Du bruker en gammel nettleser. For å kunne bruke all funksjonalitet i nettsidene må du bytte til en nyere og oppdatert nettleser. Se oversikt over støttede nettlesere.

Stortinget.no

logo
Hopp til innholdet
Til forsiden
Til forsiden

3. Tilgang til virksomhetsinterne behandlingsrettede helseregistre på tvers av virksomhetsgrenser – endring i helseregisterloven § 13

Helseregisterloven skiller mellom tilgang til helseopplysninger og utlevering av helseopplysninger. Helseregisterloven § 13 setter de ytre rammer for hvem som kan gis tilgang til helseopplysninger. Elektronisk tilgang til helseopplysninger som behandles etter helseregisterloven, er begrenset til den som arbeider under den databehandlingsansvarliges eller databehandlers instruksjonsmyndighet. Begrensningen i helseregisterloven § 13 gjelder i tillegg til reglene om taushetsplikt i helsepesonelloven.

Helseregisterloven § 13 må ses i sammenheng med helseregisterloven § 16 som pålegger databehandlingsansvarlig og databehandler å sørge for tilstrekkelig sikring av helseopplysninger. Dersom noen utenfor den databehandlingsansvarliges eller databehandlers virksomhet har tilgang til helseopplysninger, har ikke databehandlingsansvarlig eller databehandler oppfylt sine plikter etter helseregisterloven § 16 til å sikre helseopplysninger.

Det framholdes at helseregisterloven § 13 – slik den i dag lyder – stenger for kommunikasjon mellom helsepersonell også der det er formålstjenelig og kan gjøres uten at det går på bekostning av informasjonssikkerheten. Dette er slik fordi helsepersonell i én virksomhet ikke står under instruksjonsmyndigheten til databehandlingsansvarlige eller databehandler i en annen virksomhet, og de kan følgelig ikke gis tilgang til journalen der den befinner seg i den andre virksomhetens elektroniske pasientjournalsystem. Mulighet til å gjøre seg kjent med nødvendige og relevante journalopplysninger er etter gjeldende rett gjennom utlevering av opplysningene, som elektronisk forsendelse eller meldingsutveksling eller som papirutskrift eller papirkopi.

Det uttales at det ut fra et personvernsynspunkt ikke nødvendigvis er bedre å utlevere en kopi av journalen/journalnotat enn å gi den aktuelle legen tilgang til journalen/journalnotatet der det ligger.

Departementet mener at de teknologiske muligheter i dag innebærer at taushetsplikten kan ivaretas også når det åpnes for tilgang til helseopplysninger på tvers av virksomheter. Det absolutte forbudet i helseregisterloven § 13 er etter departementets vurdering ikke lenger hensiktsmessig, fordi det ikke er nødvendig for overholdelse av taushetsplikten, og fordi det vanskeliggjør nødvendig samarbeid og samhandling mellom virksomheter som samarbeider om helsehjelp til pasienter.

Det er departementets mening at det er underordnet om tilgjengeliggjøringen skjer i form av kopiering og overføring av informasjon til mottaker/mottakers system, eller om det skjer i form av at mottaker gis innsyn i de avgrensede opplysningene som kan utleveres til mottakers system. Avgjørende for om det bør utvikles løsninger for meldingsutveksling eller om en bør åpne for tilgang på tvers, bør etter departementets syn være hvordan pasientens behov best kan ivaretas, og om sikker informasjonsutveksling er mulig. Det uttales at dagens kommunikasjons- og informasjonsteknologi gjør det mulig å sikre opplysningene, herunder kontrollmuligheter, og ivareta hensynet til pasientens rett til konfidensialitet ved tilgang til helseopplysninger på tvers av virksomheter. Departementet mener derfor at helseregisterloven § 13 bør endres slik at det åpnes for dette etter nærmere regulering i forskrift. Det understrekes at en helt overordnet forutsetning vil være at virksomhetene har systemer som faktisk er i stand til å gi tilgang til kun journalopplysninger som er relevante og nødvendige for å kunne gi forsvarlig og nødvendig helsehjelp til pasienten, og at det ikke gis tilgang til opplysninger som ikke er nødvendige av hensyn til helsehjelpen.

Det redegjøres i proposisjonen for en del hovedkrav for tilgang på tvers som departementet vil ta utgangspunkt i ved utarbeidelse av forskriften.

Komiteens flertall, medlemmene fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet, viser til at § 13 i helseregisterloven, slik den i dag er utformet, medfører at bare den databehandlingsansvarlige, databehandlere og den som arbeider under den databehandlingsansvarliges eller databehandlers instruksjonsmyndighet, kan gis tilgang til helseopplysninger. Tilgang kan bare gis i den grad dette er nødvendig for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt. Flertallet vil videre vise til at departementets forslag innebærer at § 13 får et nytt annet ledd.

Flertallet viser til at utviklingen innen helsetjenesten og funksjonsfordeling og samhandling mellom ulike virksomheter og tjenester har medført et økende behov for kommunikasjon av taushetsbelagte opplysninger på tvers av virksomheter. Tilgang til nødvendige journalopplysninger på tvers av tjenestenivåer vil i enkelte tilfeller være helt avgjørende for å kunne gi pasienten forsvarlig helsehjelp.

Flertallet viser til at § 13 i helseregisterloven slik den i dag er utformet, medfører at bare den databehandlingsansvarlige, databehandlere og den som arbeider under den databehandlingsansvarliges eller databehandlers instruksjonsmyndighet, kan gis tilgang til helseopplysninger. Tilgang kan bare gis i den grad dette er nødvendig for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt. Flertallet vil videre vise til at Regjeringens forslag innebærer at § 13 får et nytt annet ledd:

"Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om tilgang til helseopplysninger. Forskriften kan for tilgang til helseopplysninger i behandlingsrettede helseregistre gjøre unntak fra første ledd første punktum."

Flertallet framhever at endringen i § 13 ikke innebærer unntak fra reglene om taushetsplikt. Det følger både av helsepersonelloven § 25 og § 45 at taushetsbelagte opplysninger bare kan kommuniseres når det er nødvendig for å kunne gi forsvarlig helsehjelp. Dette gjelder så vel kommunikasjon internt i virksomheten som mellom virksomheter.

Flertallet vil vise til at pasientrettighetsloven lovfester et generelt krav om samtykke som rettsgrunnlag for å yte helsehjelp. Samtykkekravet gjelder alle former for helsehjelp som pasienten mottar. Pasientens samtykke er bare gyldig dersom pasienten har fått nødvendig informasjon om tiltaket.

Flertallet mener at på samme måte som pasienten skal samtykke til helsehjelp, bør pasienten også få rett til å samtykke til elektronisk tilgang til de helseopplysningene som er nødvendige for at helsehjelpen som tilbys er forsvarlig.

Flertallet viser til at et samtykke til helsehjelp kan gis uttrykkelig eller stilltiende, slik det er definert i pasientrettighetsloven.

Flertallet mener at tilgang til helseopplysninger på tvers av virksomheter bare skal kunne gis etter samtykke fra den registrerte. Samtykke er i helseregisterloven § 2 nr. 11 definert som en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av helseopplysninger om seg selv. For å sikre at kravet til uttrykkelig samtykke overholdes, mener flertallet at kravet om uttrykkelighet inntas i selve lovteksten i helseregisterloven § 13 nytt tredje ledd.

Flertallet vil i forbindelse med forslaget til nytt fjerde ledd i helseregisterloven § 13 om hjemmel for forskrift om unntak presisere at helsepersonell ikke uten videre kan legge til grunn at taushet fra pasienten innebærer et stilltiende samtykke. Helsepersonellet må konkret vurdere i hvert enkelt tilfelle om pasienten har fått tilstrekkelig informasjon om behandlingen av opplysningene, og om pasientens atferd tilsier at samtykke foreligger. Dersom pasienten er bevisstløs eller er i en tilstand der han eller hun ikke er i stand til å motta informasjon, må helsepersonell gjøre en konkret vurdering av hva han eller hun antar at pasienten hadde ønsket. I slike tilfeller vil opplysningenes sensitivitet og hvor nødvendige de er for den aktuelle helsehjelpen, være en del av vurderingen.

Flertallet viser til at pasientens samtykke til helsehjelp bare er gyldig dersom pasienten har fått informasjon om tiltaket. Flertallet mener at dette også bør gjelde for samtykke til elektronisk tilgang til helseopplysninger om pasienten. Når det gjelder omfanget av informasjonsplikten ved elektronisk tilgang til helseopplysninger, viser flertallet til helseregisterloven §§ 23 og 24. Bestemmelsene gjelder ved all behandling av helseopplysninger som skjer ved hjelp av elektroniske hjelpemidler. Det følger av disse at informasjonen til pasienten blant annet skal inneholde:

  • navn og adresse på den databehandlingsansvarlige,

  • formålet med behandlingen av opplysningene,

  • om opplysningene vil bli utlevert, og eventuelt hvem som er mottaker,

  • om det er frivillig å gi fra seg helseopplysningene,

  • annet som gjør den registrerte i stand til å bruke sine rettigheter på en best mulig måte.

Videre fremgår av siste ledd at varsel ikke er påkrevd dersom det er på det rene at den registrerte allerede kjenner til denne informasjonen.

Flertallet viser også til at ifølge helsepersonelloven § 10 er det helsepersonell som har det faglige ansvaret for helsehjelpen, som har plikt til å gi informasjon etter pasientrettighetsloven. Det kan for eksempel være legen som forordner eller utfører tiltak, eller sykepleieren som gir pleie. I helseinstitusjon skal det etter helsepersonelloven § 10 første ledd annet punktum utpekes en person som skal gi informasjon. Den som er utpekt som ansvarlig for å gi informasjon, har et overordnet ansvar for at pasienten faktisk får informasjon.

Flertallet antar at det vil være mest naturlig at det samme personell som informerer pasienten om hans eller hennes helsetilstand og innholdet i helsehjelpen, også informerer om hva slags behandling det gjøres av helseopplysningene om vedkommende.

Flertallet vil presisere viktigheten av at man i særlig grad forsikrer seg om at pasienten er informert dersom det er aktuelt å gi helsepersonell i andre virksomheter elektronisk tilgang til helseopplysningene.

Flertallet framhever også at forespørsel til ekstern virksomhet om tilgang til en pasients elektroniske pasientjournal ikke kan omfatte mer enn én pasients elektroniske journal. Ved behov for gjentatt tilgang må det skje en ny forespørsel. Ved behov for oppslag i en annen pasients elektroniske pasientjournal må tilgangsvurderingen gjøres på nytt fra egen virksomhets pasientjournalsystem, basert på tjenestelig behov.

Flertallet har merket seg at tilgang til helseopplysninger på tvers av virksomheten forutsetter at det i eget system er en eksplisitt mulighet til å autorisere en bruker for "rett til å forespørre informasjon i ekstern virksomhet".

Flertallet er enig i at virksomheter som gis tilgang til hverandres behandlingsrettede helseregistre, må ha inngått en særskilt avtale om tilgang på tvers av virksomhetene på forhånd. Flertallet forutsetter at slik avtale bare kan inngås der det er behov for det. Dette vil særlig gjelde i tilfeller der det er utstrakt samarbeid om behandling av pasienter på tvers av virksomhetsgrensene.

Flertallet legger til grunn at meldingsutveksling og eventuell annen form for utlevering av helseopplysninger fortsatt skal benyttes der dette anses mest formålstjenlig og sikkert. Dette vil også være gjeldende i de tilfeller der pasientene ikke samtykker til utlevering av helseopplysninger.

Flertallet vil også vise til at helsepersonelloven § 21a gjør det straffbart å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte opplysninger som er taushetsbelagt etter helsepersonelloven, uten at det er begrunnet i helsehjelp til pasienten.

Flertallet har merket seg at situasjonen i dag trolig er slik at ingen virksomheter i helsesektoren har elektroniske pasientjournaler som vil muliggjøre tilgang på tvers av virksomheter. Utnyttelse av de muligheter de foreslåtte lovendringene nå åpner for, krever at det gjøres store tilpasninger i de elektroniske journalsystemene. Som departementet selv sier i høringsnotatet, er en helt overordnet forutsetning for å gi tilgang til helseopplysninger på tvers av virksomheter at virksomhetene faktisk har systemer som er i stand til å gi tilgang til kun journalopplysninger som er relevante og nødvendige for å kunne gi forsvarlig og nødvendig helsehjelp til pasienten. Departementet understreker videre at det ikke kan åpnes for tilgang på tvers før virksomheten kan etterleve sikkerhetskrav som vil bli stilt i forskrift.

Flertallet merker seg at Helsedirektoratet i sitt høringssvar ga uttrykk for at den direkte tilgangen fra én virksomhet til pasientjournal i en annen virksomhet må avgrenses slik at eksterne søkere bare kan få fram den spesifikke informasjonen de har tjenestelig behov for, og at det må foreligge en forhåndsgodkjenning av definert og strukturert informasjon som det skal kunne gis tilgang til.

Flertallet har videre merket seg at forslaget ikke innebærer at en stor personkrets uten videre vil få tilgang til pasientinformasjon, slik som Datatilsynet synes å tro. Tilgang til journalopplysninger på tvers av virksomhetsgrenser skal bare kunne gis når det er behov for det, til dem som deltar i behandlingen, for å kunne tilby pasienten forsvarlig helsehjelp.

Flertallet viser til arbeidet med forskrift om informasjonssikkerhet og tilgang til helseopplysninger på tvers av virksomheter. Flertallet forutsetter at det i forskriften stilles krav som gjør at pasientens rett til konfidensialitet ivaretas, og at ingen får tilgang til flere opplysninger enn det de har behov for.

Flertallet mener at pasientens vern mot at uvedkommende får tilgang til taushetsbelagte opplysninger om vedkommende, må være like sterk, uavhengig av virksomhetsgrenser. Flertallet viser til at pasienten har et rettslig vern vedrørende konfidensialitet uavhengig av organisatoriske grenser.

Flertallet mener at logging av informasjon om hvem som har hatt tilgang til taushetsbelagte opplysninger, er et viktig element for å bedre informasjonssikkerheten. Det er et sentralt element i personvernet at den enkelte skal ha rett til og reell mulighet til å ha kontroll over helseopplysninger om seg selv. Flertallet mener at informasjon om hvem som har hatt tilgang til helseopplysninger om en (innsyn i logg), vil bidra til å øke pasientens kontroll med opplysningene og gjøre personvernet mer betryggende. Flertallet mener at pasientens innsynsrett i logg – det vil si rett til informasjon om hvem som har hatt tilgang til helseopplysninger om ham eller henne – bør fremgå av lov. Flertallet vil fremme forslag om dette.

Komiteen erkjenner at logging ikke alene kan bedre informasjonssikkerheten, men må ses i sammenheng med andre sikkerhetstiltak, herunder en god og formålstjenlig tilgangsstyring.

Komiteen mener at en effektiv kontroll med tilgangsstyringen (internkontroll), sammen med økt fokus på opplæring, kunnskap og holdninger vil være viktige tiltak for å fremme informasjonssikkerheten.

Komiteens flertall, medlemmene fra Arbeiderpartiet, Fremskrittspartiet og Senterpartiet, forutsetter at avtaler om tilgang til helseopplysninger på tvers av virksomheter, som det nå foreslås å åpne for, ikke på noen måte vil svekke informasjonssikkerheten på helseopplysninger. En helt nødvendig premiss må være at tilgangsstyringen kan sikre at det bare er nødvendige, relevante og strukturerte opplysninger det gis tilgang til.

Flertallet vil videre vise til side 47 i proposisjonen der det uttales.

"En forespørsel til ekstern virksomhet vedrørende tilgang til elektronisk pasientjournal skal ikke kunne omfatte mer enn én pasients elektroniske pasientjournal. Ved behov for gjentatt tilgang må det skje en ny forespørsel. Ved behov for oppslag i annen pasients elektroniske pasientjournal, skal tilgangsvurderingen gjøres på nytt fra egen virksomhets elektroniske pasientjournalsystem basert på dokumentert tjenstlig behov."

Flertallet mener at det bør fremgå av lovteksten at én forespørsel til ekstern virksomhet vedrørende tilgang til elektronisk pasientjournal bare kan omfatte én pasients elektroniske pasientjournal.

Flertallet mener at forutsetningene for tilgang til helseopplysninger på tvers av virksomheter er at det i eget system er en eksplisitt mulighet til å autorisere en bruker for "rett til å forespørre informasjon i ekstern virksomhet". Det er nødvendig for å forhindre at alle brukere som har et tjenstlig behov for tilgang til elektronisk pasientjournal i egen virksomhet, automatisk kan forespørre informasjon i ekstern virksomhet. I den eksterne virksomheten skal det tilsvarende være et system for å autorisere de brukere som kan logge seg på virksomhetens elektroniske pasientjournalsystem. Alle oppslag skal logges.

Flertallet støtter med disse merknader forslaget til endringer i helseregisterloven § 13. I tillegg vil flertallet foreslå en innstramming av lovteksten som medfører at det innføres krav til samtykke ved elektronisk tilgang til helseopplysninger i tråd med vurderingene ovenfor. Flertallet vil presisere at et gyldig samtykke forutsetter at pasienten har fått nødvendig informasjon om behandlingen av opplysningene.

Flertallet fremmer på denne bakgrunn følgende forslag:

"I lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger (helseregisterloven) skal § 13 nye tredje, fjerde, femte og sjette ledd lyde:

Tilgang til helseopplysninger i behandlingsrettet helseregister på tvers av virksomheter kan bare gis etter uttrykkelig samtykke fra den registrerte.

Kongen i Statsråd kan i forskrift gjøre unntak fra kravet om uttrykkelig samtykke i tredje ledd, jf. § 2 nr. 11.

Én forespørsel om og tilgang til helseopplysninger i annen virksomhet kan bare omfatte én pasient om gangen.

Den registrerte har rett til innsyn i logg fra behandlingsrettet helseregister om hvem som har hatt tilgang til helseopplysninger om ham eller henne."

Komiteens medlemmer fra Høyre, Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre fremmer følgende forslag:

"I lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger (helseregisterloven) skal § 13 nytt andre ledd lyde:

Pasienten har rett til innsyn i logg som gir informasjon om hvem som har hatt tilgang til helseopplysninger som kan knyttes til vedkommende."

Disse medlemmer viser til at flere høringsinstanser er svært skeptiske til å gi tilgang til virksomhetsinterne, behandlingsrettede helseregistre på tvers av virksomheter. Det er etter disse medlemmers vurdering stor forskjell på det å gi noen informasjon fra pasientjournalen gjennom for eksempel elektronisk meldingsutveksling via Norsk helsenett og å gi noen tilgang direkte til den interne journalen. Det har blitt argumentert med at ordningen i dag med utlevering av journalutskrifter, epikriser mv. medfører større fare for spredning enn direkte tilgang elektronisk. Direkte tilgang er ingen garanti for at det ikke tas utskrifter fra journalen, og ved direkte tilgang foreligger det langt større fare for utskrift av fullstendig journal og ikke bare deler av den.

Disse medlemmer vil bemerke at også utlevering etter dagens ordning vil kunne skje elektronisk, mens faren for uberettiget tilgang og personkrenkelser vil øke dramatisk med forslaget da en stor personkrets vil få direkte tilgang til pasientinformasjon. Disse medlemmer bemerker at dagens system bør videreutvikles slik at elektronisk meldingsutveksling erstatter oversendelse av opplysninger på papir. Disse medlemmer er kjent med at arbeidet med å utvikle dette systemet er igangsatt, og at dette vil kunne gi en mer målrettet og effektiv flyt av nødvendig informasjon samtidig som personvernshensyn kan ivaretas. Bedre utnyttelse av allerede eksisterende infrastruktur i Norsk helsenett vil være viktig i denne sammenhengen.

Etter komiteens vurdering er det avgjørende for å opprettholde tillit mellom pasient og helsepersonell at pasienten kan oppsøke helsetjenesten og gi opplysninger uten frykt for spredning av opplysningene. Pasienten skal kunne stole på helsepersonellets taushetsplikt. Dersom mange skulle få tilgang til pasientens journal, vil denne tilliten etter komiteens syn bli svekket, med den konsekvens at terskelen for å oppsøke helsetjenesten blir større ved stigmatiserende sykdommer, lidelser og at pasientene tilbakeholder viktige opplysninger.

Komiteens medlemmer fra Høyre, Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre viser til at Legeforeningen i sin høringsuttalelse peker på at det i forslaget ikke er tatt alminnelige personvernshensyn, og at forslaget innebærer at det både gis tilgang til mer opplysninger enn det som er nødvendig, og overfor en større personkrets enn det som er nødvendig. Disse medlemmer deler denne oppfatningen.

Disse medlemmer mener det i forslaget er beskrevet en teknologisk virkelighet som i dag ikke eksisterer. Det vises til at både Helsetilsynet og Datatilsynet påpeker at dagens informasjonssikkerhet internt i virksomhetene ikke er godt nok ivaretatt. Dette er avdekket i felles tilsyn de har hatt ved flere helseforetak. Under slike forhold vil en omfattende utvidelse av kretsen som får direkte tilgang til sensitive opplysninger, innebære en betydelig risiko for ytterligere spredning av sensitive opplysninger.

Disse medlemmer har merket seg at Personvernkommisjonen i NOU 2009:1 (punkt 16.5.1.3) bemerker:

"Ekstern tilgang til pasientjournalen i en virksomhet forutsetter etter Personvernkommisjonens oppfatning god styring og kontroll internt. Med tanke på de svakhetene som både Datatilsynet og Helsedirektoratet har avdekket gjennom sine tilsyn når det gjelder tilgangskontroll internt, bør man som Sosial- og helsedirektoratet påpeker, gå forsiktig fram med tanke på å utvide tilgangen til også å omfatte eksterne parter."

Komiteen merker seg at Helsedirektoratet i sitt høringssvar ga uttrykk for at den direkte tilgangen fra en virksomhet til pasientjournal i en annen virksomhet må avgrenses slik at eksterne søkere bare kan få frem den spesifikke informasjonen de har tjenstlig behov for, og at det må foreligge en forhåndsgodkjenning av definert og strukturert informasjon som det skal kunne gis tilgang til. Komiteen er kjent med at slik elektroniske pasientjournaler er organisert i dag, både i primærhelsetjenesten og hos spesialister, vil det kreve omfattende omorganisering av pasientjournalene for at Helsedirektoratets forutsetning skal være oppfylt.

Komiteens medlemmer fra Høyre, Sosialistisk Venstreparti, Kristelig Folkeparti og Venstre merker seg at det i proposisjonen (side 45) er uttalt at man må vurdere om man i forskrift skal innta "... et krav om at det bare kan gis tilgang til nærmere definerte og strukturerte helseopplysninger", men at dette står i strid med hvordan nedtegning av informasjon i pasientjournalen foregår i dag ut fra behandlingshensyn. Legeforeningen har i høringen i Stortinget presisert at den alminnelige pasientjournal per i dag ikke vil tilfredsstille slike krav, og det vil kreve store ressurser å få en ensartet journalstruktur med ulike tilgangnivå.

Disse medlemmer viser til at Datatilsynet i sitt høringssvar sa:

"Når den enkelte behandlingsinstitusjon ikke makter å sørge for at informasjonskontrollen internt støtter opp om den enkelte ansattes personlige plikt til å bevare taushet overfor sine kolleger, representerer virksomhetens grenser en nødvendig ytre grense for informasjonsflyten…Denne grensen er etter tilsynets vurdering alt for vid, sett hen til utgangspunktet om at taushetsplikten er en personlig plikt. Det er imidlertid den eneste reelle grensen som eksisterer i dag. Datatilsynet vil derfor advare mot departementets lovforslag, som i realiteten innebærer at også virksomhetsgrensene viskes ut. Man står derfor i fare for en fri flyt av pasientopplysninger, ikke bare blant ansatte i den enkelte virksomhet, men blant de ansatte i hele sektoren som sådan."

Disse medlemmer viser videre til at Datatilsynet uttalte:

"Departementet forutsetter at de foreslåtte lovendringene ikke skal medføre en svekkelse av taushetsplikten. Departementet forutsetter således at metoden for informasjonsutveksling ikke får betydning for hvilken informasjon som faktisk blir utvekslet. Datatilsynet deler ikke departementets oppfatning. Det å gi noen tilgang til pasientjournal skiller seg, etter tilsynets vurdering, vesentlig fra å utlevere journalopplysninger. Det vises til at utlevering muliggjør en vurdering hos utleverende helsepersonell av om vilkårene for å avgi hele eller deler av pasientjournalen er tilstede. Med andre ord å fastslå om pasienten samtykker til utleveringen eller om utleveringen er nødvendig for å gi helsehjelp. Departementets forslag åpner for selvbetjening i den enkelte pasients journal. Dette medfører en svekkelse av taushetsplikten som Datatilsynet sterkt vil fraråde."

Disse medlemmer deler Datatilsynets oppfatning om at taushetsplikt for opplysninger som ikke er relevante og nødvendige, i teorien kan ivaretas også når man gir tilgang til opplysninger. Det forutsetter imidlertid at man er faktisk i stand til å gi tilgang til de opplysninger som man på forhånd har vurdert å være nødvendig og relevante. De elektroniske pasientjournaler som i dag brukes ved landets helseforetak, er imidlertid bygget opp slik at opplysningene ikke er systematiserte, ut over at opplysningene føres kronologisk. Selve journalnotatene skrives som fritekst, og det er ikke noe logisk skille mellom ulike sykdoms- eller behandlingsforløp hos én og samme pasient. Tilgang til slike journaler vil derfor lett medføre en utlevering av opplysninger som ikke er relevante og nødvendige, og derfor ikke skulle vært ulevert. Disse medlemmer merker seg at Datatilsynet i sitt høringssvar skriver:

"Endringer i dagens journalsystemer for å muliggjøre den nødvendige systematiseringen av journalopplysningene er ikke berørt i departementets forslag, og vil etter det tilsynet erfarer medføre betydelige kostnader."

Disse medlemmer mener at med dagens pasientjournaler slik de er organisert, vil det ikke være mulig å kombinere direkte tilgang med kravet om at kun relevante og nødvendige opplysninger er tilgjengelig. Disse medlemmer mener at det må arbeides videre med teknologien knyttet til meldingsutveksling, noe som vil være en fordel av hensyn til det generelle personvernet, men også for den som søker informasjon, som da slipper å søke gjennom mengder av informasjon vedkommende ikke har bruk for. Gjennom å tilrettelegge for dialog mellom mottaker og den som utleverer opplysningene, unngås også misforståelser og feiltolkninger som kan medføre feilbehandling i tillegg til personvernkrenkelser ved utstrakt tilgang.

Disse medlemmer viser til høringsuttalelsen fra Norsk Psykologforening der den ser grunn til bekymring for personvernet til pasientene innen psykisk helse. Foreningen mener at direkte tilgang bør begrenses til helsepersonell som gjør kliniske vurderinger og treffer avgjørelse om hvilken helsehjelp som skal gis. I praksis vil dette gjelde leger, tannleger og psykologer. Foreningen sier at antall helsepersonell som gis tilgang til andre helseforetaks pasientjournaler, med dette blir begrenset, og personvernet til pasienten blir bedre. Videre uttales:

"I høringsnotatet forholder man seg til informasjon som om denne er allment gyldig og stabil over tid. Dette kan være relevant i forhold til noen somatiske helseindikatorer, men når det gjelder informasjon om symptomer, vurderinger og tiltak innen området psykisk helse og metoder for utredning og behandling der, er dette svært komplekst. Informasjon og psykisk helsevern innen psykiske helsetjenester, er i langt større grad enn i de øvrige helsetjenestene preget av at informasjon, vurderinger og rapportert behandling er relasjonell – og er en tids- og kontekstavhengig "ferskvare"."

Som departementet selv sier i høringsnotatet, er en helt overordnet forutsetning for å gi tilgang til helseopplysninger på tvers av virksomheter at virksomhetene faktisk har systemer som er i stand til å gi tilgang til kun journalopplysninger som er relevante og nødvendige for å kunne gi forsvarlig og nødvendig helsehjelp til pasienten. Departementet understreker videre at det ikke kan åpnes for tilgang på tvers før virksomheten kan etterleve sikkerhetskravene i forskriften, og at situasjonen i dag er at ingen har slike elektroniske pasientjournaler, men det må arbeides med dette overfor leverandørene av elektroniske pasientjournalsystemer. Det er derfor etter disse medlemmers oppfatning prematurt å lovfeste en tilgang til pasientjournaler på tvers av virksomheter. Selv om lovverket knyttet til taushetsplikt og personvern skal være teknologinøytralt, kan ikke den nærmere regulering av tilgang og kontroll løsrives fra den faktiske virkelighet og de teknologiske mulighetene som foreligger på reguleringstidspunktet.

Disse medlemmer deler oppfatningen i Helsetilsynets høringsuttalelse hvor det mener at tiden ikke er moden for et regelverk som åpner for tilgang på tvers av virksomheter, og at forslaget etter tilsynets vurdering vil svekke taushetsplikten. Disse medlemmer mener dermed at tilgang til virksomhetsinterne, behandlingsrettede helseregistre på tvers av virksomhetsgrenser vil medvirke til å svekke personvernet for pasientene, og vil derfor ikke støtte departementets forslag om endring i helseregisterloven § 13.