Du bruker en gammel nettleser. For å kunne bruke all funksjonalitet i nettsidene må du bytte til en nyere og oppdatert nettleser. Se oversikt over støttede nettlesere.

Stortinget.no

logo
Hopp til innholdet
Til forsiden
Til forsiden

Vedlegg 1

Det vises til brev fra Stortinget datert 18. mai 2009 vedrørende ovennevnte. Saksordfører Olav Gunnar Ballo ber i brevet om departementets vurdering av de spørsmålene og problemstillingene som reises i brevet fra Legeforeningen til Stortingets helse- og omsorgskomité. Brevet fra legeforeningen fulgte som vedlegg til Stortingets brev.

Jeg vil innledningsvis informere om at foreliggende lovforslag i Ot.prp. nr. 51 (2008–2009) ikke gjør inngrep i taushetsplikten. Jeg mener derfor det er feil der det i brevet fra Legeforeningen uttales: "Det foreliggende lovendringsforslag representerer det mest inngripende tiltak i forhold til taushetsplikt og personvern og uten at det er foretatt en vurdering av behov og andre alternative og mer målrettede tiltak."

Beskyttelse av privatlivets fred er et sentralt hensyn bak personvernreguleringen. For å konkretisere hva som ligger i personvern er det i teorien utviklet ulike innfallsvinkler. (Veileder til utredningsinstruksen. Vurdering av personvernkonsekvenser. Fornyings- og administrasjonsdepartementet 2008)

Den første innfallsvinkelen en ofte tar utgangspunkt i, er det integritetsfokuserte personvernet, som er et uttrykk for borgerens ønske om å ha kontroll over opplysninger om seg selv og ha en sirkel av privatsfære som ingen har rett til å trenge innenfor, uten tillatelser eller en god og legitim grunn.

Et overordnet prinsipp i foreliggende proposisjon er at tilgang til helseopplysninger bare kan gis i den grad opplysningene er relevante og nødvendige for å kunne tilby faglig, forsvarlig helsehjelp til pasient.

Foreliggende lovforslag innebærer ikke at det kan gis tilgang til flere helseopplysninger enn det man i dag kan gi tilgang til, internt i virksomheten. Når det gjelder kommunikasjon på tvers av virksomheter, åpner lovforslaget for at man kan få elektronisk tilgang til helseopplysninger man i dag kan få utlevert. Man får imidlertid ikke innsyn i flere opplysninger enn i dag.

Ut fra det synspunkt at helseopplysninger ikke skal komme på avveie eller i hendene på uvedkommende, er det - slik jeg ser det – ikke nødvendigvis bedre å utlevere en kopi av journalen /journalnotat enn å gi vedkommende helsepersonell lesetilgang til journalen/ journalnotatet der det ligger. Mulighetene for kontroll med hvem som får lese journalen/journalnotatet er større når det gis lesetilgang til opplysningene enn ved utlevering. Dette fordi at man ved utlevering av opplysningene også ofte mister kontrollen med den videre bruken av dem.

Den andre innfallsvinkelen er det maktfokuserte personvernet. Med dette tenker man på maktbalansen mellom enkeltpersoner og offentlige eller private aktører, eller maktbalansen mellom den registrerte (pasienten) og den som behandler opplysningen. Foreliggende lovforslag innebærer at det ikke gis tilgang til flere opplysninger om en pasient, enn hva som i dag kan utleveres. Videre vil mulighetene for kontroll av hvem som har lest eller sett opplysningene, være større når det gis tilgang til opplysningene, enn ved utlevering.

Den tredje innfallsvinkelen er det beslutningsorienterte personvernet. Dette tar utgangspunkt i at personopplysninger brukes som grunnlag for beslutninger i offentlig og privat virksomhet, som for eksempel helsetjenesten. Et viktig formål med foreliggende proposisjon er å fjerne regelverksmessige hindre for effektiv og trygg kommunikasjon i helsetjenesten. Tilgang til nødvendige og relevante opplysninger vil ofte være en forutsetning for å kunne treffe en faglig forsvarlig beslutning om hva slag helsehjelp pasienten bør tilbys.

På bakgrunn av blant annet ovennevnte, er det min vurdering at konsekvensene for personvernet av foreliggende lovforslag vil gi bedre personvern.

Helse- og omsorgsdepartementet fikk "NOU 2009:1 Individ og integritet – Personvern i det digitale samfunn" på alminnelig høring 25. februar i år, med frist for merknader 20. august 2009. Departementet har på nåværende tidspunkt ikke ferdigbehandlet rapporten.

Det fremgår av rapporten at Personvernkommisjonen var i sluttfasen av sitt arbeid da forslaget om å lovhjemle tilgang på tvers av virksomheter ble sendt på høring, og at de derfor ikke har hatt anledning til å sette seg inn i forslaget. Kommisjonen uttaler at de likevel vil knyttet noen generelle kommentarer til spørsmål om tilgang på tvers av virksomheter, jf. blant annet nedenfor:

  • Før det åpnes for journaltilgang på tvers av virksomheter, må det foretas en grundig avveining av både fordeler og ulemper.

  • Ekstern tilgang til pasientjournalen i en virksomhet forutsetter etter Personvernkommisjonens oppfatning god styring og kontroll internt.

  • Etter Personvernkommisjonens oppfatning fordrer økt tilgjengelighet til pasientjournalen at pasienter kan ha tillit til at det ikke verken juridisk, teknisk eller faktisk er mulig for utenforstående å tilegne seg informasjon man ikke skal ha.

Jeg mener at foreliggende proposisjon ivaretar de ovenfor nevnte hensyn som Personvernkommisjonen tar opp. Det vises til punkt 7.5 i proposisjonen.

Lovforslaget innebærer ingen automatisk rett til journalopplysninger hos fastleger eller andre helseaktører. Det må først utarbeides en forskrift som nærmere redegjør for hvordan tilgang på tvers eventuelt kan skje. Fastleger som ønsker en slik samarbeidsform må gjøre avtale med relevante virksomheter. I forskriften som skal utarbeides vil det bli satt krav om at tilgangen må begrenses til nødvendige og relevante opplysninger i strukturert form. Det er bare disse opplysninger som fastlegene eventuelt kan gjøre tilgjengelig for samarbeidende helsepersonell. Bare autorisert helsepersonell i sykehusene kan nå disse opplysningene. Kravene i forskrift vil medføre at det må gjøres tilpasninger i de elektroniske pasientjournalsystemene både hos fastleger og sykehus.

Leverandørene av elektroniske pasientjournalsystemer har over tid implementert de fleste av dagens krav til sikkerhet, og arbeider kontinuerlig med forandringer. Det vil derfor være lettest og minst kostbart å tilpasse de siste versjonene av systemene til de nye kravene. I de elektroniske pasientjournalsystemene av eldre dato kan det være vanskelig å oppnå de krav til sikkerhet som settes i ny forskrift. Det vil for eldre systemer måtte gjøres en avveining for hvert system mellom nytte og kostnad ved å beholde systemene, kontra å foreta en nyanskaffelse.

Lovforslaget innebærer lesetilgang til strukturerte og relevante opplysninger. Det betyr at man bruker sin egen EPJ uendret, men med et større informasjonsgrunnlag for beslutningene. Dersom det skal kunne gis lesetilgang til journalopplysninger hos en fastlege, må informasjonen/opplysningene være strukturert og forhåndsvurdert som relevant.

Den første betingelsen som må være tilstede er at fastlegen har et elektronisk journalsystem som gjør det mulig å avgrense tilgangen til å gjelde klinisk informasjon relatert til aktuelt saksområde. Systemet hos fastlegen må kunne loggføre tilgangen, slik at pasienten i ettertid kan få innsyn i hvem som har hatt tilgang til helseopplysninger om ham eller henne.

Det helsepersonell/virksomhet som søker tilgang til opplysningene, for eksempel pasientansvarlig lege på sykehuset, må kunne identifisere seg på et høyt sikkerhetsnivå. Et høyt sikkerhetsnivå kan være entydig identifisering av godkjent bruker ved bruk av personlige sertifikater basert på teknologien Public Key Infrastructure (PKI) samt brukernavn og passord for pålogging.

Virksomheten som søker tilgang til helseopplysninger hos fastlegen, må ha et elektronisk journalsystem som gir en eksplisitt mulighet til å autorisere en bruker for "rett til å forespørre informasjon i ekstern virksomhet". Dette er nødvendig for å forhindre at alle brukere som har et tjenstlig behov for tilgang til elektronisk pasientjournal i egen virksomhet, automatisk kan forespørre informasjon i fastlegens system.

Dernest må det være inngått en avtale mellom fastlegen og den andre virksomheten. Det er ikke slik at all samhandling mellom ulike nivåer i helsetjenesten heretter skal skje ved direkte tilgang til opplysninger på tvers av virksomhetsgrenser. Loven pålegger ingen plikt til å inngå avtale, men gir en mulighet til det. Premissen er at en pasient skal kunne tilbys faglig, forsvarlig og helhetlig helsehjelp. Hvordan de aktuelle parter - som hver for seg har et ansvar for helsehjelp til pasienten - best kan samarbeide om en helhetlig behandling - må avgjøres helt konkret, basert på behovs- og risikovurderinger.

Jeg vil anta at elektronisk meldingsutveksling er, og fortsatt vil være, en viktig samhandlingsform, og i mange tilfeller den mest hensiktsmessige. Kommunikasjon av epikriser og henvisninger vil, slik jeg ser det, fortsatt skje i form av meldingsutveksling.

Tilgang til helseopplysninger på tvers av virksomheter vil, etter det jeg er informert om, være mest aktuelt for situasjoner med planlagte tjenester, og der virksomheter og personell samarbeider tett om pasienten på en slik måte at kommunikasjon med for eksempel henvisning og epikrise ikke strekker til. Mest aktuelt er tilgang på tvers ved funksjonsfordeling mellom sykehus og samarbeid om pasienter med store og kompliserte behov i pleie- og omsorgstjenesten.

Regler som regulerer dette spørsmålet er inntatt i helseregisterloven §§ 21 til 25. Det foreslås ingen endringer i disse reglene.

Jeg forutsetter at disse reglene er kjent, men vil likevel skissere noen av de viktigste hovedelementene nedenfor.

Helseregisterloven § 21 gir enhver rett til generell informasjon om helseregistre og behandling av helseopplysninger. Bestemmelsen lyder:

"Enhver som ber om det, skal få vite hva slags behandling av helseopplysninger en databehandlingsansvarlig foretar, og kan kreve å få følgende informasjon om en bestemt type behandling av helseopplysninger:

  • 1. navn og adresse på den databehandlingsansvarlige og dennes eventuelle representant,

  • 2. hvem som har det daglige ansvaret for å oppfylle den databehandlingsansvarliges plikter,

  • 3. formålet med behandlingen av helseopplysningene,

  • 4. beskrivelser av hvilke typer helseopplysninger som behandles,

  • 5. hvor opplysningene er hentet fra, og

  • 6, om helseopplysningene vil bli utlevert, og eventuelt hvem som er mottaker. Informasjonen kan kreves hos den databehandlingsansvarlige eller hos dennes databehandler som nevnt i § 18."

Det følger av merknadene til bestemmelsen, jf. Ot.prp. nr. 5 (1999–2000), at informasjonen skal være generell, kortfattet og standardisert. De samme opplysningene skal kunne gis til alle som ber om informasjon. Når det gjelder informasjon som nevnt i nr. 6, uttales i merknadene til bestemmelsen at det er tilstrekkelig å angi kategorier av mottakere. Det er ikke nødvendig å identifisere den enkelte mottaker, som for eksempel det enkelte helsepersonell.

Jeg legger til grunn at informasjonsplikten etter denne bestemmelsen også omfatter eventuell informasjon om at det er inngått avtale om tilgang til helseopplysninger på tvers av virksomheter, selv om helseregisterloven § 23 nr. 6 bruker begrepet "utlevert" og ikke "tilgang".

Informasjonsplikten etter helseregisterloven § 21 er pålagt den databehandlingsansvarlige, og informasjon skal gis til enhver som ber om det. Det er ikke nødvendig at den databehandlingsansvarlige behandler opplysninger eller har registrert helseopplysninger om den som ber om det.

I tillegg til generell informasjon som nevnt ovenfor, vil den enkelte pasient ha rett til informasjon etter helseregisterloven §§ 23 og 24. Paragraf 23 regulerer informasjonsplikten når opplysninger innsamles fra den registrerte selv, for eksempel i en fastleges konsultasjon med en pasient. Bestemmelsen lyder:

Når det samles inn helseopplysninger fra den registrerte selv, skal den databehandlingsansvarlige av eget tiltak først informere den registrerte om

  • 1. navn og adresse på den databehandlingsansvarlige og dennes eventuelle representant,

  • 2. formålet med behandlingen av helseopplysningene,

  • 3. opplysningene vil bli utlevert, og eventuelt hvem som er mottaker,

  • 4. det er frivillig å gi fra seg helseopplysningene, og

  • 5. annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf § 22, og retten til å kreve retting og sletting, jf §§ 26 og 28.

Varsling er ikke påkrevd dersom det er på det rene at den registrerte allerede kjenner til informasjonen i første ledd.

Dersom det er på det rene at den registrerte allerede kjenner til det som det skal informeres om, er det ikke nødvendig å informere om dette ved hver konsultasjon, jf. annet ledd i bestemmelsen. I forholdet mellom en fastlege og pasient vil det ofte være nok med samme informasjon en gang, men dersom innholdet i noen av de elementene det skal informeres om endres, må det gis oppdatert informasjon ved neste kontakt.

Den enkelte pasients rett til innsyn i journal reguleres for øvrig i pasientrettighetsloven § 5–1 og helsepersonelloven § 41.

Innledningsvis vil jeg gjøre oppmerksom på at befolkningen som sådan ikke har rett til å reservere seg mot behandling av helseopplysninger eller reservere seg mot at det gis tilgang til helseopplysninger. Rettighetssubjektet for reservasjonsretten er pasienten/ den registrerte, jf. helsepersonelloven §§ 25 og 45.

En pasient kan reservere seg mot at helseopplysninger blir gitt til samarbeidende personell (§ 25) og andre som yter helsehjelp (§ 45). Den som mottar opplysningene, har samme taushetsplikt som helsepersonell. Det innebærer at den som utleverer opplysningene må informere mottaker om at pasienten har reservert seg mot at andre gis tilgang til opplysningene.

Mulighetene for kontroll av om mottaker overholder taushetsplikten er, slik jeg ser det, større når det gis tilgang til opplysningene enn ved utlevering.

Dersom en lege gis tilgang til opplysninger i en journal, for eksempel hos fastlegen, skapes det ingen kopi av opplysningene i den virksomhet som får lesetilgang til opplysningene, utover det legen velger å dokumentere i egen journal som sitt beslutningsgrunnlag. Dette innebærer at ingen andre i denne virksomheten vil kunne få tilgang til opplysningene, og det er heller ingen fare for at opplysningene spres videre. Blir derimot de samme journalopplysningene utlevert elektronisk til den andre virksomheten, vil opplysningene i de fleste tilfeller bli lagret som en helhet i journalsystemet hos mottakeren. En slik lagring i mottakerens journalsystem innebærer at opplysningene vil kunne bli tilgjengelige for andre enn den legen som ba om å få opplysningene utlevert. Det må kunne antas at risikoen for at opplysninger kommer på avveie, øker med antall kopier som finnes. Dette gjelder både opplysninger på papir og i elektronisk form. Dersom den legen som har behov for opplysningene gis tilgang til opplysningene der de ligger, vil behovet for dobbeltlagring minske. Sett fra et personvernsperspektiv synes dette å være en fordel.

I tilknytning til dette vil jeg også minne om forbudet mot "snoking" som er inntatt i helsepersonelloven § 21 a og helseregisterloven § 13 a. Helseregisterloven § 13 a lyder:

"Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger som behandles etter denne loven uten at det er begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp eller har særskilt hjemmel i lov eller forskrift."

Den som fortsettlig eller grovt uaktsomt overtrer bestemmelsene, straffes med bøter eller fengsel i inntil tre år.

Lovforslaget og de reguleringer som vil bli gjort i forskriften åpner ikke for fri tilgang til pasientjournaler. Lovforslaget gir bare tilgang til opplysninger underlagt streng kontroll for behandlende helsepersonell for den konkrete pasienten.

Det er ulike behov for elektronisk samhandling i helsetjenesten. En kommunikasjonsform som fungerer godt i en del av helsetjenesten trenger nødvendigvis ikke være den som fungerer best i en annen del av helsetjenesten. Tilgang til nødvendige journalopplysninger på tvers av tjenestenivåer vil i enkelte tilfeller være helt avgjørende for å kunne gi pasienten forsvarlig helsehjelp.

Komplementære løsninger vil kunne gi flere muligheter for alle deler av helsetjenesten til å gi en pasient best mulig helsehjelp. Utviklingsarbeidet med elektroniske meldinger vil derfor fortsette som før, likeledes utredningen om nasjonal kjernejournal.

Jeg vil klart slutte meg til uttalelsen i brevet fra Legeforeningen om at det er avgjørende viktig - for å kunne gi god helsehjelp - at befolkningen trygt kan oppsøke helsetjenesten for helsehjelp og trygt kan gi opplysninger uten risiko for at de videreformidles til uvedkommende.

Tilliten til helsetjenesten skapes ved pasientens møte med helsetjenesten i forbindelse med at det ytes helsehjelp. God kvalitet og faglig forsvarlig helsehjelp, herunder informasjon til og involvering av pasienten, er viktige elementer i møte mellom helsepersonell og pasient.

Tillit til helsetjenesten kan også påvirkes av hva en person hører av andre, ved kjennskap til andre pasienters møte med helsetjenesten, ved informasjon gjennom media eller lignende.

I denne forbindelse er det viktig at den informasjonen som blir kommunisert ut - fra helsetjenesten - gir et mest mulig riktig bilde av situasjonen.

Innledningsvis i brevet fra Legeforeningen uttales følgende:

"Det foreliggende lovendringsforslag representerer det mest inngripende tiltak i forhold til taushetsplikt og personvern og uten at det er foretatt en vurdering av behov og andre alternative og mer målrettede tiltak"

Denne uttalelsen i Legeforeningens brev er uriktig og i beste fall misvisende. Slike uttalelser bidrar etter min mening ikke til å gi allmennheten tillit til helsetjenesten.

Datatilsynet og Statens helsetilsyn har påpekt avvik i forhold til dagens regelverk. Noen av avvikene som er påpekt kan ikke uten videre lukkes innenfor dagens teknologi. Det medfører at en må gjøre nyanskaffelser. I spesialisthelsetjenesten pågår eksempelvis et langsiktig og omfattende arbeid med å skifte ut eksisterende elektroniske pasientjournalsystemer med nye systemer som har forbedret funksjonalitet til pasientbehandling og sikkerhet. Det vil for eldre systemer måtte gjøres en avveining for hvert system mellom nytte og kostnad ved å beholde systemene kontra å foreta en nyanskaffelse.

Direkte tilgang fra en virksomhet til en pasientjournal i en annen virksomhet vil være avgrenset til relevant og nødvendig informasjon slik at eksterne søkere bare kan få frem den spesifikke informasjonen de har tjenestlig behov for. Det betyr at ved en slik inndeling kan helsepersonell få målrettet informasjon uten å gå gjennom hele journalen.

I brevet fra Legeforeningen tas det utgangspunkt i at en eventuell tilgang hjemles i avtale. Dette er ikke riktig. Tilgang til helseopplysninger er hjemlet i lov, og foreliggende proposisjon endrer ikke dette.

Regler om kommunikasjon mellom helsepersonell ved helsehjelp reguleres i dag av helsepersonelloven §§ 25 og 45. Disse bestemmelser i helsepersonelloven stenger ikke for at det gis tilgang til helseopplysninger på tvers av virksomheter, forutsatt at de øvrige vilkårene i bestemmelsene er ivaretatt.

Helseregisterloven § 13 – slik den i dag lyder – stenger imidlertid for dette – i alle situasjoner, også der det er formålstjenelig og kan gjøres uten at det går på bekostning av informasjonssikkerheten. Dette gjelder også i de tilfeller pasienten eventuelt samtykker. Forslaget i proposisjonen om å åpne for å kunne gjøre unntak fra det absolutte forbudet i helseregisterloven § 13 i forskrift, innebærer ikke endringer i pasienters rettstilling. Forslaget legger til grunn at de teknologiske muligheter i dag innebærer at pasientens rett til konfidensialitet kan ivaretas på en like god måte som i dag, selv om det åpnes for tilgang til helseopplysninger på tvers av virksomheter. Det absolutte forbudet i helseregisterloven § 13 er etter min vurdering ikke hensiktsmessig lenger, fordi det ikke er nødvendig for overholdelse av taushetsplikten, og det vanskeliggjør nødvendig samarbeid og samhandling mellom virksomheter som samarbeider om helsehjelp til pasienter.

Lovendringene i seg selv innebærer ikke at man kan begynne å kommunisere på tvers av virksomheter. Tilgang til helseopplysninger hos ekstern virksomhet forutsetter at det fastsettes nærmere krav i forskrift. (Det er ikke slik som Legeforeningen synes så tro at de nærmere vilkårene for tilgang blir fastsatt av det enkelte helseforetak.) Krav om avtale mellom virksomheten kommer i tillegg til forskriftens krav, som foreslås hjemlet i helseregisterloven § 13. En avtale må dessuten omfatte minst to parter. Tilgang til en fastleges elektroniske journalsystem forutsetter at fastlegen er en av partene.

Avtaler om behandling av helseopplysninger er for øvrig ikke et ukjent fenomen i personvernlovgivningen. Jeg viser til at både personopplysningsloven og helseregisterloven krever skriftlig avtale mellom en databehandlingsansvarlig og en databehandler.

Formålet med lovendringene er å fjerne regelverksmessige hindre for effektiv og trygg kommunikasjon av helseopplysninger i helsetjenesten, samtidig som pasientens rett til konfidensialitet og vern om personlig integritet ivaretas, jf. kapittel 1 i proposisjonen.

En forutsetning for at helsesektoren skal kunne utnytte de muligheter som lovendringene nå åpner for, er at leverandørene implementerer kravene i de elektroniske pasientjournalsystemene ved nye leveranser og bistår sektoren ved tilpasninger i eksisterende systemer, dersom dette er mest hensiktsmessig. For at dette kan skje må både leverandører og helsesektoren ha kunnskap om hvilke krav som gjelder.

Det fremgår klart av proposisjonen at det ikke kan åpnes for tilgang på tvers før virksomheten kan etterleve sikkerhetskravene i forskriften.

Forslaget i proposisjonen som gir hjemmel til å etablere og regulere virksomhetsovergripende behandlingsrettede helseregistre i forskrift, omfatter ikke sentrale behandlingsrettede helseregistre, herunder nasjonal kjernejournal. Etablering av en nasjonal kjernejournal krever endring av helseregisterloven, eller egen lov, og det blir Stortinget som må ta stilling til om et slikt register skal kunne etableres eller ikke.

Foreliggende proposisjon gir hjemmel til å etablere regionale og lokale behandlingsrettede helseregistre, for eksempel en regional kjernejournal. Slik jeg ser det, vil det være helt nødvendig å starte med en eller flere regionale kjernejournaler, for eksempel som pilotprosjekter, før en tar stilling til etablering av en nasjonal kjernejournal. Foreliggende forslag om behandlingsrettede helseregistre på tvers av helseforetak åpner for et slikt pilotprosjekt.

Foreliggende proposisjon foreslår forkriftshjemmel til å etablere regionale og lokale helseregistre. Det foreslås at myndigheten til å fastsette forskrift legges til Kongen i Statsråd, som innebærer at myndigheten ikke kan delegeres.

Dersom en mener at de nærmere regler for behandling av helseopplysninger i for eksempel et sentralt register bør vedtas av Stortinget, skjer dette ved lov, ikke ved forskrift.

Tildeling av myndighet til forvaltningen til å gi generelle bestemmelser forekommer i stor utstrekning. Delegasjon av lovgivningsmyndighet (forskriftshjemler) har vært praktisert gjennom hele den tid vår forfatning har vært i kraft. Det er mange hensyn som taler for at Stortinget overlater dette til forvaltningen. Mengden av lovstoff som produseres er så stor at det måtte bli ren sandpåstrøing hvis alt skulle vedtas av Stortinget.

På den annen side: Det kan knytte seg betenkeligheter til en for vid delegasjon av lovgivningsmyndighet. Som et utgangspunkt kan det hevdes at hjemmelsbestemmelsene ikke bør være så vide og ubestemte at viktige prinsippspørsmål kan avgjøres i medhold av dem uten Stortingets medvirkning.

Helseregisterloven regulerer behandling av helseopplysninger, herunder etablering av helseregistre. Det er en del av lovens formål å sikre at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på opplysningene.

Loven inneholder en rekke overordende prinsipper som krav til formålsbestemthet, saklighet og relevans, taushetsplikt, informasjonssikkerhet, plikt til internkontroll, rett til informasjon, innsynsrett i behandling av opplysninger om en selv etc. Lovens utgangspunkt er at ved all behandling av helseopplysninger må fokuset "pasienten først" ligge fast. Alle forskrifter som blir gitt med hjemmel i helseregisterloven må holde seg innenfor disse rammer.

Min vurdering er at helseregisterloven gir en god ramme for forskriftene som kan vedtas med hjemmel i loven.