige skal om mulig sørge for at feilen ikke får betydning for den registrerte. Dersom helseopplysningene er utlevert, skal den databehandlingsansvarlige varsle mottakere av utleverte opplysninger.
Retting av uriktige eller ufullstendige helseopplysninger som kan ha betydning som dokumentasjon, skal skje ved at opplysningene tydelig markeres og suppleres med korrekte opplysninger.
Dersom tungtveiende personvernhensyn tilsier det, kan Datatilsynet uten hinder av annet ledd bestemme at retting skal skje ved at de mangelfulle helseopplysningene slettes eller sperres. Hvis opplysningene ikke kan kasseres i medhold av arkivloven, skal Riksarkivaren høres før det treffes vedtak om sletting. Vedtaket går foran reglene i arkivloven 4. desember 1992 nr. 126 §§ 9 og 18.
Sletting bør suppleres med registrering av korrekte og fullstendige opplysninger. Dersom dette ikke er mulig, og dokumentet som inneholdt de slettede opplysningene av den grunn gir et åpenbart misvisende bilde, skal hele dokumentet slettes.
For retting og sletting av helseopplysninger i behandlingesrettet helseregister gjelder helsepersonellloven §§ 42 til 44. Første ledd annet og tredje punktum gjelder tilsvarende.
§ 27 Forbud mot å lagre unødvendige helseopplysninger
Den databehandlingsansvarlige skal ikke lagre helseopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen av helseopplysningene. Hvis ikke helseopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes.
I forskrift etter §§ 6 til 8 kan det bestemmes at helseopplysninger kan lagres for historiske, statistiske eller vitenskapelige formål, dersom samfunnets interesse i at opplysningene lagres klart overstiger de ulempene den kan medføre for den enkelte. Den databehandlingsansvarlige skal i så fall sørge for at opplysningene ikke oppbevares på måter som gjør det mulig å identifisere den registrerte lenger enn nødvendig.
§ 28 Sletting eller sperring av helseopplysninger som føles belastende for den registrerte
Den registrerte kan kreve at helseopplysninger som behandles etter §§ 5, 7 og 8, skal slettes eller sperres, dersom behandling av opplysningene føles sterkt belastende for den registrerte og det ikke finnes sterke allmenne hensyn som tilsier at opplysningene behandles. Krav om sletting eller sperring av slike opplysninger rettes til den databehandlingsansvarlige for opplysningene.
Datatilsynet kan, etter at Riksarkivaren er hørt, treffe vedtak om at retten til sletting etter første ledd går foran reglene i arkivloven 4. desember 1992 nr. 126 §§ 9 og 18. Hvis dokumentet som inneholdt de slettede opplysningene, gir et åpenbart misvisende bilde etter slettingen, skal hele dokumentet slettes.
Krav om sletting av helseopplysninger i behandlingsrettede helseregistre avgjøres etter helsepersonelloven § 43.
Kapittel 6 Tilsyn, kontroll og sanksjoner
§ 29 Meldeplikt til Datatilsynet
Den databehandlingsansvarlige skal gi melding til Datatilsynet før behandling av helseopplysninger med elektroniske hjelpemidler og før opprettelse av manuelt helseregister.
Meldingen skal gis senest 30 dager før behandlingen av opplysningene tar til. Datatilsynet skal gi den databehandlingsansvarlige kvittering for at melding er mottatt.
Ny melding må gis før behandling av helseopplysninger som går ut over den rammen for behandling av helseopplysninger som er angitt i medhold av § 30. Selv om det ikke har skjedd endringer, skal det gis ny melding tre år etter at forrige melding ble gitt.
Kongen kan gi forskrift om at visse typer behandling av helseopplysninger eller databehandlingsansvarlige er unntatt fra meldeplikt eller er underlagt forenklet meldeplikt.
§ 30 Meldepliktens innhold
Meldingen til Datatilsynet skal opplyse om
1 navn og adresse på den databehandlingsansvarlige og på dennes eventuelle representant og databehandler,
2 når behandlingen av helseopplysningene starter,
3 hvem som har det daglige ansvaret for å oppfylle den databehandlingsansvarliges plikter,
4 formålet med behandlingen av helseopplysningene,
5 oversikt over hvilke typer helseopplysninger som skal behandles,
6 hvor helseopplysningene hentes fra,
7 det rettslige grunnlaget for innsamlingen av helseopplysningene,
8 hvem helseopplysningene vil bli utlevert til, herunder eventuelle mottakere i andre stater, og
9 hvilke sikkerhetstiltak som er knyttet til behandlingen av helseopplysningene.
Kongen kan gi forskrift om hvilke opplysninger meldingene skal inneholde og om gjennomføringen av meldeplikten.
§ 31 Tilsynsmyndighetene
Datatilsynet fører tilsyn med at bestemmelsene i loven blir fulgt og at feil eller mangler blir rettet, jf. personopplysningsloven § 42, med mindre tilsynsoppgaven påligger Statens helsetilsyn eller fylkeslegen etter lov 30. mars 1984 nr. 15 om statlig tilsyn med helsetjenesten.
Tilsynsmyndighetene kan kreve de opplysninger som trengs for at de kan gjennomføre sine oppgaver.
Tilsynsmyndighetene kan som ledd i sin kontroll med at lovens regler etterleves, kreve adgang til steder hvor det finnes helseregistre, helseopplysninger som behandles elektronisk og hjelpemidler for slik behandling av opplysninger. Tilsynsmyndighetene kan gjennomføre de prøver eller kontroller som de finner nødvendig, og kreve bistand fra personalet på stedet i den grad dette må til for å få utført prøvene eller kontrollene.
Retten til å kreve opplysninger eller tilgang til lokaler og hjelpemidler i henhold til annet og tredje ledd gjelder uten hinder av taushetsplikt.
Tilsynsmyndighetene og andre som utfører tjeneste for tilsynsmyndighetene, har taushetsplikt etter § 15. Taushetsplikten omfatter også opplysninger om sikkerhetstiltak.
Kongen kan gi forskrift om unntak fra første til fjerde ledd av hensyn til rikets sikkerhet. Kongen kan også gi forskrift om dekning av utgiftene ved kontroll. Skyldige bidrag til dekning av utgiftene er tvangsgrunnlag for utlegg.
§ 32 Adgang til å gi pålegg
Datatilsynet kan gi pålegg om at behandling av helseopplysninger i strid med bestemmelser i eller i medhold av denne loven skal opphøre, eller stille vilkår som må oppfylles for at behandlingen av helseopplysningene skal være i samsvar med loven. Dersom det i tillegg må antas at behandlingen av helseopplysningene kan ha skadelige følger for pasienter, kan Statens helsetilsyn gi pålegg som nevnt. Når Datatilsynet har gitt et pålegg, skal Statens helsetilsyn informeres om dette. Når Statens helsetilsyn har gitt et pålegg, skal Datatilsynet informeres om dette.
Pålegg etter første ledd skal inneholde en frist for å rette seg etter pålegget.
Avgjørelser som Datatilsynet fatter i medhold av §§ 26, 28, 31, 32 og 33, kan påklages til Personvernnemnda.
§ 33 Tvangsmulkt
Ved pålegg etter § 32 kan Datatilsynet fastsette en tvangsmulkt som løper for hver dag som går etter utløpet av den fristen som er satt for oppfylling av pålegget, inntil pålegget er oppfylt.
Tvangsmulkten løper ikke før klagefristen er ute. Hvis vedtaket påklages, løper ikke tvangsmulkt før klageinstansen har bestemt det.
Datatilsynet kan frafalle påløpt tvangsmulkt.
§ 34 Straff
Med bøter eller fengsel inntil ett år eller begge deler straffes den som forsettlig eller grovt uaktsomt
1 behandler helseopplysninger i strid med §§ 16 eller 18,
2 unnlater å gi opplysninger til den registrerte etter §§ 23 eller 24,
3 unnlater å sende melding til Datatilsynet etter § 29,
4 unnlater å gi opplysninger til tilsynsmyndighetene etter § 31, eller
5 unnlater å etterkomme pålegg fra tilsynsmyndighetene etter § 32.
Ved særdeles skjerpende omstendigheter kan fengsel inntil tre år idømmes. Ved avgjørelsen av om det foreligger særdeles skjerpende omstendigheter skal det blant annet legges vekt på faren for stor skade eller ulempe for den registrerte, den tilsiktede vinningen ved overtredelsen, overtredelsens varighet og omfang, utvist skyld, og om den databehandlingsansvarlige tidligere er straffet for å ha overtrådt tilsvarende bestemmelser.
Medvirkning straffes på samme måte.
I forskrift som gis i medhold av loven, kan det fastsettes at den som forsettlig eller grovt uaktsomt overtrer forskriften skal straffes med bøter eller fengsel inntil ett år eller begge deler.
§ 35 Erstatning
Den databehandlingsansvarlige skal erstatte skade som er oppstått som følge av at helseopplysninger er behandlet i strid med bestemmelser i eller i medhold av loven, med mindre det godtgjøres at skaden ikke skyldes feil eller forsømmelse på den databehandlingsansvarliges side.
Erstatningen skal svare til det økonomiske tapet som den skadelidte er påført som følge av den ulovlige behandlingen av helseopplysningene. Den databehandlingsansvarlige kan også pålegges å betale slik erstatning for skade av ikke-økonomisk art (oppreisning) som synes rimelig.
Kapittel 7 Forholdet til andre lover. Ikraftsetting
§ 36 Forholdet til lov om behandling av personopplysninger
I den utstrekning ikke annet følger av denne lov, gjelder personopplysningsloven med forskrifter som utfyllende bestemmelser.
§ 37 Ikraftsetting
Loven trer i kraft fra den tid Kongen bestemmer. Kongen kan bestemme at de enkelte bestemmelsene i loven skal tre i kraft til ulik tid.
§ 38 Endringer i andre lover
1 I lov 19. november 1982 nr. 66 om helsetjenesten i kommunene skal § 3-4 første ledd lyde:
(Meldingsplikt til kommuneadministrasjonen mv.)
Kommunen kan pålegge helsepersonell som arbeider innenfor rammen av denne lov å gi opplysninger til bruk for planlegging, styring og utvikling av kommunehelsetjenesten. Utlevering av taushetsbelagte opplysninger etter første punktum skal skje etter samtykke fra den opplysningene angår, hvis ikke annet er bestemt i eller i medhold av lov.
2 I lov 3. juni 1983 nr. 54 om tannhelsetjenesten skal § 3-4 første ledd lyde:
(Meldingsplikt til fylkesadministrasjonen mv.)
Fylkeskommunen kan pålegge helsepersonell som arbeider innenfor rammen av denne lov å gi opplysninger til bruk for planlegging, styring og utvikling av tannhelsetjenesten i fylkeskommunen. Utlevering av taushetsbelagte opplysninger etter første punktum skal skje etter samtykke fra den opplysningene angår, hvis ikke annet er bestemt i eller i medhold av lov.
3 Lov 4. desember 1992 nr. 126 om arkiv endres slik:
§ 9 bokstav c tredje punktum skal lyde:
Personregister eller delar av personregister kan likevel slettast etter føresegnene i personopplysningslova, helseregisterlova og etter føresegner i medhald av helseregisterlova §§ 7 og 8.
§ 9 bokstav d annet punktum skal lyde:
Føresegner om sletting gjevne i medhald av § 27 tredje og femte leden og § 28 fjerde leden i personopplysningslova og §§ 7, 8 og 26 tredje leden og § 28 andre leden i helseregisterlova gjeld likevel uinnskrenka.
§ 18 annet punktum skal lyde:
Reglane i personopplysningslova og helseregisterlova om retting og sletting av opplysningar vil likevel gjelda fullt ut.
4 I lov 5. august 1994 nr. 55 om vern mot smittsomme sykdommer skal § 2-3 lyde:
§ 2-3 Meldingsplikt for leger. Varslingsplikt for sykepleiere og jordmødre
En lege som oppdager en smittet person, har meldingsplikt etter forskrifter gitt i medhold av fjerde ledd uten hinder av lovbestemt taushetsplikt. En sykepleier eller jordmor som i sin virksomhet oppdager en smittet person har varslingsplikt etter forskrifter gitt i medhold av fjerde ledd uten hinder av lovbestemt taushetsplikt.
Den som etter første ledd mottar opplysninger undergitt taushetsplikt, har samme taushetsplikt som dem som gir opplysningene.
Når en lege som er meldingspliktig etter bestemmelsen i første ledd, gir en melding som identifiserer en person, skal legen informere den meldingen angår, om hvem som skal få meldingen og hva den skal brukes til.
Kongen i Statsråd kan gi forskrifter om behandling av helseopplysninger, herunder om bruk av navn, fødselsnummer eller andre personidentifiserende kjennetegn i samsvar med helseregisterloven. Forskriftene skal angi formålet med behandlingen av opplysningene, og hvilke smittsomme sykdommer som skal meldes eller varsles. Kongen i Statsråd kan også gi forskrifter om meldingsplikt for bivirkninger av forebyggende tiltak, og om undersøkelse, behandling og andre tiltak etter loven. Kongen kan gi nærmere bestemmelser om hvem som skal melde eller varsle, og om formkrav, meldingsskjemaer og frister for meldingene og varslene, herunder om hvem som kan eller skal motta meldinger og varsler.
Uten samtykke fra departementet kan verken private eller offentlige sette i verk meldingsordninger for smittsomme sykdommer hos mennesker. Dette gjelder ikke interne systemer.
Ved utbrudd av allmennfarlig smittsom sykdom, eller når det er fare for slikt utbrudd, og når det er nødvendig av hensyn til smittevernet, kan Statens helsetilsyn med øyeblikkelig virkning pålegge personer som nevnt i første ledd midlertidige meldings- og varslingsplikter som fraviker fra forskrifter etter fjerde ledd uten hinder av lovbestemt taushetsplikt.
§ 3-8 femte ledd skal lyde:
Kongen i Statsråd kan i forskrift fastsette at helsepersonell uten hinder av lovbestemt taushetsplikt skal gi nødvendige opplysninger for gjennomføring av et kontrollsystem basert på vaksinasjonsregistre, og gi regler for slike registre, jf. helseregisterloven.
§ 7-11 annet ledd første punktum oppheves.
5 Lov 2. juli 1999 nr. 64 om helsepersonell endres slik:
§ 35 fjerde ledd skal lyde:
Lege eller jordmor skal gi melding om fødsel eller svangerskapsavbrudd etter tolvte uke til Medisinsk fødselsregister i samsvar med forskrift gitt i medhold av helseregisterloven.
§ 37 skal lyde:
§ 37 Melding til helseregistre m.v.
Kongen kan pålegge helsepersonell med autorisasjon eller lisens å gi opplysninger til helseregistre i samsvar med forskrift gitt i medhold av helseregisterloven.
Oslo, i sosialkomiteen, den 27. mars 2001
John I. Alvheim | Olav Gunnar Ballo | Are Næss |
leder | ordfører | sekretær |