Forslag til lov om helseregistre og behandling av helseopplysninger (helseregisterloven)
Kapittel 1 Lovens formål, definisjoner og virkeområde
§ 1 Lovens formål
Formålet med denne loven er å bidra til å gi helseforvaltningen og helsetjenesten informasjon og kunnskap slik at helsehjelp kan gis på en forsvarlig og effektiv måte. Herunder skal loven bidra til å gi informasjon og kunnskap om befolkningens helseforhold, årsaker til nedsatt helse og utvikling av sykdom, til bruk for administrasjon, forskning, kvalitetssikring, planlegging, statistikk og styring.
Formålet med loven er videre å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av helseopplysninger, og bidra til at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på helseopplysninger.
§ 2 Definisjoner
I denne loven forstås med:
1 helseopplysninger: taushetsbelagte opplysninger i henhold til helsepersonelloven § 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson,
2 avidentifiserte helseopplysninger: helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysninger som tidligere ble fjernet,
3 anonyme opplysninger: opplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson,
4 behandling av helseopplysninger: enhver formålsbestemt bruk av helseopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter,
5 helseregister: registre, fortegnelser m.v. der helseopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen,
6 behandlingsrettet helseregister: pasientjournal eller annet helseregister som har til formål å gi grunnlag for handlinger som har forebyggende, diagnostisk, behandlende, helsebevarende eller rehabiliterende mål i forhold til den enkelte pasient og som utføres av helsepersonell, samt administrasjon av slike handlinger,
7 databehandlingsansvarlig: den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes, hvis ikke databehandlingsansvaret er særskilt angitt i loven eller i forskrift i medhold av loven,
8 databehandler: den som behandler helseopplysninger på vegne av den databehandlingsansvarlige,
9 registrert: den som helseopplysninger kan knyttes til,
10 samtykke: en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av helseopplysninger om seg selv.
§ 3 Saklig virkeområde
Loven gjelder for
1 behandling av helseopplysninger i helseforvaltningen og helsetjenesten som skjer helt eller delvis med elektroniske hjelpemidler for å fremme formål som beskrevet i § 1, og
2 annen behandling av helseopplysninger i helseforvaltningen og helsetjenesten til slike formål, når helseopplysningene inngår eller skal inngå i et helseregister.
Loven gjelder både offentlig og privat virksomhet.
Kongen i Statsråd kan i forskrift bestemme at loven helt eller delvis skal gjelde for behandling av helseopplysninger utenfor helseforvaltningen og helsetjenesten for å ivareta formål som beskrevet i § 1.
Det som er fastsatt for fylkeskommuner i denne lov, gjelder også for Oslo kommune.
§ 4 Geografisk virkeområde
Loven gjelder for databehandlingsansvarlige som er etablert i Norge. Kongen kan i forskrift bestemme at loven helt eller delvis skal gjelde for Svalbard og Jan Mayen, og kan fastsette særlige regler om behandling av helseopplysninger for disse områdene.
Loven gjelder også for databehandlingsansvarlige som er etablert i stater utenfor EØS-området, dersom den databehandlingsansvarlige benytter hjelpemidler i Norge. Dette gjelder likevel ikke dersom hjelpemidlene bare brukes til å overføre helseopplysninger via Norge.
Databehandlingsansvarlige som nevnt i annet ledd, skal ha en representant som er etablert i Norge. Bestemmelsene som gjelder for den databehandlingsansvarlige, gjelder også for representanten.
Kapittel 2 Tillatelse til å behandle helseopplysninger, etablering av helseregistre, innsamling av opplysninger, meldingsplikt m.m.
§ 5 Behandling av helseopplysninger, konsesjonsplikt m.m.
Helseopplysninger kan bare behandles elektronisk når dette er tillatt etter personopplysningsloven §§ 9 og 33, eller følger av bestemmelser fastsatt i forskrift med hjemmel i denne lov §§ 6 til 8, og behandlingen ikke er forbudt ved lov eller annet særskilt rettsgrunnlag. Det samme gjelder annen behandling av helseopplysninger, dersom opplysningene inngår eller skal inngå i et helseregister.
Konsesjonsplikt etter personopplysningsloven § 33 gjelder ikke for behandling av helseopplysninger som skjer med hjemmel i forskrift etter §§ 6 til 8.
Før helseopplysninger innhentes for behandling etter første ledd, skal samtykke fra den registrerte foreligge, hvis ikke annet er bestemt i eller i medhold av lov.
Pasientrettighetsloven §§ 4-3 til 4-8 gjelder tilsvarende for samtykke etter denne lov. Barn mellom 12 og 16 år kan selv treffe beslutning om samtykke, dersom pasienten av grunner som bør respekteres, ikke ønsker at opplysningene gjøres kjent for foreldrene eller andre med foreldreansvar.
§ 6 Behandlingsrettet helseregister
Behandlingsrettede helseregistre kan føres elektronisk. Helsepersonell som yter helsehjelp, skal registrere opplysningene i pasientjournalen i samsvar med dokumentasjonsplikt etter helsepersonelloven §§ 39 og 40. Det skal fremgå av pasientjournalen hvem som har registrert opplysningene. Dette kan gjøres ved hjelp av elektronisk signatur eller tilsvarende sikker dokumentasjon.
Fylkeskommune, kommune og annen offentlig eller privat virksomhet som tar i bruk behandlingsrettede helseregistre, er databehandlingsansvarlig for opplysningene. Fylkeskommunen og kommunen kan delegere databehandlingsansvaret.
Kongen kan i forskrift gi nærmere bestemmelser om behandling av helseopplysninger i behandlingsrettede helseregistre, herunder om godkjenning av programvare og andre forhold som nevnt i § 16 fjerde ledd.
§ 7 Regionale og lokale helseregistre
Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om behandling av helseopplysninger, herunder om bruk av navn, fødselsnummer og andre personidentifiserende kjennetegn i regionale helseregistre for ivaretakelse av oppgaver etter smittevernloven, spesialisthelsetjenesteloven og tannhelsetjenesteloven. Forskriften skal angi formålet med behandlingen av helseopplysningene og hvilke opplysninger som kan behandles. Det skal alltid angis en begrunnelse for nødvendigheten av å benytte personidentifiserbare opplysninger. Fylkeskommunen er databehandlingsansvarlig for opplysningene, med mindre noe annet er bestemt i forskriften. Databehandlingsansvaret kan delegeres.
Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om behandling av helseopplysninger, herunder om bruk av navn, fødselsnummer og andre personidentifiserende kjennetegn i lokale helseregistre for ivaretakelse av oppgaver etter kommunehelsetjenesteloven og smittevernloven. Forskriften skal angi formålet med behandlingen av helseopplysningene og hvilke opplysninger som kan behandles. Det skal alltid angis en begrunnelse for nødvendigheten av å benytte personidentifiserbare opplysninger. Kommunen er databehandlingsansvarlig for opplysningene, med mindre noe annet er bestemt i forskriften. Databehandlingsansvaret kan delegeres.
§ 8 Sentrale helseregistre
Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om behandling av helseopplysninger, herunder om bruk av navn, fødselsnummer og andre personidentifiserende kjennetegn i sentrale helseregistre til bruk for administrasjon, styring, planlegging og kvalitetssikring av helseforvaltningen og helsetjenesten, forskning og statistikk. Forskriften skal angi formålet med behandlingen av helseopplysningene, hvilke opplysninger som skal behandles og hvem som er databehandlingsansvarlig. Det skal alltid angis en begrunnelse for nødvendigheten av å benytte personidentifiserbare opplysninger. Forskriften bør også gi bestemmelser om den databehandlingsansvarliges plikt til å gjøre data tilgjengelig for at formålene kan nås.
§ 9 Særlig om innsamling av helseopplysninger til sentrale, regionale og lokale helseregistre, meldingsplikt m.v.
Før helseopplysninger innhentes for behandling i sentrale, regionale og lokale helseregistre, jf. §§ 7 og 8, skal samtykke fra den registrerte foreligge. Kongen i Statsråd kan i forskriftene etter §§ 7 og 8 bestemme at helseopplysninger skal innsamles selv om den registrerte ikke har samtykket, og selv om opplysningene er underlagt lovbestemt taushetsplikt.
Kongen kan gi forskrift om innsamling av helseopplysninger som skal behandles etter §§ 7 og 8, herunder bestemmelser om hvem som skal gi og motta opplysningene og om frister, formkrav og meldingsskjemaer. Den som mottar opplysningene skal varsle avsenderen av opplysningene dersom opplysningene er mangelfulle.
Virksomheter og helsepersonell som tilbyr eller yter tjenester i henhold til apotekloven, kommunehelsetjenesteloven, smittevernloven, spesialisthelsetjenesteloven eller tannhelsetjenesteloven, plikter å utlevere eller overføre opplysninger som bestemt i forskrifter etter §§ 7 og 8 samt etter paragrafen her.
§ 10 Særlig om plikt til å innrapportere data til statistikk
Departementet kan i forskrift eller ved enkeltvedtak pålegge fylkeskommuner og kommuner å innrapportere avidentifiserte eller anonyme data til statistikk, herunder gi nærmere regler om bruk av standarder, klassifikasjonssystemer og kodeverk.
Kapittel 3 Alminnelige bestemmelser om behandling av helseopplysninger
§ 11 Krav til formålsbestemthet, saklighet, relevans m.v.
Enhver behandling av helseopplysninger skal ha et uttrykkelig angitt formål som er saklig begrunnet i den databehandlingsansvarliges virksomhet. Den databehandlingsansvarlige skal sørge for at helseopplysningene som behandles, er tilstrekkelige og relevante for formålet med behandlingen av opplysningene.
Helseopplysninger kan bare anvendes til andre formål enn helsehjelp til den enkelte pasient eller administrasjon av slik hjelp når personidentifisering er nødvendig for å fremme disse formålene. Det skal alltid begrunnes hvorfor det er nødvendig å benytte personidentifiserbare opplysninger. Tilsynsmyndigheten kan i medhold av § 31 kreve at den databehandlingsansvarlige legger frem begrunnelsen.
Helseopplysninger kan ikke anvendes til formål som er uforenlig med det opprinnelige formålet med innsamlingen av opplysningene, uten at den registrerte samtykker.
§ 12 Sammenstilling av helseopplysninger
Helseopplysninger i behandlingsrettet helseregister kan sammenstilles med opplysninger om samme pasient i annet behandlingsrettet helseregister, i den grad helseopplysningene kan utleveres etter helsepersonelloven §§ 25, 26 og 45. Helseopplysninger som nevnt kan dessuten sammenstilles med folkeregisteropplysninger om den registrerte.
Helseopplysninger innsamlet etter § 9, kan sammenstilles etter nærmere bestemmelser fastsatt i forskrift etter §§ 7 og 8.
Ut over det som følger av første og annet ledd, kan helseopplysninger bare sammenstilles når dette er tillatt etter personopplysningsloven §§ 9 og 33.
§ 13 Tilgang til helseopplysninger i den databehandlingsansvarliges og databehandlers institusjon
Bare den databehandlingsansvarlige, databehandlere og den som arbeider under den databehandlingsansvarliges eller databehandlers instruksjonsmyndighet, kan gis tilgang til helseopplysninger. Tilgang kan bare gis i den grad dette er nødvendig for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt.
§ 14 Utlevering av helseopplysninger
Helseopplysninger kan utleveres eller overføres for sammenstilling som er tillatt etter § 12. Sammenstilte helseopplysninger kan, etter at navn og fødselsnummer er fjernet, utleveres eller overføres til en virksomhet som bestemt av departementet, når formålet er å avidentifisere eller å anonymisere opplysningene.
Helseopplysninger kan dessuten utleveres eller overføres når utlevering eller overføring har hjemmel i eller i medhold av lov, og den som mottar opplysningene har adgang til å behandle dem etter personopplysningsloven.
§ 15 Taushetsplikt
Enhver som behandler helseopplysninger etter denne lov, har taushetsplikt etter forvaltningsloven §§ 13 til 13e.
Taushetsplikten etter første ledd gjelder også pasientens fødested, fødselsdato, personnummer, statsborgerforhold, sivilstand, yrke, bopel og arbeidssted.
Opplysninger til andre forvaltningsorganer etter forvaltningsloven § 13 b nr. 5 og 6 kan bare gis når det er nødvendig for å bidra til løsning av oppgaver etter loven her, eller for å forebygge vesentlig fare for liv eller alvorlig skade for noens helse.
§ 16 Sikring av konfidensialitet, integritet, kvalitet og tilgjengelighet
Den databehandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, kvalitet og tilgjengelighet ved behandling av helseopplysninger.
For å oppnå tilfredsstillende informasjonssikkerhet skal den databehandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den databehandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for tilsynsmyndighetene.
En databehandlingsansvarlig som lar andre få tilgang til helseopplysninger, for eksempel en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og annet ledd.
Kongen kan gi forskrift om sikkerhet ved behandling av helseopplysninger etter denne lov. Kongen kan herunder sette nærmere krav til elektronisk signatur, kommunikasjon og langtidslagring, om godkjenning (autorisasjon) av programvare og om bruk av standarder, klassifikasjonssystemer og kodeverk, samt hvilke nasjonale eller internasjonale standardsystemer som skal følges.
§ 17 Internkontroll
Den databehandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven, herunder sikre helseopplysningenes kvalitet.
Den databehandlingsansvarlige skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den databehandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for tilsynsmyndighetene.
Kongen kan i forskrift gi nærmere regler om internkontroll.
§ 18 Databehandlers rådighet over helseopplysninger
En databehandler kan ikke behandle helseopplysninger på annen måte enn det som er skriftlig avtalt med den databehandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse. I avtalen med den databehandlingsansvarlige skal det også gå frem at databehandleren plikter å gjennomføre slike sikringstiltak som følger av § 16.
§ 19 Frist for å svare på henvendelser mv.
Den databehandlingsansvarlige skal svare på henvendelser om innsyn eller andre rettigheter etter §§ 21, 22, 26 og 28 uten ugrunnet opphold og senest innen 30 dager fra den dagen henvendelsen kom inn.
Dersom særlige forhold gjør det umulig å svare på henvendelsen innen 30 dager, kan gjennomføringen utsettes inntil det er mulig å gi svar. Den databehandlingsansvarlige skal i såfall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis.
Kapittel 4 Databehandlingsansvarliges informasjonsplikt og den registrertes innsynsrett
§ 20 Informasjon til allmennheten om behandling av helseopplysninger etter loven §§ 7 og 8
Når helseopplysninger behandles etter forskrift i medhold av §§ 7 og 8, skal den databehandlingsansvarlige av eget tiltak informere allmennheten om hva slags behandling av helseopplysninger som foretas.
§ 21 Rett til generell informasjon om helseregistre og behandling av helseopplysninger
Enhver som ber om det, skal få vite hva slags behandling av helseopplysninger en databehandlingsansvarlig foretar, og kan kreve å få følgende informasjon om en bestemt type behandling av helseopplysninger:
1 navn og adresse på den databehandlingsansvarlige og dennes eventuelle representant,
2 hvem som har det daglige ansvaret for å oppfylle den databehandlingsansvarliges plikter,
3 formålet med behandlingen av helseopplysningene,
4 beskrivelser av hvilke typer helseopplysninger som behandles,
5 hvor opplysningene er hentet fra, og
6 om helseopplysningene vil bli utlevert, og eventuelt hvem som er mottaker.
Informasjonen kan kreves hos den databehandlingsansvarlige eller hos dennes databehandler som nevnt i § 18.
§ 22 Rett til innsyn
Den som ber om det, har rett til innsyn i behandlingsrettet helseregister i den grad dette følger av pasientrettighetsloven § 5-1 og helsepersonelloven § 41.
Når helseopplysninger behandles etter §§ 5, 7 og 8, har den registrerte på forespørsel i tillegg til informasjon som nevnt i § 21 første ledd, rett til å få opplyst
1 hvilke helseopplysninger om den registrerte som behandles, og
2 sikkerhetstiltakene ved behandlingen av helseopplysningene så langt innsyn ikke svekker sikkerheten.
Den registrerte kan også kreve at den databehandlingsansvarlige utdyper informasjonen som nevnt i § 21 første ledd i den grad dette er nødvendig for at den registrerte skal kunne vareta egne interesser.
Informasjon etter første og annet ledd kan kreves skriftlig hos den databehandlingsansvarlige eller hos dennes databehandler som nevnt i § 18. Den som blir bedt om å gi innsyn, kan kreve at den registrerte leverer en skriftlig og undertegnet begjæring.
Kongen kan i forskrift gi nærmere bestemmelser om retten til innsyn i behandling av helseopplysninger etter annet og tredje ledd. Dersom særlige grunner gjør det nødvendig, kan Kongen gi forskrift om at den registrerte må betale vederlag til den databehandlingsansvarlige. Vederlaget kan ikke overstige de faktiske kostnadene ved å etterkomme kravet.
§ 23 Informasjonsplikt når det samles inn opplysninger fra den registrerte
Når det samles inn helseopplysninger fra den registrerte selv, skal den databehandlingsansvarlige av eget tiltak først informere den registrerte om
1 navn og adresse på den databehandlingsansvarlige og dennes eventuelle representant,
2 formålet med behandlingen av helseopplysningene,
3 opplysningene vil bli utlevert, og eventuelt hvem som er mottaker,
4 det er frivillig å gi fra seg helseopplysningene, og
5 annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf. § 22, og retten til å kreve retting og sletting, jf. §§ 26 og 28.
Varsling er ikke påkrevd dersom det er på det rene at den registrerte allerede kjenner til informasjonen i første ledd.
§ 24 Informasjonsplikt når det samles inn opplysninger fra andre enn den registrerte
En databehandlingsansvarlig som samler inn helseopplysninger fra andre enn den registrerte selv, skal av eget tiltak informere den registrerte om hvilke opplysninger som samles inn og gi informasjon som nevnt i § 23 første ledd så snart opplysningene er innhentet. Dersom formålet med innsamlingen av opplysningene er å gi dem videre til andre, kan den databehandlingsansvarlige vente med å varsle den registrerte til utleveringen skjer.
Den registrerte har ikke krav på varsel etter første ledd dersom
1 innsamlingen av opplysningene er fastsatt i lov,
2 varsling er umulig eller uforholdsmessig vanskelig, eller
3 det er på det rene at den registrerte allerede kjenner til informasjonen som varslet skal inneholde.
Når varsling unnlates med hjemmel i annet ledd nr. 2, skal informasjon likevel gis senest når det gjøres en henvendelse til den registrerte på grunnlag av opplysningene.
§ 25 Unntak fra retten til informasjon og innsyn
Det kan nektes innsyn i behandlingsrettet helseregister etter reglene i pasientrettighetsloven § 5-1.
Retten til innsyn etter §§ 21 og 22 annet ledd og plikten til å gi informasjon etter §§ 20, 23 og 24, omfatter ikke opplysninger som
1 om de ble kjent, ville kunne skade rikets sikkerhet, landets forsvar eller forholdet til fremmede makter eller internasjonale organisasjoner,
2 det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølging av straffbare handlinger,
3 det må anses utilrådelig at den registrerte får kjennskap til, av hensyn til vedkommendes helse eller forholdet til personer som står vedkommende nær,
4 det i medhold av lov gjelder taushetsplikt for,
5 utelukkende finnes i tekst som er utarbeidet for den interne saksforberedelse og som heller ikke er utlevert til andre,
6 det vil være i strid med åpenbare og grunnleggende private eller offentlige interesser å informere om, herunder hensynet til den registrerte selv.
Opplysninger som den registrerte nektes innsyn i etter første ledd og etter annet ledd nr. 3, har en representant for pasienten rett til innsyn i, med mindre representanten anses uskikket for dette. En lege eller advokat kan ikke nektes innsyn, med mindre særlige grunner taler for dette.
Den som nekter å gi innsyn i medhold av første eller annet ledd, må begrunne dette skriftlig med presis henvisning til unntakshjemmelen.
Kapittel 5 Særlige bestemmelser om retting og sletting av helseopplysninger
§ 26 Retting av mangelfulle helseopplysninger
Dersom det er behandlet helseopplysninger etter §§ 5, 7 og 8 som er uriktige, ufullstendige eller som det ikke er adgang til å behandle, skal den databehandlingsansvarlige av eget tiltak eller på begjæring av den registrerte rette de mangelfulle opplysningene. Den databehandlingsansvarlige skal om mulig sørge for at feilen ikke får betydning for den registrerte. Dersom helseopplysningene er utlevert, skal den databehandlingsansvarlige varsle mottakere av utleverte opplysninger.
Retting av uriktige eller ufullstendige helseopplysninger som kan ha betydning som dokumentasjon, skal skje ved at opplysningene tydelig markeres og suppleres med korrekte opplysninger.
Dersom tungtveiende personvernhensyn tilsier det, kan Datatilsynet uten hinder av annet ledd bestemme at retting skal skje ved at de mangelfulle helseopplysningene slettes eller sperres. Hvis opplysningene ikke kan kasseres i medhold av arkivloven, skal Riksarkivaren høres før det treffes vedtak om sletting. Vedtaket går foran reglene i arkivloven 4. desember 1992 nr. 126 §§ 9 og 18.
Sletting bør suppleres med registrering av korrekte og fullstendige opplysninger. Dersom dette ikke er mulig, og dokumentet som inneholdt de slettede opplysningene av den grunn gir et åpenbart misvisende bilde, skal hele dokumentet slettes.
For retting og sletting av helseopplysninger i behandlingesrettet helseregister gjelder helsepersonelloven §§ 42 til 44. Første ledd annet og tredje punktum gjelder tilsvarende.
§ 27 Forbud mot å lagre unødvendige helseopplysninger
Den databehandlingsansvarlige skal ikke lagre helseopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen av helseopplysningene. Hvis ikke helseopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes.
I forskrift etter §§ 6 til 8 kan det bestemmes at helseopplysninger kan lagres for historiske, statistiske eller vitenskapelige formål, dersom samfunnets interesse i at opplysningene lagres klart overstiger de ulempene den kan medføre for den enkelte. Den databehandlingsansvarlige skal i så fall sørge for at opplysningene ikke oppbevares på måter som gjør det mulig å identifisere den registrerte lenger enn nødvendig.
§ 28 Sletting eller sperring av helseopplysninger som føles belastende for den registrerte
Den registrerte kan kreve at helseopplysninger som behandles etter §§ 5, 7 og 8, skal slettes eller sperres, dersom behandling av opplysningene føles sterkt belastende for den registrerte og det ikke finnes sterke allmenne hensyn som tilsier at opplysningene behandles. Krav om sletting eller sperring av slike opplysninger rettes til den databehandlingsansvarlige for opplysningene.
Datatilsynet kan, etter at Riksarkivaren er hørt, treffe vedtak om at retten etter første ledd går foran reglene i arkivloven 4. desember 1992 nr. 126 §§ 9 og 18. Hvis dokumentet som inneholdt de slettede opplysningene, gir et åpenbart misvisende bilde etter slettingen, skal hele dokumentet slettes.
Krav om sletting av helseopplysninger i behandlingsrettede helseregistre avgjøres etter helsepersonelloven § 43.
Kapittel 6 Tilsyn, kontroll og sanksjoner
§ 29 Meldeplikt til Datatilsynet
Den databehandlingsansvarlige skal gi melding til Datatilsynet før behandling av helseopplysninger med elektroniske hjelpemidler og før opprettelse av manuelt helseregister.
Meldingen skal gis senest 30 dager før behandlingen av opplysningene tar til. Datatilsynet skal gi den databehandlingsansvarlige kvittering for at melding er mottatt.
Ny melding må gis før behandling av helseopplysninger som går ut over den rammen for behandling av helseopplysninger som er angitt i medhold av § 30. Selv om det ikke har skjedd endringer, skal det gis ny melding tre år etter at forrige melding ble gitt.
Kongen kan gi forskrift om at visse typer behandling av helseopplysninger eller databehandlingsansvarlige er unntatt fra meldeplikt eller er underlagt forenklet meldeplikt.
§ 30 Meldepliktens innhold
Meldingen til Datatilsynet skal opplyse om
1 navn og adresse på den databehandlingsansvarlige og på dennes eventuelle representant og databehandler,
2 når behandlingen av helseopplysningene starter,
3. hvem som har det daglige ansvaret for å oppfylle den databehandlingsansvarliges plikter,
4 formålet med behandlingen av helseopplysningene,
5 oversikt over hvilke typer helseopplysninger som skal behandles,
6 hvor helseopplysningene hentes fra,
7 det rettslige grunnlaget for innsamlingen av helseopplysningene,
8 hvem helseopplysningene vil bli utlevert til, herunder eventuelle mottakere i andre stater, og
9 hvilke sikkerhetstiltak som er knyttet til behandlingen av helseopplysningene.
Kongen kan gi forskrift om hvilke opplysninger meldingene skal inneholde og om gjennomføringen av meldeplikten.
§ 31 Tilsynsmyndighetene
Datatilsynet fører tilsyn med at bestemmelsene i loven blir fulgt og at feil eller mangler blir rettet, jf. personopplysningsloven 42, med mindre tilsynsoppgaven påligger Statens helsetilsyn eller fylkeslegen etter lov 30. mars 1984 nr. 15 om statlig tilsyn med helsetjenesten.
Tilsynsmyndighetene kan kreve de opplysninger som trengs for at de kan gjennomføre sine oppgaver.
Tilsynsmyndighetene kan som ledd i sin kontroll med at lovens regler etterleves, kreve adgang til steder hvor det finnes helseregistre, helseopplysninger som behandles elektronisk og hjelpemidler for slik behandling av opplysninger. Tilsynsmyndighetene kan gjennomføre de prøver eller kontroller som de finner nødvendig, og kreve bistand fra personalet på stedet i den grad dette må til for å få utført prøvene eller kontrollene.
Retten til å kreve opplysninger eller tilgang til lokaler og hjelpemidler i henhold til annet og tredje ledd gjelder uten hinder av taushetsplikt.
Tilsynsmyndighetene og andre som utfører tjeneste for tilsynsmyndighetene, har taushetsplikt etter § 15. Taushetsplikten omfatter også opplysninger om sikkerhetstiltak.
Kongen kan gi forskrift om unntak fra første til fjerde ledd av hensyn til rikets sikkerhet. Kongen kan også gi forskrift om dekning av utgiftene ved kontroll. Skyldige bidrag til dekning av utgiftene er tvangsgrunnlag for utlegg.
§ 32 Adgang til å gi pålegg
Datatilsynet kan gi pålegg om at behandling av helseopplysninger i strid med bestemmelser i eller i medhold av denne loven skal opphøre, eller stille vilkår som må oppfylles for at behandlingen av helseopplysningene skal være i samsvar med loven. Dersom det i tillegg må antas at behandlingen av helseopplysningene kan ha skadelige følger for pasienter, kan Statens helsetilsyn gi pålegg som nevnt. Når Datatilsynet har gitt et pålegg, skal Statens helsetilsyn informeres om dette. Når Statens helsetilsyn har gitt et pålegg, skal Datatilsynet informeres om dette.
Pålegg etter første ledd skal inneholde en frist for å rette seg etter pålegget.
Avgjørelser som Datatilsynet fatter i medhold av §§ 26, 28, 31, 32 og 33, kan påklages til Personvernnemnda.
§ 33 Tvangsmulkt
Ved pålegg etter § 32 kan Datatilsynet fastsette en tvangsmulkt som løper for hver dag som går etter utløpet av den fristen som er satt for oppfylling av pålegget, inntil pålegget er oppfylt.
Tvangsmulkten løper ikke før klagefristen er ute. Hvis vedtaket påklages, løper ikke tvangsmulkt før klageinstansen har bestemt det.
Datatilsynet kan frafalle påløpt tvangsmulkt.
§ 34 Straff
Med bøter eller fengsel inntil ett år eller begge deler straffes den som forsettlig eller grovt uaktsomt
1 behandler helseopplysninger i strid med §§ 16 eller 18,
2 unnlater å gi opplysninger til den registrerte etter §§ 23 eller 24,
3 unnlater å sende melding til Datatilsynet etter § 29,
4 unnlater å gi opplysninger til tilsynsmyndighetene etter § 31, eller
5 unnlater å etterkomme pålegg fra tilsynsmyndigheten etter § 32.
Ved særdeles skjerpende omstendigheter kan fengsel inntil tre år idømmes. Ved avgjørelsen av om det foreligger særdeles skjerpende omstendigheter skal det blant annet legges vekt på faren for stor skade eller ulempe for den registrerte, den tilsiktede vinningen ved overtredelsen, overtredelsens varighet og omfang, utvist skyld, og om den databehandlingsansvarlige tidligere er straffet for å ha overtrådt tilsvarende bestemmelser.
Medvirkning straffes på samme måte.
I forskrift som gis i medhold av loven, kan det fastsettes at den som forsettlig eller grovt uaktsomt overtrer forskriften skal straffes med bøter eller fengsel inntil ett år eller begge deler.
§ 35 Erstatning
Den databehandlingsansvarlige skal erstatte skade som er oppstått som følge av at helseopplysninger er behandlet i strid med bestemmelser i eller i medhold av loven, med mindre det godtgjøres at skaden ikke skyldes feil eller forsømmelse på den databehandlingsansvarliges side.
Erstatningen skal svare til det økonomiske tapet som den skadelidte er påført som følge av den ulovlige behandlingen av helseopplysningene. Den databehandlingsansvarlige kan også pålegges å betale slik erstatning for skade av ikke-økonomisk art (oppreisning) som synes rimelig.
Kapittel 7 Forholdet til andre lover. Ikraftsetting
§ 36 Forholdet til lov om behandling av personopplysninger
I den utstrekning ikke annet følger av denne lov, gjelder personopplysningsloven med forskrifter som utfyllende bestemmelser.
§ 37 Ikraftsetting
Loven trer i kraft fra den tid Kongen bestemmer. Kongen kan bestemme at de enkelte bestemmelsene i loven skal tre i kraft til ulik tid.
§ 38 Endringer i andre lover
1 I lov 19. november 1982 nr. 66 om helsetjenesten i kommunene skal § 3-4 første ledd lyde:
(Meldingsplikt til kommuneadministrasjonen mv.)
Kommunen kan pålegge helsepersonell som arbeider innenfor rammen av denne lov å gi opplysninger til bruk for planlegging, styring og utvikling av kommunehelsetjenesten. Utlevering av taushetsbelagte opplysninger etter første punktum skal skje etter samtykke fra den opplysningene angår, hvis ikke annet er bestemt i eller i medhold av lov.
2 I lov 3. juni 1983 nr. 54 om tannhelsetjenesten skal § 3-4 første ledd lyde:
(Meldingsplikt til fylkesadministrasjonen mv.)
Fylkeskommunen kan pålegge helsepersonell som arbeider innenfor rammen av denne lov å gi opplysninger til bruk for planlegging, styring og utvikling av tannhelsetjenesten i fylkeskommunen. Utlevering av taushetsbelagte opplysninger etter første punktum skal skje etter samtykke fra den opplysningene angår, hvis ikke annet er bestemt i eller i medhold av lov.
3 Lov 4. desember 1992 nr 126 om arkiv endres slik:
§ 9 bokstav c tredje punktum skal lyde:
Personregister eller deler av personregister kan likevel slettast etter føresegnene i personopplysningslova, helseregisterlova og etter føresegner i medhald av helseregisterlova §§ 7 og 8.
§ 9 bokstav d annet punktum skal lyde:
Føresegner om sletting gjevne i medhald av § 27 tredje og femte leden og § 28 fjerde leden i personopplysningslova og §§ 7, 8 og 26 tredje leden og § 28 andre leden i helseregisterlovagjeld likevel uinnskrenka.
§ 18 annet punktum skal lyde:
Reglane i personopplysningslova og helseregisterlova om retting og sletting av opplysninger vil likevel gjelda fullt ut.
4 Lov 5. august 1994 nr. 55 om vern mot smittsomme sykdommer endres slik:
(Meldingsplikt for leger. Varslingsplikt for jordmødre.)
§ 2-3 skal lyde:
En lege som oppdager en smittsom sykdom, har meldingsplikt etter forskrifter gitt i medhold av tredje ogfjerde ledd uten hinder av lovbestemt taushetsplikt. En sykepleier eller jordmor som i virksomhet oppdager en smittet person har varslingsplikt etter forskrifter gitt i medhold av tredje ogfjerde ledd uten hinder av lovbestemt taushetsplikt.
Når en lege som er meldingspliktig etter første ledd, gir en melding som identifiserer en person, skal legen informere den meldingen angår, om hvem som skal få meldingen og hva dem skal brukes til.
Kongen i Statsråd kan gi forskrifter om behandling av helseopplysninger, herunder om bruk av navn, fødselsnummer og andre personidentifiserende kjennetegn etter helseregisterloven. Forskriftene skal angi formålet med behandlingen av opplysningene, og hvilke smittsomme sykdommer som skal meldes eller varsles. Kongen i Statsråd kan også gi forskrifter om meldingsplikt for bivirkninger av forebyggende tiltak, og om undersøkelse, behandling og andre tiltak etter loven. Kongen kan gi nærmere bestemmelser om hvem som skal melde eller varsle, og om formkrav, meldingsskjemaer og frister for meldingene og varslene, herunder om hvem som kan eller skal motta meldinger eller varsler.
Ved utbrudd av allmennfarlig smittsom sykdom, eller når det er fare for slikt utbrudd, og når det er nødvendig av hensyn til smittevernet, kan Statens helsetilsyn med øyeblikkelig virkning pålegge personer som nevnt i første ledd midlertidige meldings- og varslingsplikter som fraviker fra forskriften etter fjerde ledd uten hinder av lovbestemt taushetsplikt.
Uten samtykke fra departementet kan verken private eller offentlige sette i verk meldingsordninger for smittsomme sykdommer hos mennesker. Dette gjelder ikke interne systemer.
§ 3-8 nytt femte ledd skal lyde:
Kongen i Statsråd kan i forskrift fastsette at helsepersonell uten hinder av lovbestemt taushetsplikt skal gi nødvendige opplysninger for gjennomføring av et kontrollsystem basert på vaksinasjonsregistre, og gi regler for slike registre, jf. helseregisterloven.
§ 7-11 annet ledd annet punktum oppheves
5 Lov 2. juli 1999 nr. 64 om helsepersonell endres slik:
§ 35 fjerde ledd skal lyde:
Lege eller jordmor skal gi melding om fødsel eller svangerskapsavbrudd etter tolvte uke til Medisinsk fødselsregister i samsvar med forskrift gitt i medhold av helseregisterloven.
§ 37 første og annet punktum skal lyde:
Kongen i Statsråd kan opprette og godkjenne helseregistre i den grad dette er nødvendig for en forsvarlige styring og utvikling av helsetjenesten. Helsepersonell med autorisasjon eller lisens har plikt til å gi opplysninger til slike registre i samsvar med helseregisterloven.
§ 43 første ledd skal lyde:
Etter krav fra den journalopplysningene gjelder, eller av eget tiltak, skal helsepersonell som nevnt i § 39 slette opplysninger eller utsagn i journalen, dersom dette er ubetenkelig ut fra allmenne hensyn, ikke strider mot bestemmelsene i eller i medhold av arkivloven §§ 9 og 18,og
1 opplysningene er feilaktige eller misvisende og føles belastende for den de gjelder eller
2 opplysningene åpenbart ikke er nødvendig for å gi pasienten helsehjelp.
§ 43 tredje ledd skal lyde:
Avslag på krav om retting kan påklages til fylkeslegen. Det skal innhentes uttalelse fra Datatilsynet. Dersom fylkeslegen mener at sletting kan være i strid med arkivloven §§ 9 og 18, skal det også innhentes uttalelse fra Riksarkivaren.
6 I lov (data og nummer ) om erstatning ved pasientskader skal § 4 annet ledd lyde:
Krav kan fremmes etter loven her selv om de også kan erstattes etter bilansvarsloven 3 februar 1961, produktansvarsloven 23 desember 1988 nr 104 eller helseregisterloven .... Kravet etter disse lovene overtas i så fall av den som betaler erstatning etter loven her.