Du bruker en gammel nettleser. For å kunne bruke all funksjonalitet i nettsidene må du bytte til en nyere og oppdatert nettleser. Se oversikt over støttede nettlesere.

Stortinget.no

logo
Hopp til innholdet
Til forsiden
Til forsiden

Vedtak til lov om helseregistre og behandling av helseopplysninger (helseregisterloven)

Innhold

I Stortingets møte 16. juni 2014 ble det gjort slikt

1) I lov 4. desember 1992 nr. 126 om arkiv skal § 9 bokstav c lyde:

kasserast. Dette forbodet går framom føresegner om kassasjon i eller i medhald av andre lover. Personregister eller delar av personregister kan likevel slettast etter føresegnene i personopplysningslova, helseregisterlova og etter føresegner i medhald av helseregisterlova §§ 8 til 12. Slik sletting kan først gjerast etter at det er innhenta fråsegn frå Riksarkivaren.

2) I lov 5. august 1994 nr. 55 om vern mot smittsomme sykdommer skal § 7-9 første ledd andre punktum lyde:

Nasjonalt folkehelseinstitutt skal overvåke den nasjonale og delta i overvåkingen av den internasjonale epidemiologiske situasjonen, utføre helseanalyser, drive forskning på smittevernområdet og sikre nødvendig vaksineforsyning og vaksineberedskap, herunder egen vaksineproduksjon.

3) I lov 2. juli 1999 nr. 64 om helsepersonell m.v. gjøres følgende endringer:

§ 25 første ledd andre punktum oppheves.

§ 26 nytt andre ledd:

Ved samarbeid om behandlingsrettede helseregistre etter pasientjournalloven § 9 kan slike opplysninger også gis til ledelsen i samarbeidende virksomhet.

Nåverende andre og tredje ledd blir tredje og fjerde ledd.

§ 29 b skal lyde:

§ 29 b. Opplysninger til helseanalyser, kvalitetssikring, administrasjon mv.

Departementet kan bestemme at helseopplysninger kan eller skal gis til bruk for helseanalyser og kvalitetssikring, administrasjon, planlegging eller styring av helse- og omsorgstjenesten, og at det skal skje uten hensyn til taushetsplikt. Dette kan bare skje dersom behandlingen av opplysningene er av vesentlig interesse for samfunnet og hensynet til pasientens integritet og velferd er ivaretatt. Graden av personidentifikasjon skal ikke være større enn nødvendig for det aktuelle formålet. Kun i særskilte tilfeller kan det gis tillatelse til bruk av direkte personidentifiserbare opplysninger som for eksempel navn eller fødselsnummer. Reglene om taushetsplikt gjelder tilsvarende for den som mottar opplysningene.

Departementet kan sette vilkår for bruken av opplysninger etter paragrafen her.

§ 29 c skal lyde:

Med mindre pasienten motsetter seg det, kan taushetsbelagte opplysninger etter særskilt anmodning gis til annet helsepersonell som tidligere har ytt helsehjelp til pasienten i et konkret behandlingsforløp, for kvalitetssikring av helsehjelpen eller egen læring. Behandlingen av anmodningen kan automatiseres. Helsepersonell kan bare gis de opplysninger som er nødvendige og relevante for formålet. I pasientens journal skal det dokumenteres hvem opplysninger har blitt utlevert til og hvilke opplysninger som har blitt utlevert, jf. § 40.

§ 45 første ledd andre punktum oppheves.

Nåværende første ledd tredje punktum blir første ledd andre punktum.

4) I lov 20. juni 2008 nr. 44 om medisinsk og helsefaglig forskning gjøres følgende endringer:

§ 25 femte ledd skal lyde:

Departementet kan i forskrift gi bestemmelser om opprettelse og annen behandling av humant biologisk materiale i biobanker som er tilknyttet helseregistre etter helseregisterloven §§ 8 til 11.

§ 33 andre ledd skal lyde:

Behandling av helseopplysninger fra helseregistre etter helseregisterloven §§ 8 til 11 krever ikke tillatelser etter første ledd, med mindre annet følger av forskriftene til registrene.

5) I lov 24. juni 2011 nr. 29 om folkehelsearbeid skal § 25 første ledd lyde:

Nasjonalt folkehelseinstitutt skal overvåke utviklingen av folkehelsen, utarbeide oversikt over befolkningens helsetilstand og faktorer som påvirker denne, samt utføre helseanalyser og drive forskning på folkehelseområdet.

§ 1 Lovens formål

Formålet med loven er å legge til rette for innsamling og annen behandling av helseopplysninger, for å fremme helse, forebygge sykdom og skade og gi bedre helse- og omsorgstjenester. Loven skal sikre at behandlingen foretas på en etisk forsvarlig måte, ivaretar den enkeltes personvern og brukes til individets og samfunnets beste.

§ 2 Definisjoner

I denne loven forstås med:

  • a) helseopplysninger: taushetsbelagte opplysninger etter helsepersonelloven § 21, og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson,

  • b) indirekte identifiserbare helseopplysninger: helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, men hvor opplysningene likevel kan knyttes til en enkeltperson,

  • c) behandling av helseopplysninger: enhver bruk av helseopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering, eller en kombinasjon av slike bruksmåter,

  • d) helseregister: register, fortegnelser, mv. der helseopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen,

  • e) databehandlingsansvarlig: den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes, og den som i eller i medhold av lov er pålagt et databehandlingsansvar,

  • f) samtykke: en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av helseopplysninger om seg selv.

§ 3 Saklig virkeområde

Loven gjelder for behandling av helseopplysninger til statistikk, helseanalyser, forskning, kvalitetsforbedring, planlegging, styring og beredskap i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten.

Loven gjelder også behandling av helseopplysninger i Helsearkivregisteret i Norsk helsearkiv.

Loven gjelder ikke for behandling av helseopplysninger som reguleres av helseforskningsloven eller pasientjournalloven.

Kongen i statsråd kan i forskrift bestemme at loven helt eller delvis skal gjelde for behandling av helseopplysninger utenfor helse- og omsorgsforvaltningen eller helse- og omsorgstjenesten.

§ 4 Geografisk virkeområde

Loven gjelder for databehandlingsansvarlige som er etablert i Norge. Kongen kan i forskrift bestemme at loven helt eller delvis skal gjelde for Svalbard og Jan Mayen, og kan fastsette særlige regler om behandling av helseopplysninger i forbindelse med helsehjelp for disse områdene.

Loven gjelder også for databehandlingsansvarlige som er etablert i stater utenfor EØS-området dersom den databehandlingsansvarlige benytter hjelpemidler i Norge. Dette gjelder likevel ikke dersom hjelpemidlene bare brukes til å overføre personopplysninger via Norge. Databehandlingsansvarlige skal ha en representant som er etablert i Norge. Bestemmelsene som gjelder for den databehandlingsansvarlige, gjelder også for representanten.

§ 5 Forholdet til personopplysningsloven

Personopplysningsloven gjelder så langt ikke annet følger av denne loven.

§ 6 Alminnelige vilkår for å behandle helseopplysninger

Helseopplysninger kan bare behandles når det er tillatt etter denne loven eller andre lover.

Behandling av helseopplysninger krever den registrertes samtykke, dersom ikke annet har hjemmel i lov.

Den databehandlingsansvarlige skal sørge for at helseopplysningene som behandles

  • a) er tilstrekkelige og relevante for formålet med behandlingen,

  • b) bare brukes til uttrykkelige angitte formål som er saklig begrunnet i den databehandlingsansvarliges virksomhet,

  • c) ikke brukes senere til formål som er uforenlig med det opprinnelige formålet med innsamlingen av opplysningene, uten at den registrerte samtykker, og

  • d) er korrekte og oppdaterte og ikke lagres lenger enn det som er nødvendig ut fra formålet med behandlingen.

Graden av personidentifikasjon skal ikke være større enn nødvendig for det aktuelle formålet. Graden av personidentifikasjon skal begrunnes. Tilsynsmyndigheten kan kreve at den databehandlingsansvarlige legger frem begrunnelsen.

Departementet kan gi forskrift om godkjenning av programvare, sertifisering og om bruk av standarder, klassifikasjonssystemer og kodeverk, samt hvilke nasjonale eller internasjonale standardsystemer som skal følges ved behandling av helseopplysninger etter denne loven.

§ 7 Konsesjon fra Datatilsynet

Datatilsynet kan gi konsesjon for etablering av helseregistre og annen behandling av helseopplysninger. Konsesjon kan gis når vilkårene i denne loven § 6 og personopplysningsloven § 9 jf. §§ 33 til 35 er oppfylt.

Konsesjonsplikt etter personopplysningsloven § 33 gjelder ikke for behandling av helseopplysninger som skjer med hjemmel i denne loven §§ 8 til 12.

§ 8 Vilkår for etablering av helseregistre ved forskrift

Kongen i statsråd kan i forskrift gi nærmere bestemmelser om etablering av helseregistre og behandling av helseopplysninger i registre etter §§ 9, 10 eller 11, når vilkårene i denne bestemmelsen og § 6 er oppfylt.

Den helsefaglige eller samfunnsmessige nytten av registeret må klart overstige personvernulempene.

Registrene skal ivareta oppgaver etter apotekloven, folkehelseloven, helse- og omsorgstjenesteloven, legemiddelloven, smittevernloven, spesialisthelsetjenesteloven og tannhelsetjenesteloven.

Forskriften skal blant annet angi

  • a) formålet med behandlingen av helseopplysningene,

  • b) hvilke typer opplysninger som kan behandles,

  • c) krav til identitetsforvaltning,

  • d) krav til sikring av opplysningene, og

  • e) hvem som er databehandlingsansvarlig.

§ 9 Registre som er samtykkebaserte eller uten direkte personidentifiserende kjennetegn

Kongen i statsråd kan, i samsvar med vilkår i § 8, gi forskrift om behandling av opplysninger i helseregistre dersom

  • a) den registrerte samtykker, eller

  • b) opplysningene behandles uten at den databehandlingsansvarlige har tilgang til navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn.

§ 10 Helseregistre der den registrerte har rett til å motsette seg behandling av helseopplysninger

Kongen i statsråd kan i samsvar med vilkårene i § 8 gi forskrift om behandling av opplysninger i helseregistre der navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn skal kunne behandles uten samtykke fra den registrerte. Slike forskrifter kan gis dersom

  • a) det for å oppnå formålet med behandlingen av opplysningene, og av hensyn til registerets kvalitet, ikke kan kreves at samtykke innhentes, og

  • b) den registrerte har rett til å motsette seg at helseopplysninger behandles i registeret.

§ 11 Lovbestemte helseregistre

Kongen i statsråd kan i samsvar med vilkårene i § 8 gi forskrift om behandling av opplysninger i helseregistre der navn, fødselsnummer og andre direkte personidentifiserende kjennetegn skal kunne behandles uten samtykke fra den registrerte i den utstrekning det er nødvendig for å nå formålet med registeret.

Det kan gis forskrifter om følgende registre:

  • a) Dødsårsaksregisteret

  • b) Kreftregisteret

  • c) Medisinsk fødselsregister

  • d) Meldingssystem for smittsomme sykdommer (MSIS)

  • e) System for vaksinasjonskontroll (SYSVAK)

  • f) Forsvarets helseregister

  • g) Norsk pasientregister

  • h) Nasjonalt register over hjerte- og karlidelser

  • i) System for bivirkningsrapportering.

Kreftregisteret kan inneholde helseopplysninger om personer som har deltatt i undersøkelsesprogram for tidlig diagnose og kontroll for kreftsykdom. Ved negativt funn kan opplysninger om navn, fødselsnummer, adresse, bostedskommune og sivilstand registreres permanent, med mindre den registrerte motsetter seg det. Dersom den registrerte har motsatt seg permanent registrering, skal opplysningene slettes etter at de er kvalitetssikret og senest seks måneder etter innsamlingen. Dette leddet gjelder også funn som er innsamlet før 1. januar 2014.

§ 12 Helsearkivregisteret

Kongen i statsråd kan i forskrift gi bestemmelser om etablering av Helsearkivregisteret.

Helsearkivregisteret er et helseregister med personidentifiserbar pasientdokumentasjon om avdøde pasienter. Opplysningene i Helsearkivregisteret behandles uten de registrertes samtykke.

Riksarkivaren er databehandlingsansvarlig for opplysningene i Helsearkivregisteret, jf. arkivloven § 4.

Kongen i statsråd kan i forskrift gi nærmere bestemmelser om behandlingen av helseopplysningene i registeret og formålet med behandlingen. Forskriften skal angi den databehandlingsansvarliges plikt til å gjøre data tilgjengelig.

Kongen i statsråd kan i forskriften gi nærmere bestemmelser om bevaring, kassasjon og avlevering av pasientdokumentasjon for private virksomheter som yter tjenester etter spesialisthelsetjenesteloven.

§ 13 Innmelding av helseopplysninger til helseregistre

Virksomheter og helsepersonell som tilbyr eller yter tjenester som omfattes av apotekloven, folkehelseloven, helse- og omsorgstjenesteloven, legemiddelloven, smittevernloven, spesialisthelsetjenesteloven eller tannhelsetjenesteloven plikter å melde opplysninger som bestemt i forskrifter etter §§ 8 til 12. Innmelding til registre etter §§ 9 bokstav b, 10, 11 og 12 kan skje uten hinder av taushetsplikt.

Kongen kan gi forskrifter om innmelding av helseopplysninger til registre som omfattes av §§ 8 til 12, blant annet om hvem som skal gi og motta opplysningene og om frister, formkrav, bruk av meldingsskjemaer og standarder. Den som mottar opplysningene, skal varsle avsenderen dersom opplysningene er mangelfulle.

§ 14 Opplysninger fra Det sentrale folkeregisteret

Databehandlingsansvarlige kan innhente personopplysninger de har tillatelse til å behandle etter §§ 8 til 12, fra Det sentrale folkeregisteret.

§ 15 Hvem som har samtykkekompetanse

Rett til å samtykke til behandling av helseopplysninger har

  • a) myndige personer, og

  • b) mindreårige etter fylte 16 år.

For samtykke til behandling av opplysninger som gjelder personer under 16 år, gjelder pasient- og brukerrettighetsloven § 4-4 tilsvarende. Dersom barn mellom 12 og 16 år, av grunner som bør respekteres, ikke ønsker at foreldrene, andre med foreldreansvar eller barnevernstjenesten gjøres kjent med opplysninger om barnet, skal dette ivaretas.

For personer uten samtykkekompetanse etter pasient- og brukerrettighetsloven § 4-3 andre ledd, skal nærmeste pårørende etter pasient- og brukerrettighetsloven § 1-3 bokstav b gi samtykke.

For personer som er fratatt rettslig handleevne på det personlige området, gjelder pasient- og brukerrettighetsloven § 4-7 tilsvarende.

Departementet kan i forskrift bestemme at barn mellom 12 og 16 år kan samtykke til behandling av helseopplysninger for nærmere bestemte spesielle formål.

§ 16 Plikt til å innrapportere data til statistikk

Departementet kan i forskrift eller ved enkeltvedtak pålegge regionale helseforetak, helseforetak, fylkeskommuner og kommuner å innrapportere anonyme data eller indirekte identifiserbare helseopplysninger, uten hensyn til taushetsplikt, til statistikk. Forskriften kan ha nærmere regler om blant annet bruk av standarder, klassifikasjonssystemer og kodeverk.

§ 17 Taushetsplikt

Enhver som behandler helseopplysninger etter denne loven, har taushetsplikt etter helsepersonelloven §§ 21 flg. Andre som får adgang eller kjennskap til helseopplysninger fra helseregistre, har samme taushetsplikt.

§ 18 Forbud mot urettmessig tilegnelse av taushetsbelagte helseopplysninger

Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger som behandles etter denne loven, uten særskilt hjemmel i lov eller forskrift.

§ 19 Sammenstilling av helseopplysninger

Kongen i statsråd kan gi forskrift om sammenstilling av helseopplysninger innsamlet etter § 13. Sammenstilling kan tillates for opplysninger i helseregistre etablert med hjemmel i §§ 8 til 12. Kongen i statsråd kan bestemme at opplysningene i disse registrene også skal kunne sammenstilles med opplysninger i Det sentrale folkeregisteret eller andre registre.

Den databehandlingsansvarlige kan utlevere helseopplysninger for sammenstillingen. Med mindre annet følger av lov eller i medhold av lov skal resultatet av sammenstillingen ikke inneholde navn, fødselsnummer eller andre direkte identifiserende kjennetegn. Sammenstillingen skal gjøres av den databehandlingsansvarlige for et av registrene eller en virksomhet departementet bestemmer.

Ut over dette kan helseopplysninger bare sammenstilles med andre opplysninger når dette er tillatt etter personopplysningsloven § 9, jf. §§ 33 til 35.

§ 20 Unntak fra taushetsplikten for indirekte identifiserbare helseopplysninger

Taushetsplikt er ikke til hinder for at den databehandlingsansvarlige kan utlevere indirekte identifiserbare helseopplysninger til forskning, helseanalyser, og kvalitetssikring, administrasjon, planlegging eller styring av helse- og omsorgstjenesten. Dette gjelder bare helseopplysninger i registre som er etablert med hjemmel i § 11.

Helseopplysningene kan bare utleveres dersom behandlingen av dem er av vesentlig interesse for samfunnet, hensynet til pasientens integritet og konfidensialitet er ivaretatt, og behandlingen er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn. Den databehandlingsansvarlige kan stille vilkår for utleveringen.

§ 21 Sikring av konfidensialitet, integritet og tilgjengelighet

Den databehandlingsansvarlige og databehandler skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av helseopplysninger. Dette gjelder blant annet å sørge for tilgangsstyring, logging og etterfølgende kontroll.

I registre som er etablert med hjemmel i §§ 10 eller 11, skal direkte personidentifiserende kjennetegn lagres kryptert.

For å oppnå tilfredsstillende informasjonssikkerhet skal den databehandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den databehandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for tilsynsmyndighetene.

En databehandlingsansvarlig som lar andre få tilgang til helseopplysninger, for eksempel en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første, andre og tredje ledd.

Departementet kan i forskrift fastsette nærmere krav til informasjonssikkerhet ved behandling av helseopplysninger, blant annet om organisatoriske og tekniske tiltak.

§ 22 Internkontroll

Den databehandlingsansvarlige skal etablere og holde ved like planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven.

Den databehandlingsansvarlige skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den databehandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for tilsynsmyndighetene.

Departementet kan i forskrift gi nærmere regler om internkontroll.

§ 23 Informasjon til allmennheten om behandling av helseopplysninger

En databehandlingsansvarlig som behandler opplysninger etter forskrift i medhold av §§ 8 til 11, skal av eget tiltak informere allmennheten om hva slags behandling av helseopplysninger som foretas.

§ 24 Rett til informasjon og innsyn

Rett til informasjon og innsyn følger av personopplysningsloven §§ 18 flg.

Den registrerte har rett til innsyn i hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til den registrertes navn eller fødselsnummer, fra helseregistre etter §§ 8 til 11. Departementet kan i særlige tilfeller gi den databehandlingsansvarlige en tidsbegrenset dispensasjon fra plikten til å gi innsyn etter dette leddet.

Når det er nødvendig for å vurdere innsyn kan den databehandlingsansvarlige innhente personopplysninger fra Det sentrale folkeregisteret. Dette gjelder uten hensyn til taushetsplikt.

Kongen kan i forskrift gi nærmere bestemmelser om retten til innsyn i helseregistrene.

§ 25 Sletting eller sperring av helseopplysninger

Den registrerte kan kreve at helseopplysninger som behandles etter §§ 8 til 11 skal slettes eller sperres, dersom behandling av opplysningene føles sterkt belastende for den registrerte og det ikke finnes sterke allmenne hensyn som tilsier at opplysningene behandles. Krav om sletting eller sperring av slike opplysninger rettes til den databehandlingsansvarlige for opplysningene.

Datatilsynet kan, etter at Riksarkivaren er hørt, treffe vedtak om at retten til sletting etter første ledd går foran reglene i arkivloven §§ 9 og 18. Hvis dokumentet som inneholdt de slettede opplysningene, gir et åpenbart misvisende bilde etter slettingen, skal hele dokumentet slettes.

§ 26 Tilsynsmyndighetene

Datatilsynet fører tilsyn med at bestemmelsene i loven blir fulgt og at feil eller mangler blir rettet, jf. personopplysningsloven § 42. Dette gjelder ikke for tilsynsoppgaver som påligger Statens helsetilsyn eller Fylkesmannen etter helsetilsynsloven.

Tilsynsmyndighetene kan kreve de opplysninger som trengs for at de kan gjennomføre sine oppgaver.

Tilsynsmyndighetene kan, som ledd i sin kontroll med at lovens regler etterleves, kreve adgang til steder hvor det finnes helseregistre, helseopplysninger som behandles elektronisk og hjelpemidler for slik behandling av opplysninger. Tilsynsmyndighetene kan gjennomføre de prøver eller kontroller som de finner nødvendig, og kreve bistand fra personalet på stedet i den grad dette må til for å få utført prøvene eller kontrollene.

Retten til å kreve opplysninger, eller tilgang til lokaler og hjelpemidler i medhold av andre og tredje ledd, gjelder uten hinder av taushetsplikt.

Tilsynsmyndighetene og andre som utfører tjeneste for tilsynsmyndighetene, har taushetsplikt etter § 17. Taushetsplikten omfatter også opplysninger om sikkerhetstiltak.

Avgjørelser som Datatilsynet fatter etter denne bestemmelsen eller etter §§ 7, 25, 27, 28 eller 29, kan påklages til Personvernnemnda.

Kongen kan gi forskrift om unntak fra første til fjerde ledd av hensyn til rikets sikkerhet. Kongen kan også gi forskrift om dekning av utgiftene ved kontroll. Skyldige bidrag til dekning av utgiftene er tvangsgrunnlag for utlegg.

§ 27 Adgang til å gi pålegg

Datatilsynet kan gi pålegg om at behandling av helseopplysninger i strid med bestemmelser i eller i medhold av denne loven skal opphøre, eller stille vilkår som må oppfylles for at behandlingen av helseopplysningene skal være i samsvar med loven. Statens helsetilsyn kan gi pålegg dersom det i tillegg må antas at behandlingen av helseopplysningene kan ha skadelige følger for pasienter eller brukere.

Når Datatilsynet har gitt et pålegg, skal Statens helsetilsyn informeres om dette. Når Statens helsetilsyn har gitt et pålegg, skal Datatilsynet informeres om dette.

Pålegg etter første ledd skal inneholde en frist for å rette seg etter pålegget.

§ 28 Tvangsmulkt

Ved pålegg etter § 27 kan Datatilsynet fastsette en tvangsmulkt som løper for hver dag som går etter utløpet av den fristen som er satt for oppfylling av pålegget, inntil pålegget er oppfylt.

Tvangsmulkten løper ikke før klagefristen er ute. Hvis vedtaket påklages, løper ikke tvangsmulkt før klageinstansen har bestemt det.

Datatilsynet kan frafalle påløpt tvangsmulkt.

§ 29 Overtredelsesgebyr

Datatilsynet kan pålegge den som har overtrådt denne loven eller forskrifter i medhold av den, å betale et pengebeløp til statskassen (overtredelsesgebyr) på inntil ti ganger grunnbeløpet i folketrygden. Fysiske personer kan bare ilegges overtredelsesgebyr for forsettlige eller uaktsomme overtredelser. Et foretak kan ikke ilegges overtredelsesgebyr dersom overtredelsen skyldes forhold utenfor foretakets kontroll.

Ved vurderingen av om overtredelsesgebyr skal ilegges, og ved utmålingen, skal det særlig legges vekt på

  • a) hvor alvorlig overtredelsen har krenket de interesser loven verner,

  • b) graden av skyld, om overtrederen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget overtredelsen,

  • c) om overtredelsen er begått for å fremme overtrederens interesser,

  • d) om overtrederen har hatt eller kunne ha oppnådd noen fordel ved overtredelsen,

  • e) om det foreligger gjentakelse,

  • f) om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen som har handlet på vegne av denne, blant annet om noen enkeltperson blir ilagt straff, og

  • g) overtrederens økonomiske evne.

Oppfyllelsesfristen er fire uker etter at vedtaket om overtredelsesgebyr er endelig. Dersom et vedtak om overtredelsesgebyr bringes inn for en domstol, kan den prøve alle sider av saken.

§ 30 Straff

Den som forsettlig eller grovt uaktsomt overtrer § 17 om taushetsplikt eller § 18 om forbud mot urettmessig tilegnelse av helseopplysninger, straffes med bøter eller fengsel i inntil tre måneder.

Med bøter eller fengsel inntil ett år eller begge deler straffes den som forsettlig eller grovt uaktsomt

  • a) behandler helseopplysninger uten nødvendig konsesjon eller i strid med konsesjonsvilkår etter § 7,

  • b) behandler helseopplysninger i strid med § 21,

  • c) unnlater å informere den registrerte etter § 24, jf. personopplysningsloven §§ 19 eller 20,

  • d) unnlater å gi opplysninger til tilsynsmyndighetene etter § 26, eller

  • e) unnlater å etterkomme pålegg eller overtrer vilkår fra tilsynsmyndighetene etter § 27.

Ved særdeles skjerpende omstendigheter kan fengsel inntil tre år idømmes. Ved avgjørelsen av om det foreligger særdeles skjerpende omstendigheter skal det blant annet legges vekt på faren for stor skade eller ulempe for den registrerte, den tilsiktede vinningen ved overtredelsen, overtredelsens varighet og omfang, utvist skyld, og om den databehandlingsansvarlige tidligere er straffet for å ha overtrådt tilsvarende bestemmelser.

Medvirkning straffes på samme måte.

I forskrift som gis i medhold av loven, kan det fastsettes at den som forsettlig eller grovt uaktsomt overtrer forskriften skal straffes med bøter eller fengsel inntil ett år eller begge deler.

§ 31 Erstatning

Den databehandlingsansvarlige skal erstatte skade som er oppstått som følge av at helseopplysninger er behandlet i strid med bestemmelser i eller i medhold av loven, med mindre det godtgjøres at skaden ikke skyldes feil eller forsømmelse på den databehandlingsansvarliges side.

Erstatningen skal svare til det økonomiske tapet som den skadelidte er påført som følge av den ulovlige behandlingen av helseopplysningene. Den databehandlingsansvarlige kan også pålegges å betale slik erstatning for skade av ikke-økonomisk art (oppreisning) som synes rimelig.

§ 32 Ikraftsetting

Loven trer i kraft fra den tid Kongen bestemmer. Fra samme tid oppheves lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger.

Kongen kan bestemme at de enkelte bestemmelsene i loven skal tre i kraft til ulik tid.

§ 33 Videreføring av forskrifter

Forskrifter gitt i medhold av lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger gjelder også etter at loven her har trådt i kraft. Dette gjelder selv om forskriften ikke har alle bestemmelser som kreves etter § 8 fjerde ledd.

§ 34 Endringer i andre lover

Fra den tid loven trer i kraft gjøres følgende endringer i andre lover:

Olemic Thommessen
president