Ot.prp. nr. 51 (2008-2009)

Om lov om endringer i helseregisterloven og helsepersonelloven— (tilgang til behandlingsrettede helseregistre på tvers av virksomhetsgrenser og etablering av behandlingsrettede helseregistre på tvers av virksomheter)

Til innholdsfortegnelse

Del 2
Lovforslagets innhold

6 Utlevering av og tilgang til journal og journalopplysninger – forslag til endringer i helsepersonelloven § 45

6.1 Gjeldende rett

Helsepersonellovens hovedregel om taushetsplikt følger av helsepersonelloven § 21, jf. punkt 7.2. Taushetsplikten gjelder også mellom helsepersonell. Aktuelle bestemmelser om kommunikasjon og utveksling av helseopplysninger i behandlingsøyemed er helsepersonelloven §§ 25 og 45. Helsepersonelloven § 25 første ledd første punktum lyder:

«Med mindre pasienten motsetter seg det, kan taushetsbelagte opplysninger gis til samarbeidende personell når dette er nødvendig for å kunne gi forsvarlig helsehjelp.»

Opplysningene kan gis til samarbeidende personell både innenfor og utenfor virksomheten. Opplysninger kan bare gis til samarbeidende personell som trenger opplysningene for å yte forsvarlig helsehjelp til pasienten. Bestemmelsen sier ikke noe om på hvilken form eller måte opplysningene kan gis på. Opplysningene kan derfor gis muntlig, skriftlig eller i elektronisk form.

I tillegg til samarbeidstilfellene vil det ofte være nødvendig å innhente opplysninger om pasienten som er nedtegnet i forbindelse med at det tidligere er gitt helsehjelp til vedkommende – for å få tilstrekkelig kunnskapsgrunnlag for vurdering av den helsehjelpen som nå skal gis. Det kan være opplysninger som er nedtegnet i egen virksomhet eller i en annen virksomhet. Det følger av helsepersonelloven § 45 at helsepersonell som mottar en anmodning om journalen eller opplysninger i journalen i behandlingsøyemed i utgangspunktet har plikt til å etterkomme anmodningen, når dette er nødvendig for å yte helsehjelp. Helsepersonelloven § 45 lyder:

«Med mindre pasienten motsetter seg det, skal helsepersonell som nevnt i § 39 gi journalen eller opplysninger i journalen til andre som yter helsehjelp etter denne lov, når dette er nødvendig for å kunne gi helsehjelp på forsvarlig måte. Det skal fremgå av journalen at annet helsepersonell er gitt tilgang til journalen etter første punktum.

Departementet kan i forskrift gi nærmere bestemmelser til utfylling av første ledd, og kan herunder bestemme at annet helsepersonell kan gis tilgang til journalen også i de tilfeller som faller utenfor første ledd.»

Det følger av merknadene til forskriftshjemmelen, jf. Ot.prp. nr. 13 (1998–1999) Om lov om helsepersonell m.v., at det ved denne reguleringen må tas hensyn til pasienten. Jo fjernere formålet med utlevering er fra helsehjelpen, desto større grunn til å innhente samtykke fra pasienten.

6.2 Forslaget i høringsnotatet

I høringsforslaget foreslo departementet en utdyping eller presisering av ordlyden i helsepersonelloven § 45, fordi tolkningen av den har vært uklar og forskjellig. Dersom ordlyden i § 45 tolkes strengt bokstavelig vil det i enkelte tilfeller være praktisk umulig å utlevere informasjon. Det kan for eksempel være tilfeller der den som det er forutsatt skal vurdere forespørsel om utlevering (den som personlig er bundet av taushetsplikten) har sluttet ved sykehuset, er død eller på annen måte utilgjengelig. I slike tilfeller vil det etter en streng tolkning av bestemmelsen ikke være noen som kan vurdere forespørsler om utlevering av de taushetsbelagte opplysningene.

Det ble i høringsnotatet uttalt at departementet tolker helsepersonelloven § 45 slik at spørsmål om utlevering av journalopplysninger kan vurderes av den journalansvarlige, den som har ført opplysningene eller annet helsepersonell med faglig kompetanse til å vurdere om det er adgang til å utlevere de aktuelle opplysningene til den som ber om det.

Forslaget i høringsnotatet lød:

«Med mindre pasienten motsetter seg det, skal helsepersonell som skal yte eller yter helsehjelp til pasient etter denne lov, gis tilgang til nødvendige og relevante helseopplysninger om pasienten i den grad dette er nødvendig for å kunne gi helsehjelp på forsvarlig måte. Det skal fremgå av journalen at annet helsepersonell er gitt tilgang til journalen etter første punktum.»

Videre ble det foreslått et nytt annet ledd, og nåværende annet ledd ble foreslått flyttet til tredje ledd. Forslaget til nytt annet ledd lød:

«Tilgang som nevnt i første ledd kan gis av den databehandlingsansvarlige for opplysningene eller det helsepersonell som har dokumentert opplysningene, jf. § 39.»

I merknadene til endringsforslaget uttalte departementet at med tilgang menes både elektronisk tilgang og den tilgang man kan få ved at opplysningene utleveres, eventuelt ved elektronisk meldingsutveksling. Videre ble det uttalt at til forskjell fra helseregisterloven skiller ikke helsepersonelloven mellom tilgang til og utlevering av helseopplysninger. Enn videre ble det anført at det materielle innholdet i bestemmelsen – hvilke opplysninger det kan gis tilgang til – er det samme som etter gjeldende rett.

6.3 Høringsinstansenes syn

Nasjonalt folkehelseinstitutt, Norges Diabetesforbund, Norges Optikerforbund, Norsk Manuellterapeutforening, Tromsø fylkeskommune og IKT-Norge sier de støtter forslaget i høringsnotatet. Norges teknisk-naturvitenskapelige universitet (NTNU, Det medisinske fakultet) uttaler at forslaget synes adekvat og at det vel stort sett er en hjemling av det som i praksis finner sted i den daglige kliniske praksis.

Kompetansesenter for IT i helse- og sosialsektoren AS (KITH) er i utgangspunktet enig i at helsepersonelloven § 45 er uklar og viser til at «dette har gitt opphav til tolkninger som ikke kan sies å ha fremmet samhandlingen i helsesektoren». KITH tar opp flere spørsmål knyttet til bruk av begreper, som tilgang, utlevering, opplysninger i journalen/journalopplysninger og helseopplysninger.

KITH viser til at i høringsforslaget er «journalen eller opplysninger i journalen» byttet ut med «helseopplysninger om pasienten», noe som etter KITHs mening innebærer en endring av meningsinnholdet. KITH sier at «journalopplysninger» i tillegg til de «helseopplysninger» som befinner seg i journalen også inkluderer andre opplysninger som måtte være der, for eksempel opplysninger om fastlege eller nærmeste pårørende. KITH antar at denne endringen av meningsinnholdet er utilsiktet.

KITH viser også til at det i følge forslagets ordlyd til nytt § 45 annet ledd er den databehandlingsansvarlige for opplysningene som kan gi annet helsepersonell tilgang til opplysningene, mens det av merknadene fremgår at dette er et «sørge for»-ansvar, som KITH støtter. KITH foreslår at det innføres et krav om at opplysninger skal gis uten unødig opphold, noe som innebærer at virksomhetene må etablere rutiner som sikrer at forespørsler blir vurdert og besvart så raskt som praktisk mulig.

Helse Vest RHF viser i sin høringsuttalelse til KITH sine synspunkter med hensyn til det å rydde i begrepsbruken når det gjelder begrepene tilgang, utlevering og overføring. Helse Vest RHF mener at en slik konsistent terminologibruk vil være et viktig bidrag til å forenkle håndteringen av det samlede regelverket. Vedrørende forslag til endringer i helsepersonelloven § 45 annet ledd kan foretaket ikke stille seg bak KITHs forslag. Foretaket foreslår at det i annet ledd bare blir gjort en endring sammenlignet med departementets forslag, og det er at ordet «tilgang» blir endret til «journalopplysninger».

Nasjonalt senter for telemedisin (NST) stiller spørsmål ved bruken av uttrykket «gis tilgang» i høringsforslaget. NST sier det kan stilles spørsmål ved om begrepet, slik det er brukt i forslaget, kan misforstås dit hen at det er snakk om tilgang til de elektroniske pasientjournalsystemene. NST stiller også spørsmål ved om utlevering/tilgang til pasientopplysninger bare bør håndteres av den databehandlingsansvarlige eller, dersom ansvaret skal legges til flere, om «journalansvarlig» også bør inkluderes. NST foreslår også at uttrykket «helseopplysninger» byttes ut med «journalopplysninger». Enn videre foreslår NST at begrepene presumert samtykke og reservasjonsrett klargjøres. NST viser til at deling av informasjon i henhold til helsepersonelloven §§ 25 og 45 forutsetter presumert samtykke fra pasienten, og viser til at høringsnotatet bruker begrepet reservasjonsrett. NST sier de er usikre på om dette skiller seg fra presumert samtykke og i så fall på hvilken måte.

Datatilsynets høringsuttalelse synes å gå imot høringsnotatets forståelse av helsepersonelloven § 45 og forslaget til endringer, selv om det ikke uttrykkes eksplisitt. Datatilsynet uttaler:

«Dersom mottaker skal vurdere hvilke konkrete opplysninger som er nødvendige og relevante i den enkelte journal, må han nødvendigvis gis tilgang til hele journalen. Faren er stor for at han derved får tilgang til opplysninger som ikke er nødvendig og relevante. For at helsepersonell i realiteten skal bevare taushet om forhold som ikke er nødvendig og relevante for mottaker, må den taushetspliktige selv foreta vurderingen.»

Datatilsynet bemerker videre at departementet synes å legge til grunn en annen forståelse av taushetspliktens innhold.

Helsedirektoratet viser til at slik bestemmelsen er formulert, vil det fortsatt være nødvendig å gjøre en forhåndsvurdering av hva som er nødvendige og relevante opplysninger, i tillegg til en vurdering av i hvilken grad det er nødvendig å utlevere disse opplysningene.

Helsedirektoratet uttaler at dersom ordlyden i forslaget til ny § 45 skal følges, blir i hovedsak forskjellen i forhold til gjeldende bestemmelse at det kan gis direkte tilgang etter en relevansvurdering fra den som har helseopplysningene i sin besittelse. Hvis det ikke har vært tilsiktet at en slik forhåndsvurdering skal gjøres, er ordvalget etter direktoratets mening ikke treffende. Helsedirektoratet mener at

«[h]elsepersonelloven § 45 bør endres slik at man åpner for direkte tilgang på tvers av virksomheter til helseopplysninger som er nærmere definert og strukturert i forskrift etter helseregisterloven § 13. For andre opplysninger ut over disse må det framgå at disse må utleveres etter en relevansvurdering hos avgiver av opplysningene.»

Legeforeningen uttaler at departementet, dersom forslaget opprettholdes, av hensyn til konsistens i loven også bør se på helsepersonelloven § 25. Legeforeningen viser til at både § 25 og § 45 angir at opplysningene skal gis til samarbeidende eller annet helsepersonell.

6.4 Departementets vurderinger og forslag

Departementet vil innledningsvis understreke viktigheten av at taushetsplikten etterleves. Pasienten skal føle seg trygg på at de opplysninger som gis i forbindelse med at det gis helsehjelp til pasienten ikke nyttes i andre sammenhenger, uten klar lovhjemmel. Taushetspliktbestemmelsene skal hindre at pasienter unnlater å oppsøke helsetjenesten ved behov for helsehjelp av frykt for at opplysninger om dem skal bli kjent av uvedkommende. En pasient skal kunne føle seg trygg på at utveksling av taushetsbelagt informasjon mellom helsepersonell kun skjer når det er nødvendig for behandling og oppfølging av pasienten, eller hvor det foreligger annet rettslig grunnlag for å gi slik informasjon.

Helsepersonelloven § 25 og § 45 åpner for utveksling av helseopplysninger når dette er nødvendig for å kunne gi forsvarlig helsehjelp, jf. § 25, eller når dette er nødvendig for kunne gi helsehjelp på forsvarlige måte, jf. § 45. Sist nevnte bestemmelse synes uklar og har gitt opphav til ulike tolkninger. Departementet foreslår på denne bakgrunn mindre endringer i ordlyden på bestemmelsen, og vil på bakgrunn av høringsuttalelsene også redegjøre nærmere for departementets forståelse av bestemmelsen.

På bakgrunn av høringsuttalelsen fra Helsedirektoratet vil departementet først knytte noen kommentarer til spørsmålet om forhåndsvurdering av opplysningene det skal gis tilgang til. Departementet mener at et krav om vurdering/forhåndvurdering av opplysningene i journalen – det vil si at opplysningene må vurderes før andre kan gis tilgang til dem – er en naturlig følge av taushetsplikten og pasientens rett til konfidensialitet. Forholdet mellom en pasient og en lege, sykepleier eller annet helsepersonell må bygge på tillit, og pasienten må følge seg trygg på at personlige opplysninger og betroelser forblir fortrolige. Det vises til departementets vurderinger i kapittel 7.

Departementet antar at det er mest hensiktsmessig at denne vurderingen/forhåndvurderingen ved bruk av elektroniske systemer gjøres ved registrering av opplysningene. Det er fordi opplysninger som det kan gis tilgang til i en elektronisk pasientjournal, versus opplysninger som det ikke kan gis tilgang til, må ha en «grense» mellom seg. I praksis vil denne grensen innebære at de opplysninger som antas å være nødvendige for helsehjelp til pasienten må være avgrenset og strukturert på en bestemt måte. Dersom opplysningene ikke blir avgrenset og strukturert ved selve registreringen, må det gjøres senere – og senest før det gis elektronisk tilgang til opplysningene. Det skal som hovedregel ikke gis elektronisk tilgang til opplysninger som pasienten motsetter seg at det gis tilgang til eller utleveres til andre, uten etter samtykke, samt opplysninger som etter en vurdering ikke anses nødvendig for å kunne gi helsehjelp på en forsvarlig måte. Departementet mener at en slik vurdering bør gjøres av det helsepersonell som registrerer opplysningene. Dersom vedkommende helsepersonell ikke har gjort en vurdering som nevnt, må den databehandlingsvarlige bestemme hvem som skal gjøre vurderingen. Departementet antar at det vil være mest hensiktsmessig å legge en slik oppgave til journalansvarlig, jf. helsepersonelloven § 39 annet ledd.

Der det er gjort en forhåndsvurdering som nevnt ovenfor, vil det i utgangspunktet ikke være nødvendig å gjøre en ny vurdering, i en aktuell behandlingssituasjon. I en aktuell pasientbehandlingssituasjon, er det vedkommende lege/helsepersonell som har til oppgave å tilby helsehjelp til pasienten, som må kunne vurdere om det er nødvendig å få tilgang til journalopplysninger om pasienten, blant annet fordi det er dette helsepersonellet som i situasjonen er ansvarlig for at helsehjelpen er faglig forsvarlig. Departementet antar at det, ved intern tilgang til opplysninger i pasientjournalen eller et annet behandlingsrettet helseregister, er slik helsepersonelloven § 45 praktiseres i dag. I de tilfeller to databehandlingsansvarlige har avtalt at det innen nærmere bestemte rammer kan gis tilgang på tvers av virksomhetene, bør de samme regler gjelde. På denne bakgrunn mener departementet at det ikke er nødvendig å endre de materielle vilkår for når journalen eller opplysninger i den skal gis til andre som yter helsehjelp til pasienten.

Departementet er noe usikker på hva Legeforeningen sikter til når den oppfordrer departementet til å se på helsepersonelloven § 25 av hensyn til konsistent språkbruk, dersom endringsforslaget opprettholdes. Når det gjelder vilkåret for kommunikasjon/utveksling av opplysninger kan departementet vanskelig se at det skal være noen realitetsforskjeller i hva som ligger i «når det er nødvendig for å gi forsvarlig helsehjelp» sammenlignet med «når det er nødvendig for å gi helsehjelp på forsvarlig måte». Så langt departementet er kjent med har denne forskjellen i språkbruk ikke skapt uklarhet med hensyn til forståelsen.

Både helsepersonelloven § 25 og § 45 bruker uttrykket «med mindre pasienten motsetter seg det». Departementet brukte ordet reservasjonsrett i høringsnotatet ensbetydende med «rett til å motsette seg», jf. den ovenfor nevnte høringsuttalelsen til NST. Det som etter departementets vurdering er viktig å understreke, er at pasientens rett til «å motsette seg» er en reell rett, og det innebærer at pasienten må ha kunnskap/viten om denne retten. I den forbindelse vil departementet vise til at pasienten har en rett på informasjon, jf. informasjonsplikten til den databehandlingsansvarlige i blant annet helseregisterloven § 23 nr. 3 og informasjonsplikten til helsepersonell i pasientrettighetsloven § 3–6 tredje ledd.

På bakgrunn av høringsuttalelsene har departementet også vurdert om høringsforslagets bruk av begrepet «helseopplysninger» bør endres til «opplysninger i journalen». Et moment som kan tilsi at en bruker begrepet «opplysninger i journalen» er at dette er et innarbeidet begrep og at det derfor kan være mer tilgjengelig for helsepersonell. Et argument for å bruke begrepet «helseopplysninger» er at dette er et vel definert begrep i helseregister­loven. Det vises også til taushetspliktsbestemmelsen i helsepersonelloven § 21. Departementet antar at alle taushetsbelagte opplysninger som det kan være aktuelt å kommunisere til annet helsepersonell med grunnlag i helsepersonelloven § 45 vil være omfattet av definisjonen av helseopplysninger. Det følger av at vilkåret for å kunne gi opplysningene til annet helsepersonell er at «dette er nødvendig for å kunne gi helsehjelp på forsvarlig måte». Det vises til at begrepet helseopplysninger i helseregisterloven § 2 nr. 1 er definert som:

«Taushetsbelagte opplysninger i henhold til helsepersonelloven § 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson.»

Departementet legger for øvrig til grunn at begrepet «helseopplysninger» kan være videre enn begrepet «journalopplysninger», og at alle opplysninger som skal registreres i journal om en pasient, jf. helsepersonelloven §§ 39 og 40, vil være helseopplysninger. Dersom opplysningene ikke kan anses å være helseopplysninger, vil det heller ikke være grunnlag i helsepersonelloven for å registrere dem. Departementet har under tvil kommet til at ordlyden i høringsforslaget bør opprettholdes. På bakgrunn av høringsuttalelsen fra KITH om at overføring kun er en måte å foreta utlevering på, vil departementet foreslå at ordet overføring tas ut av overskriften.

På bakgrunn av høringsuttalelsene fra blant annet KITH og NST vedrørende uttrykket «gis tilgang til», foreslår departementet å justere noe på ordlyden i forhold til høringsforslaget. Følgende ordlyd foreslås etter dette inntatt som § 45 første ledd (endringene er inntatt i kursiv):

«Med mindre pasienten motsetter seg det, skal helsepersonell som skal yte eller yter helsehjelp til pasient etter denne lov, gis nødvendige og relevante helseopplysninger i den grad dette er nødvendig for å kunne gi helsehjelp til pasienten på forsvarlig måte. Det skal fremgå av journalen at annet helsepersonell er gitt helseopplysninger etter første punktum.»

Departementet foreslår at det i merknadene til bestemmelsen presiseres at helseopplysninger som nevnt kan gis som utlevering av kopi eller som tilgang til helseopplysningene i pasientens journal eller annet behandlingsrettet helseregister.

På bakgrunn av høringsuttalelsene foreslår departementet at ordet «tilgang» innledningsvis i høringsforslaget til nytt annet ledd endres til «helseopplysninger». Departementet foreslår for øvrig at høringsforslaget til annet ledd opprettholdes som foreslått. Departementet vil presisere at den databehandlingsansvarliges plikt er et «sørge for-ansvar», og at det er denne som bestemmer hvem det er i virksomheten som bør håndtere forespørsler om utlevering eller tilgang. Departementet antar at det kan være praktisk å legge denne oppgaven til journalansvarlig, jf. 39 annet ledd, men departementet mener at dette ikke bør lovfestes, og på den måten begrense den databehandlings­ansvarliges interne organisasjonsmulighet.

7 Tilgang til virksomhetsinterne behandlingsrettede helseregistre på tvers av virksomhetsgrenser – endring i helseregisterloven § 13

7.1 Innledning

Dette kapittel omhandler tilgang til helseopplysninger i virksomhetsinterne behandlingsrettede helseregistre på tvers av virksomhetsgrenser. Punkt 7.2 omtaler gjeldende rett på området, punkt 7.3 redegjør for forslaget i høringsnotatet, punkt 7.4 redegjør for høringsinstansenes syn og departementets forslag følger under punkt 7.5.

Forslaget til forskrift om informasjonssikkerhet og tilgang til helseopplysninger i behandlingsrettede helseregistre ble inntatt i samme høringsnotat som lovendringsforslaget, jf. punkt 2.3. Som det fremgår av punkt 7.3 innebærer herværende lovendringsforslag kun en hjemmel til å gi nærmere regler om informasjonssikkerhet i forskrift, innenfor lovens rammer.

Høringsinstansenes merknader til forskriftsforslaget kan kaste lys over deres standpunkt til lovendringsforslaget. For å synliggjøre og klargjøre lovforslaget bedre, omtales derfor forskriftsforslaget, høringsinstansenes syn på forskriftsforslaget og departementets vurderinger der dette anses nødvendig for sammenhengen.

7.2 Gjeldende rett

Helsepersonellovens hovedregel om taushetsplikt følger av § 21 hvor det heter:

«Helsepersonell skal hindre at andre får adgang eller kjennskap til opplysninger om folks legems- eller sykdomsforhold eller andre personlige forhold som de får vite om i egenskap av å være helsepersonell.»

Det følger av bestemmelsens ordlyd at taushetsplikt ikke bare er en plikt til å tie, men også en plikt til å hindre at andre får tilgang til taushetsbelagte opplysninger. Taushetsplikten gjelder også mellom helsepersonell. En forutsetning for å kommunisere taushetsbelagte opplysninger er at det finnes en klar lovhjemmel for det (unntak fra taushetsplikt). Dette følger blant annet av helseregisterloven § 15 som fastslår at enhver som behandler helseopplysninger etter helseregisterloven har taushetsplikt etter både helsepersonelloven og forvaltningsloven. De aktuelle bestemmelsene som gjør unntak fra taushetsplikt i pasientbehandlingsøyemed er helsepersonelloven §§ 25 og 45 (og forvaltningsloven § 13 b).

Helseregisterloven skiller mellom tilgang til helseopplysninger og utlevering av helseopplysninger. Helseregisterloven § 13 setter de ytre rammer for hvem som kan gis tilgang til helseopplysninger. Elektronisk tilgang til helseopplysninger som behandles etter helseregisterloven er begrenset til den som arbeider under den databehandlingsansvarliges eller databehandlers instruksjonsmyndighet. Begrensningen i helseregisterloven § 13 gjelder i tillegg til reglene om taushetsplikt i helsepersonelloven. Bestemmelsen lyder:

«Bare den databehandlingsansvarlige, databehandlere og den som arbeider under den databehandlingsansvarliges eller databehandlers instruksjonsmyndighet, kan gis tilgang til helseopplysninger. Tilgang kan bare gis i den grad dette er nødvendig for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt.»

Helseregisterloven § 13 må ses i sammenheng med helseregisterloven § 16, som pålegger databehandlingsansvarlig og databehandler å sørge for tilstrekkelig sikring av helseopplysninger. Dersom noen utenfor den databehandlingsansvarliges eller databehandlers virksomhet har tilgang til helseopplysninger, har ikke databehandlingsansvarlig eller databehandler oppfylt sine plikter etter helseregisterloven § 16 til å sikre helseopplysninger.

For at tilgang til helseopplysninger skal kunne gis, oppstiller helseregisterloven § 13 i tillegg krav om at tilgang er nødvendig for den enkelte medarbeiders arbeidsoppgaver og i samsvar med gjeldende regler om taushetsplikt.

Skille mellom reglene om tilgang til helseopplysninger og utlevering av helseopplysninger bygger på den tanke at helsepersonell innen virksomheten selv skal kunne hente frem opplysninger fra journalen, mens helsepersonell utenfra først må henvende seg til noen innenfor for å kunne få opplysninger fra journalen.

Det fremgår av forarbeidene til helseregisterloven § 13 at hensikten med bestemmelsen er å sikre konfidensialitet. Det vises til Ot.prp. nr. 5 (1999–2000) side 124 punkt 9.3.4.2:

«Bestemmelsen må ses i lys av bestemmelsene om taushetsplikt, i den forstand at dersom en ikke rettsgyldig kan få utlevert opplysningene fordi bestemmelsene om taushetsplikt setter skranker, så har en heller ikke tilgang til opplysningene.»

7.3 Forslaget i høringsnotatet

I høringsnotatet foreslo departementet et nytt annet ledd i helseregisterloven § 13. Forslaget lød:

«Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om tilgang til helseopplysninger. Forskriften kan for tilgang til helseopplysninger i behandlingsrettede helseregistre gjøre unntak fra bestemmelsen i første ledd første punktum.»

Den foreslåtte lovbestemmelsen gir ikke hjemmel til å gjøre unntak fra reglene om taushetsplikt. Helsepersonellovens (og forvaltningslovens) regler om taushetsplikt vil fortsatt regulere hvilke helseopplysninger det kan gis tilgang til og når tilgang kan gis.

For bedre å sikre økt informasjonssikkerhet ved behandling av helseopplysninger, foreslo departementet samtidig en egen forskrift om informasjonssikkerhet og tilgang til helseopplysninger i behandlingsrettede helseregistre. Forskriften skal i følge forslaget gjelde både ved tilgang til helseopplysninger internt i virksomheter og ved tilgang på tvers av virksomhetsgrenser. Kun ett kapittel i forskriftsforslaget gjelder bare ved tilgang til helseopplysninger på tvers av virksomheter. De øvrige kapitlene i forskriften vil derfor kunne vedtas uavhengig av den lovendring som foreslås i denne proposisjon.

Tilgang til helseopplysninger på tvers av virksomheter kan etter forskriftsforslaget bare skje etter avtale mellom den virksomhet som gir tilgang til opplysningene og den virksomheten som gis tilgang. Avtale som nevnt kan videre bare inngås der formålet er pasientbehandling eller annen type helsehjelp til pasient. Enn videre kan avtale bare inngås dersom gjennomføring av den ikke svekker informasjonssikkerheten ved behandling av helseopplysninger ved noen av virksomhetene. Avtalen kan omfatte lesetilgang og om nødvendig en begrenset skrivetilgang.

7.4 Høringsinstansenes syn

Departementet har mottatt svar fra totalt 67 høringsinstanser.

37 høringsinstanser uttaler at de støtter forslaget eller det fremgår av merknadene deres at de ikke har innvendinger mot lovendringsforslaget. Det er følgende instanser:

Fornyings- og administrasjonsdepartementet, Arbeids- og velferdsdirektoratet (NAV), Nasjonalt folkehelseinstitutt, Helse Midt-Norge RHF, Helse Nord RHF, Helse Vest RHF, Helse Sør-Øst RHF, Haraldsplass Diakonale Sykehus, Direktoratet for forvaltning og IKT (Difi), Universitetet i Bergen, Buskerud fylkeskommune, Troms fylkeskommune, Drammen kommune, Frogn kommune, Leksvik kommune, Oslo kommune, Stavanger kommune, Verdal kommune, Kompetansesenter for IT i helse- og sosialsektoren AS (KITH), IKT-Norge, Landsforeningen for hjerte- og lungesyke, Nasjonalt kompetansesenter for helsetjenestens kommunikasjonsberedskap (KoKom), Nasjonalt senter for telemedisin (NST), Norges Diabetesforbud, Norsk Helsenett AS, Norsk Manuellterapeutforening, Norges Optikerforbund, Norsk Ortopedisk Forening, Norsk Psykologforening, Norsk Sykepleierforbund, Norsk Radiografforbund, Norsk Tannpleierforening, Norges teknisk-naturvitenskapelige universitet (NTNU, Det medisinske fakultetet), Norsk senter for elektronisk pasientjournal (NSEP, NTNU), DIPS ASA, Handels- og servicenæringens hovedorganisasjon (HSH), og Universitets- og høgskolerådet.

Flere av de ovenfor nevnte 37 høringsinstanser fokuserer på viktigheten av å overholde taushetsplikten og at den enkelte pasients personvern blir ivaretatt. Flere fremhever også at adgangen til tilgang på tvers må begrenses, eller bygge på samtykke fra pasienten.

Helsedirektoratet mener at direkte tilgang fra en virksomhet til en pasientjournal i en annen virksomhet må avgrenses slik at eksterne søkere bare kan få frem den spesifikke informasjonen de har tjenstlig behov for. Direktoratet mener det må foreligge en eventuell «forhåndsgodkjenning» av definert og strukturert informasjon som det skal kunne gis tilgang til. Helsedirektoratet uttaler:

«Pasientjournaler som inneholder store mengder løpende tekst vil etter vår mening være helt uegnet for direkte tilgang for helsepersonell i en annen virksomhet. Innen psykiatri, men også innenfor andre fagfelt, er det tradisjon for at samtaler med pasienten nedtegnes i journalen. Slike notater har en karakter som gjør dem uegnet for deling gjennom direkte tilgang. Deler av pasientjournalen hos fastlege eller annen allmennlege får også ofte preg av å beskrive en livssituasjon som kan ha betydning der og da, men som ikke har særlig faglig verdi for annet helsepersonell.»

Kun tre høringsinstanser sier klart at de ikke støtter forslag til lovendring. Det er Bergen kommune, Datatilsynet og Statens helsetilsyn. Videre er Den norske legeforening skeptisk til lovendringsforlaget. Det samme synes Norges Handikapforbund å være, som sier at personvernet utsettes for en ytterligere risiko.

Bergen kommune mener det må utredes om det er teknologisk mulig å sikre opplysningene før helseregisterloven § 13 endres.

Datatilsynet sier de vil advare mot departementets lovforslag som innebærer at virksomhetsgrensene viskes ut. Datatilsynet uttaler:

«Når den enkelte behandlingsinstitusjon ikke makter å sørge for at informasjonskontrollen internt støtter opp om den enkelte ansattes personlige plikt til å bevare taushet overfor sine kolleger, representerer virksomhetens grenser en nødvendig ytre grense for informasjonsflyten.

Denne grensen er etter tilsynets vurdering alt for vid, sett hen til utgangspunktet om at taushetsplikten er en personlig plikt. Det er imidlertid den eneste reelle grensen som eksisterer i dag. Datatilsynet vil derfor advare mot departementets lovforslag, som i realiteten innebærer at også virksomhetsgrensene viskes ut. Man står derfor i fare for en fri flyt av pasientopplysninger, ikke bare blant ansatte i den enkelte virksomhet, men blant de ansatte i hele sektoren som sådan.»

Enn videre uttales:

«Departementet forutsetter at de foreslåtte lovendringene ikke skal medføre en svekkelse av taushetsplikten. Departementet forutsetter således at metoden for informasjonsutveksling ikke får betydning for hvilken informasjon som faktisk blir utvekslet.

Datatilsynet deler ikke departementets oppfatning. Det å gi noen tilgang til pasientjournal skiller seg, etter tilsynets vurdering, vesentlig fra å utlevere journalopplysninger. Det vises til at utlevering muliggjør en vurdering hos utleverende helsepersonell av om vilkårene for å avgi hele eller deler av pasientjournalen er tilstede. Med andre ord å fastslå om pasienten samtykker til utleveringen eller om utleveringen er nødvendig for å gi helsehjelp. Departementets forslag åpner for selvbetjening i den enkelte pasients journal. Dette medfører en svekkelse av taushetsplikten som Datatilsynet sterkt vil fraråde.

Datatilsynet ønsker å bemerke at taushetsplikt for opplysninger som ikke er relevante og nødvendige i teorien kan ivaretas også når man gir tilgang til opplysninger. Det forutsetter imidlertid at man er faktisk i stand til å gi tilgang til de opplysninger som man på forhånd har vurdert å være nødvendig og relevante. De elektroniske pasientjournaler som i dag brukes ved landets helseforetak er imidlertid bygget opp slik at opplysningene ikke er systematiserte, utover at opplysningene føres kronologisk. Selve journalnotatene skrives som fritekst, og det er ikke noe logisk skille mellom ulike sykdoms- eller behandlingsforløp hos en og samme pasient. Tilgang til slike journaler vil derfor lett medføre en utlevering av opplysninger som ikke er relevante og nødvendige, og derfor ikke skulle vært ulevert. Endringer i dagens journalsystemer for å muliggjøre den nødvendige systematiseringen av journalopplysningene er ikke berørt i departementets forslag, og vil etter det tilsynet erfarer medføre betydelige kostnader.»

Statens helsetilsyn påpeker at taushetsplikt blant annet innebærer at man skal sikre opplysningene mot urettmessig innsyn. Pasienten skal kunne oppsøke helsepersonell og helsetjeneste uten risiko for at opplysninger tilflyter andre. Helsetilsynet viser til at etterfølgende kontroll og benyttede tilgangsrettigheter ikke innebærer at opplysningene er sikret mot urettmessig innsyn og at taushetsplikten ivaretas.

Etter Helsetilsynets mening er det både prinsipielt og i praksis vesentlig forskjell mellom det å gi andre virksomheter tilgangsrettigheter til virksomhetens elektroniske pasientjournal og utlevering av opplysninger om en konkret pasient etter forespørsel.

Helsetilsynet uttaler at de er enig i behovet for en nærmere regulering av behandlingsrettede helseregistre. Tilsynet stiller imidlertid spørsmål ved om det foreliggende forslag stiller krav om mer avanserte løsninger enn det som kan forventes utviklet, tatt i bruk og forvaltet i dagens situasjon og i tiden fremover.

Helsetilsynet trekker også frem regulering av ansvar og plikter. Tilsynet uttaler:

«Prinsipielt bør man ikke pålegges ansvar for en oppgave hvis man ikke kan styre ivaretakelsen av den. Ansvar for en oppgave og styringen av den bør tilordnes og være på samme hånd.»

Den norske legeforening (Legeforeningen) uttaler at de er enig i formålet, men tilføyer at foreningen til dels har sterke innvendinger til utformingen av flere av forslagene, som de mener går unødig langt i å svekke personvernet. Legeforeningen mener at informasjon skal gis i det omfang det er nødvendig for behandling og oppfølging. Foreningen uttaler:

«I jo større grad det åpnes for direkte tilgang til opplysninger uten kontroll fra den som har nedtegnet opplysningene, i desto større grad utvannes taushetsplikten.»

Legeforeningen etterlyser også en redegjørelse for hvor stort behovet for tilgang på tvers faktisk er:

«Dette særlig sett i lys av et stort ubrukt potensial for bedret meldingsutveksling og utvikling av systemer hvor de nødvendige opplysninger følger pasienten i behandlingskjeden.»

Videre uttales:

«Legeforeningen stiller seg for øvrig noe undrende til den valgte løsning, og etterlyser en nærmere begrunnelse. Dersom det er slik at det foreligger et sterkt behov for å kunne få tilgang til behandlingsrettede helseregistre på tvers av virksomheter, antar vi dette oppnås på en mer effektiv og ikke minst sikrere måte ved hjemmel i lov eller forskrift. Slik man nå har regulert det, vil det ikke være det helsefaglige behovet som avgjør om tilgang skal gis, men om de to virksomheter har oppnådd enighet om en avtale.»

Fornyings- og administrasjonsdepartementet (FAD) viser til at tilgang fortsatt bare vil kunne gis når tilgang er «nødvendig for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt», jf. helseregisterloven § 13 første ledd annet punktum. Videre viser FAD til at pasienten fortsatt vil kunne reservere seg mot at opplysninger utveksles. På denne bakgrunn uttaler FAD at de ikke har innvendinger til forslaget, men vil understreke betydningen av at det sikres klare ansvarsforhold og at det treffes tiltak for å avverge personvernulemper ved at flere får tilgang til opplysningene.

Helse Vest RHF v/ Helse Stavanger påpeker at det er viktig at en er edruelig i å vurdere det reelle behovet for informasjonsutveksling, og at pasienten sitt samtykke til informasjonsdelingen må understrekes.

Norsk senter for elektronisk pasientjournal (NSEP) uttaler:

«Tilgang på tvers er mest aktuelt for situasjoner med planlagte tjenester og der virksomheter og helsepersonell samarbeider tett om pasienter på en slik måte at kommunikasjon med for eksempel henvisning og epikrise ikke strekker til. Mest aktuelt er tilgang på tvers ved funksjonsfordeling mellom sykehus og samarbeid om pasienter med store og kompliserte behov i pleie- og omsorgstjenesten, for eksempel palliativ behandling hjemme. Erfaring med tilgang på tvers er at det blir lite brukt i akuttsituasjoner.

Dette gjør at kravene som skal settes for tilgang bør og kan gjøres forskjellig for disse to løsningene. Det gjør man også i høringsutkastet. Det blir foreslått at det skal foreligge en avtale mellom virksomheter som ønsker å kunne opprette tilgang på tvers. Vi mener at en slik avtale ikke bare skal omhandle de sikkerhetsmessige forholdene, men også være spesifisert i forhold til hvilke formål dette skal gjelde, som for eksempel som et ledd i en avtalt planlagt arbeidsfordeling i et standardisert pasientforløp (behandlingslinje). Vi mener det ikke vil være praktisk gjennomførbart å knytte avtalen til navngitt helsepersonell og roller og ikke ser vi noen gevinst i det. Det som er viktig er at når tilgang opprettes skal det være for navngitt pasient, og avgrenset til dennes journal, og det skal være gitt eksplisitt samtykke.»

Norsk Psykologforening ser grunn til bekymring for personvernet til pasientene innen psykisk helse. Foreningen mener at direkte tilgang bør begrenses til helsepersonell som gjør kliniske vurderinger og treffer avgjørelse om hvilken helsehjelp som skal gis. I praksis vil dette gjelde leger, tannleger og psykologer. Foreningen sier at antall helsepersonell som gis tilgang til andre helseforetaks pasientjournaler med dette blir begrenset og personvernet til pasienten blir bedre. Videre uttales:

«I høringsnotatet forholder man seg til informasjon som om denne er allment gyldig og stabil over tid. Dette kan være relevant i forhold til noen somatiske helseindikatorer, men når det gjelder informasjon om symptomer, vurderinger og tiltak innen området psykisk helse og metoder for utredning og behandling der, er dette svært komplekst. Informasjon og psykisk helsevern innen psykiske helsetjenester, er i langt større grad enn i de øvrige helsetjenestene preget av at informasjon, vurderinger og rapportert behandling er relasjonell- og er en tids- og kontekstavhengig «ferskvare».

På den ene siden ser en at for de pasienter som har tunge psykiske lidelser så vil samarbeid mellom helse- og andre tjenester være avgjørende. På den andre siden bidrar stigma og komplekse sosiale/relasjonelle prosesser til at informasjon, vurdering og relasjoner står i sterk dynamisk interaksjon og gjør at informasjon ikke alltid enkelt kan videreføres og være relevant. Når dette er sagt vil vi fra Norsk Psykologforening understreke at forslagene til lov og forskrift er gode, men det er behov for ytterligere bearbeidelse og presiseringer, for eksempel i form av retningslinjer eller veileder, for hvordan virksomhetsovergripende tilgang skal fungere på området psykisk helsevern.»

Nasjonalt senter for telemedisin (NST) er enig i at det ikke skal stilles krav om samtykke fra pasienten for å kunne tillate tilgang til helseopplysninger på tvers av virksomheter, men legger til at det må være en forutsetning at personvernet er ivaretatt. NST minner om at pasienten fortsatt kan motsette seg at opplysninger om dem formidles til andre og sier at i så fall kan verken utlevering eller tilgjengeliggjøring «på tvers» finne sted. NST har også noen kommentarer til menneskerettighetene og kravene til tilgangskontroll:

«Den finske dommen det refereres til i høringsnotatet, s 13, indikerer at det stilles strenge krav til tilgangskontroll internt i en virksomhet. Spørsmålet er om disse (strenge) kravene er eller bør være de samme, uavhengig av om en person er ansatt i eller utenfor en virksomhet. Dersom det er et grunnleggende prinsipp at ingen skal ha mulighet til å skaffe seg tilgang til mer opplysninger om pasienten enn det som er relevant og nødvendig for pasientbehandlingen, vil dette gjelde uavhengig av hvor vedkommende er ansatt.»

Helse Midt-Norge RHF oppfatter forslagene til endring som viktige for å løse vel kjente problemstillinger med tilgang til opplysninger. Foretaket mener at lovmessige endringer tilsvarende høringsforslaget vil gi muligheter som dagens lovgivning ikke har. Foretaket ser at de praktiske sidene fortsatt ikke er løst, men mener at lovendringene vil gi åpning for utvikling av nye løsninger. Foretaket uttaler:

«Det faktum at registrene i dag er digitale gir muligheter for styring av personvern og tilgjengelighet, selv om vi i dag ikke kjenner løsningene. Samtidig vil vi ikke undervurdere omfanget av det teknisk-praktiske arbeidet med kvalitativ god tilgangsstyring.

Med de forslag til lovendring som foreligger vil formålet med utveksling av data i større utstrekning være styrende for hvordan lovendringen praktiseres. Tjenestene må i større utstrekning være bevisst hvilke typer opplysninger som kreves utvekslet for å gi god behandling på de ulike fagfelt. For akutt-tjenester og sammensatte tjenester vil kravet være annerledes enn for elektive og prosessuelt enklere forløp. Helse Midt Norge ser klart at det vil være ressurskrevende å «styre» mange ulike behov, men kan allikevel ikke være negativ til løsninger som er med på å styrke pasientbehandlingen for den enkelte pasient og pasientgruppe. Departementet sier i notatet at det vil være behov for å følge opp en rekke forhold knyttet til lovendringen. Vi ser klart et behov for dette.»

Særlige merknader til forskriftsforslaget

Fem høringsuttalelser uttaler eksplisitt at de støtter forskriftsforslaget eller sier at forslaget synes å oppfylle forskriftens intensjoner. Det er Helse Nord RHF , herunder Universitetssykehuset Nord-Norge (UNN). Videre er det Troms fylkeskommune, Buskerud fylkeskommune. Direktoratet for forvaltning og IKT (Difi) og Nasjonalt kompetansesenter for helsetjenestens kommunikasjonsberedskap (KoKom).

Ytterligere 17 høringsinstanser har synspunkter som kan knyttes til forskriftsforslaget. Det er Datatilsynet, Statens helsetilsyn, Helsedirektoratet, Helse Vest RHF, herunder Stavanger universitetssjukehus HF, Helse Bergen HF, Helse Førde HF, Helse Fonna HF og Apotekene Vest, Helse Sør-Øst RHF, herunder Oslo universitetssykehus HF, Oslo kommune, Kompetansesenter for IT i helse- og sosialsektoren AS (KITH), Norsk Helsenett AS, Norges teknisk-naturvitenskapelige universitet (NTNU, Det medisinske fakultetet), Nasjonalt senter for telemedisin, Den norske legeforening, Norsk Psykologforening, Norsk Radiografforbund, DIPS ASA, Norsk Sykepleierforbund, Landsforeningen for hjerte- og lungesyke og Norsk senter for elektronisk pasientjournal (NSEP, NTNU).

Høringsinstansene har ulike synspunkter om hvor detaljert en forskrift om informasjonssikkerhet bør være.

Datatilsynet uttaler at de i utgangspunktet er positive til en forskriftsfesting av de nærmere kravene til informasjonssikkerhet i forbindelse med samhandling ved pasientbehandling. Tilsynet beklager derfor at de ikke har funnet noe som tyder på at forskriften i nevneverdig grad stiller andre eller strengere krav til informasjonssikkerheten i helseforetakene enn det som allerede følger av gjeldende rett.

Helse Vest RHF sier de er kritiske til detaljnivået i merknadene til forskriften. Også Helse Sør-Øst RHF mener forskriften er for detaljert. Helse Midt-Norge RHF sier at de oppfatter forskriften som en innstramming.

Helsedirektoratet stiller spørsmål om avtaleinstituttet er egnet til å regulere forhold som i stor grad er rettslig regulert og som berører en tredjepart, nemlig pasient som ikke vil være part i avtalen. Direktoratet mener at andre alternativer enn avtaleinstituttet bør tas i bruk eller at det i lov fastsettes rammer for slike avtaler.

Nasjonalt senter for telemedisin mener at avtalebasert tilgang kan fylle et behov. Norsk senter for elektronisk pasientjournal og Kompetansesenteret for IT i helse- og sosialsektoren AS (KITH) synes også å støtte avtaleinstituttet og kommer med nærmere synspunkter på hvordan disse avtalene bør utformes.

Helsetilsynet mener at tiden ikke er moden for et regelverk som åpner for tilgang på tvers mellom virksomheter, og at forslaget etter deres vurdering vil svekke taushetsplikten.

Legeforeningen uttaler at departementet har søkt å gjøre forslaget teknologinøytralt, og dermed lagt reguleringen på et overordnet nivå. Legeforeningen mener imidlertid at en forskrift som nevnt verken kan eller bør være teknologinøytral.

7.5 Departementets vurderinger og forslag

Behandlingsrettede helseregistre, herunder pasientjournaler, som etableres med grunnlag i helsepersonells journalføringsplikt, jf. helsepersonelloven §§ 39 og 40, er av grunnleggende betydning for helsepersonells mulighet til å gi pasienten faglig forsvarlig og nødvendig helsehjelp. Tilgang til nødvendige, oppdaterte og korrekte pasientdata fra disse registrene, kan være av avgjørende betydning for at pasienten skal kunne tilbys forsvarlig helsehjelp.

Utgangspunktet er at alle opplysninger som nedtegnes eller registreres i en journal, eller behandlingsrettet helseregister, om en pasient er underlagt reglene om taushetsplikt i helsepersonelloven. Taushetsplikten skal verne individets personlige forhold og private sfære. Taushetsplikten utgjør et sentralt element av personvernet. Det er viktig for helsetjenesten at individet/pasienten har tillit til at taushetsplikten ivaretas. Manglende tillit i kontakten mellom pasient og helsetjenesten kan føre til at pasienten holder tilbake opplysninger av vital betydning for vurdering av hans eller hennes helsetilstand og hvilken behandling som skal tilbys.

Det er et overordnet prinsipp at bare den som har behov for opplysninger i behandlings- eller pleieøyemed skal ha tilgang til journalopplysninger. Journalen skal således ikke være tilgjengelig for alle som arbeider innen en virksomhet, en behandlingsenhet eller for enhver som har nedtegnet opplysninger i journalen. Tilgjengligheten skal vurderes ut fra det behovet den enkelte profesjonsutøver har for opplysninger for å kunne gi pasienten faglig forsvarlig helsehjelp. Foreliggende lovforslag legger til grunn at dette prinsippet gjelder, og fortsatt skal gjelde, ved all kommunikasjon av helseopplysninger. Det gjelder også for kommunikasjon mellom helsepersonell.

Utviklingen innen helsetjenesten og funksjonsfordeling og samhandling mellom ulike virksomheter og tjenester har medført et økende behov for kommunikasjon av taushetsbelagte opplysninger på tvers av virksomheter. Tilgang til journalopplysninger på tvers av tjenestenivåer vil i enkelte tilfeller være helt nødvendig for å kunne gi pasienten forsvarlig helsehjelp.

Dette kommunikasjonsbehovet mellom helsepersonell er det tatt høyde for i helsepersonelloven §§ 25 og 45. Etter helsepersonelloven § 45 vil for eksempel en kirurg ved et sykehus/helseforetak på forespørsel kunne få oversendt en kopi av en journal fra en medisiner ved et annet sykehus/helseforetak, så fremt dette er nødvendig for å yte forsvarlig helsehjelp til pasienten, og pasienten ikke motsetter seg det. Helsepersonelloven § 45 åpner også for at legen kan få opplysninger fra journalen ved elektronisk tilgang til opplysningene, dersom dette er teknisk mulig og kravene til informasjonssikkerhet blir ivaretatt. Ved samarbeid mellom helsepersonell om behandlingen av en pasient, vil helsepersonelloven § 25 gi hjemmelsgrunnlag for kommunikasjon mellom helsepersonell.

Helseregisterloven § 13 – slik den i dag lyder – stenger imidlertid for dette – i alle situasjoner, også der det er formålstjenelig og kan gjøres uten at det går på bekostning av informasjonssikkerheten. Grunnen til dette er at kirurgen ikke står under den databehandlingsansvarliges (eller databehandlers) instruksjonsmyndighet og kirurgen kan således ikke gis tilgang til journalen der den befinner seg i den andre virksomhetens elektroniske pasientjournalsystem. Kirurgens mulighet til å gjøre seg kjent med de nødvendige og relevante journalopplysningene etter gjeldende rett er gjennom utlevering av opplysningene, som elektronisk forsendelse eller meldingsutveksling eller som papirutskrift eller papirkopi.

Ut fra et personvernsynspunkt er det ikke nødvendigvis bedre å utlevere en kopi av journalen/journalnotat enn å gi den aktuelle legen tilgang til journalen/journalnotatet der det ligger.

Mulighetene for kontroll med hvem som får lese journalen/journalnotatet er større når det gis tilgang til opplysningene enn ved utlevering. Følgende eksempel kan vise dette: kirurgen som er nevnt i eksemplet ovenfor registreres først som «ekstern bruker» hos den virksomhet som fører journalen. Virksomheten har da kontroll med dette. Kirurgen vil først bli registrert etter at det er klarlagt at legen har en rolle (i den virksomhet hvor legen er ansatt) som tilsier at tilgang til enkelte pasienters journaler vil være nødvendig for at legen skal kunne yte forsvarlig helsehjelp. Dette forutsetter et samarbeid mellom den virksomhet legen tilhører og den virksomhet hvor legen gis tilgang til journaler.

Dersom en lege gis tilgang til opplysninger i en journal ført hos en annen virksomhet, skapes det ingen kopi av opplysningene i den virksomhet legen tilhører, utover det legen velger å dokumentere i egen journal som sitt beslutningsgrunnlag. Dette innebærer at ingen andre i denne virksomheten vil kunne få tilgang til opplysningene, og det er heller ingen fare for at opplysningene spres videre. Blir derimot de samme journalopplysningene utlevert elektronisk, vil opplysningene i de fleste tilfeller bli lagret som en helhet i journalsystemet hos mottakeren. En slik lagring i mottakerens journalsystem innebærer at opplysningene vil kunne bli tilgjengelige for andre enn den legen som ba om å få opplysningene utlevert. Det tør være allment akseptert at risikoen for at opplysninger kommer på avveie, øker med antall kopier som finnes. Dette gjelder både opplysninger på papir og i elektronisk form. Dersom den legen som har behov for opplysningene gis tilgang til opplysningene der de ligger, vil behovet for dobbeltlagring minske. Sett fra et personvernsperspektiv synes dette å være en fordel.

Det følger både av helsepersonelloven § 25 og § 45 at taushetsbelagte opplysninger bare kan kommuniseres når det er nødvendig for å kunne gi forsvarlig helsehjelp. Det gjelder så vel kommunikasjon internt i virksomheten, som mellom virksomheter. For å kunne oppfylle dette kravet må det være en forutsetning at det elektroniske systemet som brukes har funksjoner som kan avgrense den aktuelle informasjonen som skal gis. Virksomheter som ikke har slike funksjoner som kan avgrense informasjon/dokumenter, kan ikke kommunisere med eksterne virksomheter ved hjelp av tilgangsstyring. I slike tilfeller må kommunikasjon etter departementets vurdering skje ved utlevering/meldingsutveksling.

Etter departementets oppfatning bør ikke all samhandling mellom ulike nivåer i helsetjenesten skje ved direkte tilgang til opplysninger på tvers av virksomhetsgrenser. Elektronisk meldingsutveksling er, og vil fortsatt være, en viktig samhandlingsform og i mange tilfeller den mest hensiktsmessige. Kommunikasjon av epikriser og henvisninger vil, slik departementet ser det, fortsatt skje i form av meldingsutveksling.

Det er departementets vurdering at helseregisterloven § 13, med sitt absolutte forbud mot tilgang til helseopplysninger på tvers av virksomheter, ikke har tatt høyde for utviklingen som har skjedd innen elektronisk kommunikasjon og ulike metoder for sikker informasjonsdeling- og utveksling. Departementet viser til beskrivelse av gjeldende rett ovenfor, der det fremgår at hensynet bak helseregisterloven § 13 er å sikre taushetsplikten. Det at departementet nå foreslår å åpne for å kunne gjøre unntak fra det absolutte forbudet i helseregisterloven § 13 i forskrift, innebærer ikke at departementet mener at overholdelse av taushetsplikten ikke er viktig. Departementet mener at de teknologiske muligheter i dag innebærer at taushetsplikten kan ivaretas også når det åpnes for tilgang til helseopplysninger på tvers av virksomheter. Det absolutte forbudet i helseregisterloven § 13 er etter departementets vurdering ikke hensiktsmessig lenger, fordi det ikke er nødvendig for overholdelse av taushetsplikten, og det vanskeliggjør nødvendig samarbeid og samhandling mellom virksomheter som samarbeider om helsehjelp til pasienter.

Begrepet virksomhet, jf. ovenfor, tilsvarer juridiske enheter i helsetjenesten. Eksempler på slike juridiske enheter er kommuner, helseforetak og i mange tilfeller fastleger.

Departementet har vurdert Helsedirektoratets forslag om at den foreslåtte forskriftshjemmelen i helseregisterloven § 13 annet ledd bør begrenses, slik at det fremgår av ordlyden at tilgang bare kan gis til spesifikk og avgrenset informasjon om pasienten. Helsedirektoratet begrunner forslaget med at det bør foreligge en eventuell «forhåndsvurdering» av definert og strukturert informasjon som det skal kunne gis tilgang til. Departementet er enig med direktoratet i at det må skje en form for forhåndsvurdering av den informasjonen som det kan gis tilgang til. Et krav om forhåndsvurdering kan, slik departementet ser det, sies å følge indirekte av at det bare kan kommuniseres opplysninger når dette er nødvendig for å kunne gi pasienten forsvarlig helsehjelp. Ved elektronisk kommunikasjon av opplysninger på tvers av virksomheter må dette innebære at journalen må være strukturert. Etter departementets vurdering følger således kravet til struktur av at man bare kan gi tilgang til de opplysninger som er nødvendig for å kunne gi forsvarlig helsehjelp til pasienten.

Departementet har likevel kommet til at det ikke bør foreslås en slik begrensing i lovteksten. Begrunnelsen for det er at det følger av taushetsplikten at det bare kan gis tilgang til nødvendige og relevante opplysninger av betydning for helsehjelpen, samt at det ikke skal gis tilgang til opplysninger som pasienten har motsatt seg at skal deles. Departementet mener at en begrensing i ordlyden, jf. Helsedirektoratets forslag, vil kunne tolkes som en ytterligere begrensning av hva det kan gis tilgang til. Departementet er enig med direktoratet i at løpende prosatekst som for eksempel beskriver en helt personlig samtale med pasienten ikke egner seg for direkte tilgang. Dette gjelder for øvrig like mye internt mellom ulike avdelinger på et sykehus, som mellom ulike sykehus og helseforetak. Ulike virksomheter har kommet ulikt langt når det gjelder muligheter til å avgrense og strukturere informasjon i journalen. Departementet vil derfor vurdere om det, i det kapitlet i forskriften som eventuelt skal regulere tilgang til helseopplysninger på tvers av virksomheter, bør inntas et krav om at det bare kan gis tilgang til nærmere definerte og strukturerte helseopplysninger.

Det fremgår av Datatilsynets uttalelse at de mener at den eneste reelle grense som eksisterer i dag, er virksomhetens grense. Departementet deler ikke denne oppfatning. Den teknologiske utvikling har nådd et punkt hvor like stor sikkerhet kan oppnås ved tilgang i eksterne systemer som ved tilgang i egen virksomhets pasientjournalsystem. Departementet mener derfor det kan åpnes for en begrenset tilgang til helseopplysninger på tvers av virksomheter – forutsatt at journalene har den kvalitet og struktur som kan sikre at det bare gis tilgang til en spesifikk bestemt og avgrenset mengde opplysninger/informasjon.

Pasientens vern mot at uvedkommende får tilgang til taushetsbelagte opplysninger om vedkommende må være like sterk uavhengig av virksomhetsgrenser. Taushetsplikten innebærer at pasienten har et rettslig vern til konfidensialitet uavhengig av organisatoriske grenser. Det kan anskueliggjøres ved et eksempel: Rikshospitalet, Aker universitetssykehus og Ullevål universitetssykehus ble fra 1. januar 2009 omorganisert til Oslo universitetssykehus HF. Denne omorganiseringen medførte at det innenfor rammene i helseregisterloven § 13 kan gis tilgang til relevante og nødvendige opplysninger i pasientbehandlingsøyemed på tvers av de tre Oslosykehusene. Før omorganiseringen 1. januar 2009 kunne man ikke gi tilgang på tvers av de tre virksomhetene, fordi de var tre ulike virksomheter (helseforetak). Departementet mener at det ikke er til gagn for verken pasienten eller personvernet at organisatoriske virksomhetsgrenser skal avgjøre om det kan gis tilgang til nødvendige og relevante opplysninger om pasienten. Fra pasientens synspunkt kan det være vanskelig å forstå at det kan være mulig å gi direkte tilgang til opplysninger mellom Oslo universitetssykehus Aker og Oslo universitetssykehus Ullevål, men for eksempel ikke mellom Oslo universitetssykehus Ullevål og Sunnaas sykehus. Fra pasientens ståsted er det viktig at helsepersonell som skal gi pasienten helsehjelp har tilgang til nødvendige og relevante opplysninger for å kunne gi faglig forsvarlig helsehjelp, uavhengig av hvor de er ansatt.

På bakgrunn av flere høringsuttalelser har departementet særlig vurdert om tilgang til behandlingsrettede helseregistre på tvers av virksomheter bør bygge på samtykke fra pasienten. Departementet viser til at hovedregelen for behandling av helseopplysninger er at slik behandling skal skje med grunnlag i samtykke fra den registrerte. Departementet har kommet til at det ikke bør innføres en forutsetning om et uttrykkelig samtykke fra pasienten. Departementet viser til at etter gjeldende rett har pasienten rett til å motsette seg (reservere seg mot) at opplysninger kommuniseres. Denne reservasjonsretten gjelder uavhengig av om pasienten behandles ved en virksomhet (helseforetak) eller om to virksomheter samarbeider om helsehjelpen til pasienten. Fra pasientens ståsted er det viktig å kunne møte en helhetlig helsetjeneste og det kan være vanskelig å forstå at samtykkekravet skal være strengere ved kommunikasjon mellom Oslo universitetssykehus Ullevål og Sunnaas sykehus, enn det er mellom Oslo universitetssykehus Ullevål og Oslo universitetssykehus Aker.

Departementet mener at det er viktig at helsetjenesten og helseforvaltningen tar i bruk teknologiske nyvinninger innen kommunikasjonsteknologi. Samtidig må man være årvåken for at nye fremgangsmåter kan ha implikasjoner som må vurderes nøye slik at man ikke trår over grenser som er satt for å ivareta verdier som vårt samfunn setter høyt. Tilgang til informasjon på tvers av virksomhetsgrenser forutsetter nøye vurderinger av hvilke tiltak som er nødvendige for å ivareta informasjonssikkerheten. En ekstra utfordring ved tilgang på tvers versus bare intern tilgang, er at det må være effektiv tilgangsstyring i begge virksomheter – og begge virksomheter må være sikre på at hensynet til pasientens konfidensialitet blir ivaretatt. Videre setter det krav til kvalitet og struktur ved utforming av journalen, logging av forespørsler om tilgang og dokumentasjon av en eventuell skrivetilgang.

Det er departementets mening at det bør være underordnet om tilgjengeliggjøringen skjer i form av kopiering og overføring av informasjon til mottaker/mottakers system, eller om det skjer i form av at mottaker gis innsyn i de avgrensede opplysningene som kan utleveres til mottakers system. Avgjørende for om det bør utvikles løsninger for meldingsutveksling eller om en bør åpne for tilgang på tvers bør være hvordan pasientens behov best kan ivaretas, og om sikker informasjonsutveksling er mulig. Dagens kommunikasjons- og informasjonsteknologi gjør det mulig å sikre opplysningene, herunder kontrollmuligheter, og ivareta hensynet til pasientens rett til konfidensialitet ved tilgang til helseopplysninger på tvers av virksomheter. Departementet mener derfor at helseregisterloven § 13 bør endres slik at det åpnes for dette etter nærmere regulering i forskrift.

Forslaget innebærer at tilgang på tvers av virksomhetsgrenser kan skje etter nærmere regler gitt i forskrift med hjemmel i lov. En helt overordnet forutsetning vil være at virksomhetene har systemer som faktisk er i stand til å gi tilgang til kun journalopplysninger som er relevante og nødvendige for å kunne gi forsvarlig og nødvendig helsehjelp til pasienten, og at det ikke gis tilgang til opplysninger som ikke er nødvendige av hensyn til helsehjelpen.

Et viktig prinsipp og en rettighet for pasienter er at han eller hun har rett til å motsette seg utlevering av journal eller opplysninger i journal til annet helsepersonell. Dette innebærer at det elektroniske systemet som tas i bruk må ha funksjoner som gjør at denne retten kan ivaretas. Dersom det elektroniske systemet ikke kan ivareta denne funksjonen, kan det ikke gis tilgang til helseopplysninger på tvers av virksomhetsgrenser. Tilgang på tvers forutsetter at tilgangstyringen i egen virksomhet følger fastsatte krav og at den eksterne virksomheten ivaretar tilsvarende krav. Tilgangsstyringen skal også hindre at personer som ikke har behov for opplysningene i det øyemed å yte helsehjelp, urettmessig får tilgang til pasientopplysninger.

I det følgende beskrives en del hovedkrav for tilgang på tvers som departementet vil ta utgangspunkt i ved utarbeidelse av forskriften.

For å åpne for tilgang på tvers av virksomhetsgrenser vil det bli satt krav om at behandlende helsepersonell kan identifisere seg på et høyt sikkerhetsnivå. Et høyt sikkerhetsnivå kan være entydig identifisering av godkjent bruker ved bruk av personlige sertifikater basert på teknologien Public Key Infrastructure (PKI) samt brukernavn og passord for pålogging.

Den eksterne virksomheten det ønskes tilgang til, må kunne avgrense tilgangen til å gjelde klinisk informasjon relatert til forespørselen, og tilgangen må være innenfor rammene av den inngåtte avtale mellom virksomhetene.

På bakgrunn av høringsuttalelsene vil departementet spesielt omtale forslaget om at tilgang på tvers av virksomheter forutsetter avtale mellom virksomhetene. Departementet mener at kravet om avtale vil gi en ekstra sikkerhet. Avtaleinstituttet kommer ikke i stedet for andre sikkerhetskrav, men i tillegg. Det er kun der det er behov for tilgang på tvers – i pasientbehandlingsøyemed – at det kan inngås avtaler. Meldingsutveksling og eventuell annen form for utlevering av helseopplysninger skal benyttes der dette anses mest formålstjenlig, i det hensynet til pasienten og til sikker informasjonsutveksling skal ivaretas på best mulig måte. Departementet forstår ikke grunnlaget for Helsedirektoratets merknad om at avtaleinstituttet ikke er egnet til å regulere forhold som i så stor grad er rettslig regulert og som berører en tredjepart. Departementet viser til at en avtale mellom to parter selvfølgelig må holde seg innenfor lovens rammer, herunder kunne oppfylle lovbestemte rettigheter, som taushetsplikten og andre pasientrettigheter.

Departementet vil understreke at kravet om at det bare kan gis tilgang til nødvendige og relevante opplysninger for å kunne gi helsehjelp til pasienten, må anses som et funksjonskrav – en forutsetning for tilgang på tvers er at pasientenes rett til konfidensialitet kan ivaretas – herunder rett til å motsette seg utlevering av en eller flere opplysninger. Dette innebærer krav om at journalen må struktureres slik at denne funksjonen kan oppfylles. Strukturerte journaler muliggjør også organisering av informasjon i elektroniske pasientjournalsystemer, slik at brukere raskt kan finne frem til relevante opplysninger.

Behovet den enkelte tjenesteyter har for opplysninger, vil variere med hvilken tjeneste vedkommende utfører i forhold til pasienten. Tilgangsstyringen må også ta høyde for dette, slik at det bare er nødvendige og relevante opplysninger det gis tilgang til, innenfor rammen av de strukturerte og standardiserte opplysningene.

Databehandlingsansvarlige som har journalsystemer som ikke kan oppfylle en slik funksjon, kan ikke inngå avtale med annen virksomhet om tilgang på tvers.

En forespørsel til ekstern virksomhet vedrørende tilgang til elektronisk pasientjournal skal ikke kunne omfatte mer enn én pasients elektroniske pasientjournal. Ved behov for gjentatt tilgang må det skje en ny forespørsel. Ved behov for oppslag i annen pasients elektroniske pasientjournal, skal tilgangsvurderingen gjøres på nytt fra egen virksomhets elektroniske pasientjournalsystem basert på dokumentert tjenstlig behov. Dette er forutsetninger som avtalen må bygge på. Det innebærer ikke at man må inngå en ny avtale hver gang en har behov for tilgang på tvers.

Tilgang til helseopplysninger på tvers av virksomheter forutsetter at det i eget system er en eksplisitt mulighet til å autorisere en bruker for «rett til å forespørre informasjon i ekstern virksomhet». Det er nødvendig for å forhindre at alle brukere som har et tjenstlig behov for tilgang til elektronisk pasientjournal i egen virksomhet, automatisk kan forespørre informasjon i ekstern virksomhet.

Det følger av de alminnelige regler om informasjonssikkerhet at helseopplysninger skal være sikret mot utilsiktet eller uautorisert endring eller sletting. Elektroniske pasientjournalsystemer – som åpner for ekstern tilgang – må følgelig kunne registrere endringer (for eksempel ved skrivetilgang) som er utført av personell fra ekstern virksomhet. Det skal alltid fremkomme og unikt kunne identifiseres hvilken person som har utført endringer, fortrinnsvis ved bruk av helsepersonellnummer (HPR-nummer). Dette kan for eksempel gjelde i situasjoner hvor ekstern bruker gjør påtegninger på røntgenbilder. All lesetilgang fra eksternt helsepersonell skal logges og identifiseres. Det samme skal skrivetilgang (inkludert elektronisk signering) fra eksternt helsepersonell, fortrinnsvis ved bruk av HPR-nummer.

Departementet mener at de ovenfor nevnte eksemplene på tilgangsstyring gir en forsvarlig og god behandling av helseopplysninger. Departementet vil ta utgangspunkt i disse ved utarbeiding av forskriften. Departementet vil også sette krav i forskriften om at virksomheter som tar i bruk behandlingsrettede helseregistre skal sørge for at personell som gis tilgang til helseopplysninger i registrene er gitt tilfredsstillende opplæring og kunnskap slik at bestemmelsene i lov og forskrift kan etterleves.

Departementet vil understreke at det ikke kan åpnes for tilgang på tvers før virksomheten kan etterleve sikkerhetskravene i forskriften. Situasjonen i dag er trolig at ingen virksomheter i helsesektoren har elektroniske pasientjournalsystemer som muliggjør tilgang på tvers av virksomheter. Dersom helsesektoren skal kunne utnytte de muligheter som lovendringene nå åpner for, må leverandørene implementere kravene i de elektroniske pasientjournalsystemene ved nye leveranser samt bistå sektoren ved tilpasninger i eksisterende systemer. Endringene vil måtte skje gradvis og over et lengre tidsrom.

8 Etablering av virksomhetsovergripende behandlingsrettede helseregistre, samt meldeplikt til slike registre

8.1 Gjeldende rett

Helseregisterloven har i dag ikke regler om etablering av virksomhetsovergripende behandlingsrettede helseregistre. Tolkningen av §§ 6 og 13 i helseregisterloven gjør at man indirekte har et forbud mot etablering av virksomhetsovergripende behandlingsrettede helseregistre.

Helseregisterloven § 9 hjemler innsamling av helseopplysninger til sentrale, regionale og lokale helseregistre. Bestemmelsen pålegger virksomheter og helsepersonell som tilbyr eller yter tjenester i henhold til apotekloven, kommunehelsetjenesteloven, sosialtjenesteloven, smittevernloven, spesialisthelsetjenesteloven eller tannhelsetjeneste­loven, plikt til å utlevere eller overføre opplysninger som bestemt i forskrift etter loven §§ 7 og 8, samt etter forskrift i medhold av § 9 annet ledd.

Det følger av helseregisterloven § 9 annet ledd at Kongen i Statsråd kan gi forskrifter om innsamling av helseopplysninger til sentrale helseregistre, herunder bestemmelser om hvem som skal gi og motta opplysningene. Kongen i Statsråd kan også gi forskrifter om frister, formkrav og meldingsskjemaer.

Det følger av forarbeidene til helseregister­loven at innsending av opplysninger med hjemmel i helseregisterloven § 9 kan skje uten hinder av taushetsplikten. Det fremgår videre av helsepersonelloven § 23 nr. 5 at taushetsplikten etter helsepersonelloven § 21 ikke er til hinder for at opplysningene gis videre etter regler fastsatt i lov eller i medhold av lov når det er uttrykkelig fastsatt eller klart forutsatt at taushetsplikt ikke skal gjelde. Helsepersonelloven § 37 sier også:

«Kongen kan pålegge helsepersonell med autorisasjon eller lisens å gi opplysninger til helseregistre i samsvar med forskrift gitt i medhold av helseregisterloven.»

8.2 Forslaget i høringsnotatet

Departementet foreslo i høringsnotatet å hjemle etablering av lokale og regionale virksomhetsovergripende behandlingsrettede helseregistre. Departementet mente det i tillegg til forslaget om tilgang til virksomhetsinterne behandlingsrettede helseregistre på tvers av virksomheter var et behov for å kunne etablere virksomhetsovergripende behandlingsrettede helseregistre.

Departementet foreslo å hjemle lokale virksomhetsovergripende behandlingsrettede registre i konsesjon fra Datatilsynet og regionale helse­registre i forskrift gitt av Kongen i Statsråd. Departementet foreslo ingen hjemmel for etablering av sentrale behandlingsrettede helseregistre. Dette var ikke fordi departementet mente at det ikke er behov for slike helseregistre. Departementet mente imidlertid at konkrete forslag til sentrale behandlingsrettede registre burde utredes nærmere før slike registre eventuelt ble hjemlet i helseregisterloven.

Departementet foreslo også en endring i helseregisterloven § 9, slik at det blir mulig å pålegge meldeplikt til virksomhetsovergripende behandlingsrettede helseregistre.

8.3 Høringsinstansenes syn

Av de 57 høringsinstanser som har hatt kommentarer til høringsnotatet, uttaler 38 høringsinstanser at de støtter forslaget eller det fremgår av merk­nadene deres at de ikke har innvendinger mot lovendringsforslaget. Det er følgende instanser:

Buskerud fylkeskommune, Bergen kommune, Norsk senter for elektronisk pasientjournal (NSEP, NTNU), Landsforeningen for hjerte- og lungesyke, Norsk Sykepleierforbund, Leksvik kommune, Stavanger kommune, Den norske tannlegeforening, Haraldsplass Diakonale Sykehus, DIPS ASA, Handels- og servicenæringens hovedorganisasjon (HSH), Nasjonalforeningen for folkehelsen, Nasjonalt senter for telemedisin, Drammen kommune, Norsk Tannpleierforening, Nasjonalt folkehelseinstitutt, Norges Diabetesforbund, Norges teknisk-naturvitenskapelige universitet (NTNU, Det medisinske fakultetet), IKT-Norge, Landsorganisasjonen i Norge (LO), Troms fylkeskommune, Norsk Manuellterapeutforening, Helse Midt-Norge RHF, Helse Nord RHF, Helse Sør-Øst RHF, Norsk Helsenett AS, Norges Optikerforbund, Norsk Radiografforbund, Universitetssykehuset Nord-Norge HF, Oslo kommune, Universitets- og høyskolerådet, Norsk Psykologforening, Helse Finnmark HF, Kompetansesenter for IT i helse- og sosialsektoren AS (KITH), Direktoratet for forvaltning og IKT (Difi), Nasjonalt kompetansesenter for helsetjenestens kommunikasjonsberedskap (KoKom), Fornyings- og administrasjonsdepartementet og Helse Vest RHF.

Tre høringsinstanser uttaler at de er imot forslaget eller det fremgår av merknadene deres at de ikke støtter lovendringsforslaget. Det er følgende instanser:

Den norske legeforening, Datatilsynet og Norges Handikapforbund.

Flere høringsinstanser har påpekt at forslaget om å skille mellom regionale og lokale virksomhetsovergripende behandlingsrettede helseregistre ikke er hensiktmessig. Troms fylkeskommune ser ingen grunn til å differensiere mellom ulike typer virksomhetsovergripende behandlingsrettede helseregistre. De uttaler:

«Troms fylkeskommune mener at alle (nasjonale, regionale, lokale) virksomhetsovergripende helseregistre bør omfattes av loven. Det bør ikke være krav om samtykke fra pasienten, men pasienten skal ha rett til å reservere seg.»

Bergen kommune uttaler:

«Det foreslås «regionale» registre etablert på regionalt helseforetaksnivå eller tilsvarende. Byrådet forstår dette som et helseregister etablert på helseregionnivå og at kommunehelsetjenesten ikke er planlagt som en del av dette. Statsrådens samhandlingsreform legger opp til utstrakt samarbeid mellom nivåene i helsevesenet. Etablering av et regionalt register uten at kommunehelsetjenestens rolle i forhold til et slikt register er vurdert, er uheldig.»

Bergen kommune er også en av de høringsinstansene som uttaler seg om samtykke ved etablering av virksomhetsovergripende behandlingsrettede helseregistre. Bergen kommune mener at konsekvensene av å ikke kreve samtykke ved etablering av virksomhetsovergripende behandlingsrettede helseregistre må utredes nærmere. Stavanger kommune mener at opplysninger om pasienten ikke skal kunne deles uten etter samtykke fra pasienten.

Flere høringsinstanser skriver at de ønsker nasjonale registre fremfor regionale og lokale registre. Norsk Sykepleierforbund og Helse Sør-Øst RHF er to av disse. Helse Sør-Øst RHF uttaler:

«Helse Sør-Øst RHF ønsker imidlertid å påpeke at forslagene til lovendring ikke går langt nok for å tilrettelegge for at tilgjengelighet til pasientinformasjonen kan ivaretas i et sentralt helseregister, og således også på tvers av helseregioner. Flere av Helse Sør-Øst RHF sine helseforetak har landsdekkende funksjoner og det anses i den sammenheng mest hensiktsmessig å ha et sentralt helseregister. Det bør åpnes for muligheten for sentrale helseregistre og for tilgang på tvers av helseregionene.»

Norsk Sykepleierforbund uttaler:

«Det anbefales at det satses på sentrale virksomhetsovergripende helseregistre, da man til enhver tid vil være avhengig av endringer i organiseringen i helsesektoren. Et sentralt register kan forsvares ut i fra behovet for tilgang til gitte vitale helseopplysninger på tvers av virksomheter. En slik løsning vil også være mer smidig med tanke på mobiliteten i befolkningen.»

Flere høringsinstanser støtter at sentrale behandlingsrettede helseregistre bør utredes nærmere. Landsforeningen for hjerte- og lungesyke (LHL) mener at sentrale registre må utredes grundig før det foreslås slike registre, samt at terskelen for å foreslå ikke-samtykkebaserte registre må være høy. Nasjonalt folkehelseinstitutt (Folkehelseinstituttet) uttaler:

«Departementet foreslår i dette høringsnotatet ingen hjemmel for sentrale virksomhetsovergripende behandlingsrettede helseregistre. Folkehelseinstituttet er positiv til at departementet i høringsnotatet presiserer at dette ikke betyr at departementet mener at det ikke skal kunne etableres slike registre.

Folkehelseinstituttet vil støtte at konkrete forslag til sentrale virksomhetsovergripende behandlingsrettede registre utredes. Vi vil, som NTNU i sin høringsuttalelse av 18. desember 2008, ta til orde for at det fra et databaseteknisk ståsted er lettest og mest kostnadseffektivt å oppnå meget god beskyttelse av informasjon når den er samlet på ett sted fremfor at data spres på mange lokasjoner med lite ressurser til å sikre dataene godt nok.»

Norges Diabetesforbund (NDF) mener at virksomhetsovergripende behandlingsrettede helse­registre vil styrke samhandlingen. De uttaler:

«Norges Diabetesforbund er for personidentifiserbare registre og mener at gode register vil bedre behandlingen til pasienten. For personer med diabetes, som ofte trenger behandling av ulike grupper helsepersonell på ulike nivåer, vil virksomhetsovergripende (kjerne-)registre være svært viktig.

[...]

Avslutningsvis vil NDF vektlegge viktigheten av samhandling mellom nivåer og ulike faggrupper i helsetjenesten, spesielt for kronisk syke pasienter. Etter NDFs syn vil virksomhetsovergripende registre styrke samhandlingen.»

Norges Handikapforbund (NHF) mener at personvernet utsettes for ytterligere risiko ved at sensitiv informasjon tillates i virksomhetsovergripende registre og over virksomhetsgrenser. NHF uttaler videre angående spørsmålet om registrene skal hjemles i forskrift eller konsesjon, og om spørsmålet om registrene skal være samtykkebaserte:

«Departementets vurdering av lokale virksomhetsovergripende behandlingsrettede helseregistre er at disse ikke skal forskriftsfestes, i motsetning til regionale registre. I departementets beskrivelse av hva forskriftene må ta stilling til, mener vi dette er like viktig ved etablering av lokale virksomhetsovergripende behandlingsrettede helseregistre. Hensynet til best mulig ivaretakelse av personvern og pasientrettigheter må ligge til grunn for om det skal være krav om forskrift for etablering av lokale virksomhetsovergripende behandlingsrettede registre eller om det de skal hjemles i konsesjon fra Datatilsynet. I tillegg er det viktig med hvilken kontroll og systemmessige rutiner som foreligger når registrene er etablert.

[...]

Forslaget åpner for at noen registre ikke skal være samtykkebaserte. Krav til samtykke er sentralt for ivaretakelse av personvern, og ved lettere tilgang til sensitive opplysninger mener NHF dette er enda viktigere for å kunne ivareta personvern.»

Helsedirektoratet uttaler at de som tar registeret i bruk bør være databehandlingsansvarlige for virksomhetsovergripende registre. Helsedirektoratet uttaler:

«Direktoratet ser det som viktig at slike registre bør være nært knyttet til den utøvende helsetjeneste, vi stiller oss derfor uforstående til at andre enn de som tar registeret i bruk bør være databehandlingsansvarlig og kan ikke se at det er fremført argumenter i høringsnotatet som tilsier en slik løsning. Det bør etter vår mening fastsettes enhetlige nasjonale rammer for innhold og form i virksomhetsovergripende behandlingsrettete registre, mens databehandlingsansvaret bør knyttes til de som tar registeret i bruk.»

Datatilsynet mener at behovet for virksomhetsovergripende behandlingsrettede helseregistre og det fremtidige omfanget av slike er uklart og uttaler blant annet:

«Datatilsynet vil bemerke at både høringsnotatet og bestemmelsen er uklar på dette punktet. Uklarheten knytter seg til omfanget av og behovet for registrene.

I forslag til endringer i helseregisterlovens § 6a heter det at registrene skal inneholde «de nærmere bestemte helseopplysningene som er nødvendig og relevante for samarbeid om forsvarlig helsehjelp».

Datatilsynet kan ikke se at dette i realiteten innebærer et begrenset innhold, i forhold til ordinær virksomhetsintern journal. Enhver pasientopplysning er etter omstendighetene en potensielt «nødvendig og relevant» opplysning for medisinsk behandling. Dette gjelder enn mer når man ser flere virksomheters behandlingsområde under ett. Slik tilsynet leser bestemmelsen vil man svært fort havne i en situasjon hvor hver enkelt helseregion har en felles fullstedig pasientjournal, som en samlet kopi av hver enkelt virksomhets interne journal.»

De høringsinstansene som har kommentert forslaget om å endre helseregisterloven § 9, støtter forslaget. Universitets- og høyskolerådet (UHR) uttaler:

«Et pålitelig kjerneopplysningsregister forutsetter at alle relevante opplysninger faktisk blir lagt inn i registeret. UHR vil derfor støtte forslaget om meldeplikt og tilsvarende endring i helseregisterloven § 9. En viktig forutsetning for å opprette slike registre må være at de tekniske løsninger er sikre men samtidig gjør det svært enkelt å legge inn opplysningene – helst burde dette være automatisert.»

8.4 Departementets vurderinger og forslag

Med virksomhetsovergripende behandlingsrettede helseregistre mener departementet behandlingsrettede helseregistre som omfatter flere virksomheter (i motsetning til virksomhetsinterne registre). Virksomhetsovergripende behandlingsrettede helseregistre vil bli etablert for å bidra til samhandling og god kvalitet på helsehjelpen som ytes til pasienten, uavhengig av i hvilken virksomhet pasienten er til behandling. Helseopplysningene knyttes til pasienten uavhengig av behandlingssted. De virksomhetsovergripende registrene skal ikke inneholde pasientenes totale mengde journalopplysninger. Den totale mengden journalopplysninger om pasienten er sjeldent nødvendig for å sikre samhandling mellom virksom­heter i helsetjenesten for nærmere bestemte konkrete behandlingsformål.

Departementet mener at det foreligger helsefaglige behov som tilsier at det bør legges til rette for at virksomhetsovergripende behandlingsrettede helseregistre kan etableres. Departementet foreslår derfor en hjemmel for etablering av virksomhetsovergripende behandlingsrettede helseregistre, jf. forslag til ny § 6 a i helseregister­loven. Å lovfeste en konkret teknisk løsning for slike registre vil imidlertid, slik departementet vurderer det, ikke være hensiktsmessig. Bestemmelsen gir derfor hjemmel til å forskriftsfeste den nærmere reguleringen av registrene.

På bakgrunn av høringen mener departementet at skillet mellom lokale og regionale behandlingsrettede helseregistre ikke er hensiktsmessig. Til forskjell fra høringsnotatet foreslår derfor departementet å ikke skille mellom ulike typer virksomhetsovergripende behandlingsrettede helseregistre. Departementet mener at regelverket ikke bør knyttes opp til hvordan helsetjenesten er organisert. Regelverket bør snarere være knyttet opp til hvilken funksjon, formål og behov opplysningene og samhandlingen skal dekke.

Selv om forslaget som utgangspunkt ikke skiller mellom ulike typer virksomhetsovergripende behandlingsrettede helseregistre, foreslår departementet, som foreslått i høringsnotatet, å ikke hjemle etablering av sentrale behandlingsrettede helseregistre. Dette innebærer ikke at departementet ikke ser behovet for etablering av slike registre. Det betyr imidlertid at departementet mener at slike registre bør utredes nærmere før de lovhjemles. Ettersom slik etablering krever endring av helseregisterloven, blir det da Stortinget som må ta stilling til om slike registre skal kunne etableres eller ikke.

De helsefaglige behov som det er redegjort for i denne proposisjonen kan dekkes på forskjellige måter. Departementet ser for seg at hjemmelen til å etablere virksomhetsovergripende behandlingsrettede helseregistre kan benyttes til å etablere regionale registre over kjerneopplysninger i én eller flere helseregioner. Et regionalt register over kjerneopplysninger vil kunne være en slags pilot for et senere sentralt (nasjonalt) register over kjerneopplysninger. Slike regionale registre over kjerneopplysninger kan etableres på en måte som gjør at de senere kan kobles sammen til ett nasjonalt register dersom dette er ønskelig, men dette kan ikke gjøres uten lovhjemmel. Departementet vil komme tilbake til Stortinget på et senere tidspunkt, dersom dette blir aktuelt. For andre eksempler på behov for virksomhetsovergripende registre, vises det til omtale under punkt 2.2.

Et register inneholdende kjerneopplysninger om pasienter vil kunne dekke behovet for medisineringsopplysninger og allergier m.m. både for spesialisthelsetjenesten, kommunehelsetjenesten og for akuttmottak. Et slikt register vil kunne dekke behovet for en oppdatert og samlet oversikt over hvilke legemidler en pasient til enhver tid bruker.

Røntgenbilder, elektrokardiogram (EKG) og annen avgrenset og strukturert informasjon kan også egne seg for deling i virksomhetsovergripende behandlingsrettede helseregistre. Det kan for eksempel tenkes etablert registre inneholdende røntgenbilder innenfor en helseregion. Et slikt register vil for eksempel kunne avhjelpe at røntgenbilder sendes på cd-plater i drosje slik det ved enkelte anledninger har blitt vist til i media.

Et viktig spørsmål er hvordan virksomhets­overgripende behandlingsrettede helseregistre skal hjemles. Departementet foreslår som nevnt et krav om forskrift som grunnlag for etablering av virksomhetsovergripende behandlingsrettede helseregistre. Et alternativ kunne vært å hjemle slike registre i konsesjon fra Datatilsynet.

I høringsnotatet var det som nevnt ovenfor foreslått å hjemle lokale behandlingsrettede helseregistre i konsesjon fra Datatilsynet, og regionale behandlingsrettede helseregistre i forskrift gitt av Kongen i Statsråd. Endringen i forhold til forslaget i høringsnotatet innebærer også at mindre registre, i høringsnotatet omtalt som lokale registre, må ha hjemmel i forskrift. Som flere av høringsinstansene har påpekt, kan skillet mellom lokale og regionale registre virke kunstig. Lokale registre kan ha stort omfang, og inneholde mer sensitiv informasjon enn enkelte regionale registre. Dette avhenger av registrenes formål og innhold, ikke av om de kan sies å være regionale eller lokale.

Valget mellom hjemling av helseregistre i forskrift eller konsesjon er omtalt i forarbeidene til helseregisterloven 1 . Omtalen gjelder imidlertid ikke behandlingsrettede helseregistre. Departementet mener allikevel at momentene som nevnes kan være relevante også i denne sammenhengen. Momenter som etter dette kan være av betydning for om et helseregister bør være hjemlet i konsesjon eller forskrift er opplysningenes sensitivitet, om registeret behandler opplysninger om mange personer, om registeret har hele landet som virkefelt og om opplysningene skal lagres over lang tid. Med unntak av momentet om hele landet som virkefelt, vil alle disse momentene tale for at de fleste varianter av virksomhetsovergripende behandlingsrettede helseregistre hjemles i forskrift.

Regjeringen har tidligere varslet en sterkere styring fra myndighetenes side når det gjelder IKT i helsesektoren, jf. Samspill 2.0 – Nasjonal strategi for elektronisk samhandling i helse- og sosialsektoren 2008-2013. For å få til en slik sterkere styring i praksis, mener departementet at det bør stilles krav om forskriftsregulering av virksomhetsovergripende behandlingsrettede helseregistre. Departementet mener at dette vil føre til økt kontroll med infrastruktur og IKT-arkitektur i helsesektoren fra myndighetenes side.

På denne bakgrunn mener departementet at virksomhetsovergripende behandlingsrettede helseregistre bør hjemles i forskrift. At registrene hjemles i forskrift innebærer etter departementets mening imidlertid ikke at alle registre må ha én forskrift hver. Departementet ser for seg at det kan vedtas forskrifter som hjemler flere registre med likeartet formål. Departementet vil komme tilbake til dette når konkrete registre skal etableres og hjemles.

Flere høringsinstanser har ønsket at all etablering av virksomhetsovergripende behandlingsrettede helseregistre skal være basert på samtykke. Etablering av sentrale personidentifiserbare helseregistre krever som hovedregel samtykke, jf. helseregisterloven § 8 første ledd. Sentrale helseregistre som ikke skal bygge på samtykke er konkret angitt i helseregisterloven § 8 tredje ledd. En forskjell på helseregistre etablert med hjemmel i helseregisterloven § 8 tredje ledd og et behandlingsrettet helseregister, som hjemles i § 6 a, er formålet med registeret. Behandlingsrettede helseregistre etter helseregisterloven § 6 a vil ha helsehjelp til pasienten som formål. Departementet mener at det er en viktig forskjell mellom registre hvor helseopplysningene skal benyttes til helsehjelp til den pasienten opplysningene gjelder, og helseregistre hvor helseopplysningene skal benyttes til forskning som ikke kommer den enkelte registrerte direkte til gode. Denne forskjellen innebærer at departementet mener at utgangspunktet for behandling av helseopplysninger i behandlingsrettede helseregistre bør være at det ikke forutsetter uttrykkelig samtykke fra pasienten.

Virksomhetsovergripende behandlingsrettede helseregistre vil som hovedregel etableres i tillegg til de virksomhetsinterne behandlingsrettede registrene (pasientjournalene) og vil i så måte være et supplement. Det kan derfor tenkes en mulighet for at virksomhetsovergripende registre vil kunne være samtykkebaserte, selv om det ikke er slik for de behandlingsrettede registrene per i dag. Ettersom virksomhetsovergripende behandlingsrettede helseregistre etableres i tillegg til virksomhetsinterne behandlingsrettede helse­registre, foreslår departementet at det bør være et krav om enten samtykke eller reservasjonsrett. Dette til forskjell fra intern journalføring der pasienten ikke kan reservere seg mot selve journal­føringen.

Om et register skal være samtykkebasert eller om det kun skal være en reservasjonsrett, avhenger imidlertid av en rekke forhold. Slike forhold er blant annet hvilke opplysninger registeret skal inneholde, hva opplysningene skal brukes til, hvem som skal ha tilgang til opplysningene m.m. Disse forholdene kan det ikke gis svar på ved etablering av lovhjemmelen. Departementet mener at disse avklaringene bør gjøres i forhold til det enkelte register ved utarbeidelse av forskriften for registeret.

Ved etablering av fremtidige virksomhetsovergripende behandlingsrettede helseregistre må en avveie formålet det enkelte registeret skal ivareta mot personvernulempene det representerer for den enkelte registrerte. Det gjelder særlig der det ikke kreves samtykke fra den enkelte pasient. Samtykke fra pasienten og reglene om taushetsplikt er viktige tiltak for personvernet. All behandling av helseopplysninger som ikke skal baseres på samtykke fra den registrerte, representerer følgelig et inngrep i personvernet og krever en særskilt begrunnelse. Nytteverdien av registeret må i slike tilfeller overstige de personvernmessige ulempene.

Departementet forslår derfor, som i høringsnotatet, at forskriftshjemmelen i helseregisterloven § 6 a utformes slik at den gir mulighet til å etablere både samtykkebaserte og ikke-samtykkebaserte behandlingsrettede registre. På bakgrunn av høringen foreslår imidlertid departementet at det tas inn i helseregisterloven § 6 a at virksomhetsovergripende behandlingsrettede helseregistre bare kan etableres uten samtykke fra pasienten dersom dette er nødvendig for å ivareta formålet med registeret.

Pasientens rett til informasjon, innsyn, retting, sletting og sperring av journalopplysninger følger av lov. Gjennom helseregisterloven og pasientrettighetsloven er pasienten sikret en rekke grunnleggende rettigheter, som også vil gjelde for fremtidige virksomhetsovergripende behandlingsrettede helseregistre. Den databehandlingsansvarlige for helseopplysningene skal sørge for rutiner for å ivareta at disse rettighetene er på plass ved etablering av registeret. Departementet vil understreke betydningen av pasientens rett til medvirkning og at pasienten skal informeres og gjøres oppmerksom på sine rettigheter etter blant annet pasientrettighetsloven og helseregisterloven. En forutsetning for at et regelverk som baserer seg på at pasienten kan reservere seg skal fungerer etter sin hensikt, er at pasienten er informert om sine rettigheter. Departementet foreslår ingen endringer når det gjelder disse rettighetene.

Departementet mener at forarbeidene til lovbestemmelsen bør være tydelig på hvilke hensyn og prinsipper som skal vektlegges og oppfylles før forskriftshjemmelen kan benyttes. Departementet mener imidlertid at det ikke er hensiktsmessig å ta stilling til detaljerte problemstillinger i selve lovteksten. Dette vil være en tilnærmet umulig oppgave, ettersom svarene på spørsmålene vil variere i forhold til det enkelte konkrete register og den konkrete tekniske løsningen. Erfaringene fra etablering av blant annet Nasjonal database for elektroniske resepter viser at det er mange problemstillinger og utfordringer som må løses konkret for det enkelte register, og som umulig kunne vært avklart på forhånd i en lovtekst. Departementet mener at det heller ikke er slik at personvernet blir bedre ivaretatt ved at problemstillinger, lik de nevnt nedenfor, avklares i detalj i lovteksten, da man ved en slik regulering også kan utelate viktige problemstillinger. Dette gjelder særlig fordi man regulerer fremtidige løsninger, som man på tidspunktet for vedtakelse av loven ikke vet hvordan vil være utformet. Representanter for de som til daglig møter de problemer som slike registre er ment å avhjelpe, dvs. fagfolk fra spesialisthelsetjenesten og kommunehelsetjenesten, herunder fastlegene, bør gis en sentral rolle i utredning av slike konkrete løsninger. Departementet vil også understreke betydningen av å involvere pasientene og deres organisasjoner i slike prosesser.

Forskriftene som kan vedtas med hjemmel i § 6 a må regulere de konkrete registrene som forskriftene skal hjemle. Forskriftene må blant annet ta stilling til:

  • Hvilket behov registeret skal dekke/hvilket formål registeret skal ha

  • Hvem det skal registreres opplysninger om i registeret

  • Hvilke opplysninger registeret skal inneholde

  • Databehandlingsansvaret for registrene, herunder plassering

  • Om registeret kun skal være basert på reservasjonsrett, eller om det også skal kreves samtykke fra pasienten

  • Hvem som, innenfor taushetspliktens rammer, skal få tilgang til registeret

  • Hvilke sanksjonsmuligheter som skal gjelde ved brudd på vilkårene for tilgang

  • Hvordan informasjonssikkerheten i registeret skal ivaretas

Departementet mener at slike registre vil være et viktig supplement til elektronisk samhandling sentrert rundt de virksomhetsinterne behandlingsrettede helseregistrene (journalsystemene). Departementet foreslår at virksomhetsovergripende behandlingsrettede helseregistre ikke skal erstatte de virksomhetsinterne journalsystemene. Virksomhetene og helsepersonellet skal fortsatt være forpliktet til å føre journal og ha et journalsystem internt i virksomheten, jf. forslaget til § 6 a annet ledd annet punktum.

En forskrift som regulerer et fremtidig virksomhetsovergripende behandlingsrettet helseregister vil blant annet måtte regulere innsamling av opplysninger til registeret. Man kan for eksempel tenke seg at melding av opplysninger til et virksomhetsovergripende behandlingsrettet helseregister skjer ved overføring av enkelte opplysninger fra sykehus og fastlegers journalsystemer.

Virksomhetsovergripende behandlingsrettede helseregistre er avhengig av at data kan samles i registrene. Helseopplysninger om pasienter vil trolig bli kopiert fra de virksomhetsinterne behandlingsrettede helseregistrene på for eksempel sykehus og hos fastleger. For at helsepersonell eventuelt skal kunne pålegges å sende inn helseopplysninger til et fremtidig register uten hinder av taushetsplikten, vil helseregisterloven § 9 måtte endres. Departementet foreslår derfor å innta en henvisning til § 6 a i helseregisterloven § 9.

9 Etablering av virksomhetsovergripende behandlingsrettede helseregistre for helsepersonell med formalisert arbeidsfellesskap – felles pasientjournal

9.1 Gjeldende rett

Tolkningen av §§ 6 og 13 i helseregisterloven gjør at man indirekte har et forbud mot etablering av virksomhetsovergripende behandlingsrettede helseregistre. Det vises til punkt 8.1. Dette innebærer at det per i dag er forbudt å etablere felles pasientjournal på tvers av virksomheter.

9.2 Forslaget i høringsnotatet

Departementet foreslo i høringsnotatet en forskriftshjemmel som gir mulighet for helsepersonell med formalisert arbeidsfellesskap til å etablere virksomhetsovergripende behandlingsrettede helseregistre, i praksis felles journalsystemer.

Bestemmelsen ble foreslått tatt inn i helseregisterloven, ettersom denne loven per i dag er et hinder for felles behandlingsrettede helseregistre. Departementet mente imidlertid at bestemmelser om felles føring av journal for ulike helsepersonellgrupper med fordel også kan inntas ved endringer i journalforskriften.

9.3 Høringsinstansenes syn

Flere høringsinstanser har kommentert forslaget om å tillate felles journalsystemer for helsepersonell med formalisert arbeidsfellesskap. Av de 57 høringsinstanser som har hatt kommentarer til høringsnotatet, uttaler 26 høringsinstanser at de støtter forslaget eller det fremgår av merknadene deres at de ikke har innvendinger mot lovendringsforslaget. Det er følgende instanser: Buskerud fylkeskommune, Leksvik kommune, Stavanger kommune, DIPS ASA, Handels- og servicenæringens hovedorganisasjon (HSH), Nasjonalforeningen for folkehelsen, Drammen kommune, Nasjonalt folkehelseinstitutt, Norges Diabetesforbund, Den norske legeforening (Legeforeningen), Norges Optikerforbund, Universitetssykehuset Nord-Norge HF, Direktoratet for forvaltning og IKT (Difi), Troms fylkeskommune, Sande kommune, Bergen kommune, Landsforeningen for hjerte- og lungesyke (LHL), Den norske tannlegeforening, Norsk Manuellterapeut­forening, Norsk Psykologforening, Kompetansesenter for IT i helse- og sosialsektoren AS (KITH), Nasjonalt senter for telemedisin, Oslo kommune, Norsk Sykepleierforbund, Universitets- og høyskolerådet og IKT-Norge.

Nasjonalt senter for telemedisin er en av flere høringsinstanser som etterlyser en tydeliggjøring av begrepet «helsepersonell med formalisert arbeidsfellesskap»:

«Vi anser det positivt at det nå åpnes for at «helsepersonell med formalisert arbeidsfellesskap» kan etablere felles behandlingsrettede helseregistre, som også kan være erstatning for de virksomhets­interne registrene i slike fellesskap. Vi anser dette uproblematisk når det gjelder de eksemplene som er nevnt, nemlig samarbeid mellom fastleger, hhv. tannleger, med formalisert arbeidsfellesskap/ gruppe­praksis. Vi vil imidlertid påpeke viktigheten av at betegnelsen «helsepersonell med formalisert arbeidsfelles­skap» defineres entydig i en ev. fremtidig forskrift, da det i seg selv er langt fra entydig og kan defineres meget vidt.»

Også Norsk Psykologforening (Psykologforeningen) understreker viktigheten av å definere formalisert arbeidsfellesskap. Psykologforeningen støtter forslaget og uttaler:

«Slik Psykologforeningen ser det er dette viktig blant annet lys av den pågående utviklingen i kommunale tjenester. Ved satsing på rekruttering av psykologer til kommunen ser vi at psykologer ansettes i ulike former for organisert arbeidsfellesskap. Det blir derfor viktig å definere formalisert arbeidsfellesskap slik at det blir dekkende for den utviklingen som skjer.»

Sande kommune mener at tiden er overmoden og støtter forslaget ubetinget, og uttaler:

«Således må bestemmelser som regulerer dette tas inn i forskrift om informasjonssikkerhet og tilgang til helseopplysninger i behandlingsrettede helseregistre i denne runden.»

Bergen kommune støtter forslaget og uttaler:

«Byrådet ser det som positivt at det gis en klar hjemmel for etablering av felles journalsystemer i forbindelse med formaliserte arbeidsfellesskap som for eksempel ved fastlegekontor. Dette er i samsvar med dagens praksis.»

Landsforeningen for hjerte- og lungesyke (LHL) støtter forslaget og uttaler:

«LHL støtter at en ny § 6a i helseregisterloven gir hjemmel for en forskrift som gir helsepersonell med formalisert arbeidsfellesskap mulighet for å etablere felles behandlingsrettede helseregistre (felles journalsystemer). LHL vil understreke, slik departementet selv legger opp til, at det må forskriftsfestes klart hvem som er databehandlingsansvarlig.»

Den norske tannlegeforening ser forslaget som en mulighet til å formalisere felles bruk av registrene ved større eller mindre tannklinikker. Troms fylkeskommune støtter også forslaget og uttaler:

«Dette er en viktig og riktig endring. Eksemplene er igjen hentet fra legesiden. Troms fylkeskommune vil påpeke at dette også er en svært vanlig problemstilling i den private tannhelsetjenesten.»

Norsk Sykepleierforbund støtter forslaget og uttaler:

«Vi vil imidlertid påpeke at dette ikke bare er aktuelt for fastleger og tannleger slik eksemplifiseringen legger opp til, men også for annet helsepersonell med formalisert arbeidsfellesskap.»

Kompetansesenter for IT i helse- og sosialsektoren AS (KITH) etterlyser også en presisering av hva som menes med «helsepersonell med formalisert arbeidsfellesskap» og uttaler videre:

«Vi støtter departementets forslag om å gi hjemmel for forskrift som gir mulighet for helsepersonell med formalisert arbeidsfellesskap til å etablere felles behandlingsrettede helseregistre. Vi ser det som viktig at slike forskrifter utarbeides så raskt som mulig. Vårt inntrykk at det er liten eller ingen forståelse i sektoren for det nåværende forbudet da felles EPJ-systemer ble tatt i bruk av bl.a. allmennleger lenge før helseregisterloven ble vedtatt og fordi slike felles systemer anses som nødvendig bl.a. for å kunne gi pasientene et forsvarlig tilbud når den faste legen er fraværende.»

Den norske legeforening mener det er positivt at dette området nå reguleres og uttaler:

«Det har vært uheldig at regelverket ikke har vært i samsvar med en praksis som har vært ansett som nødvendig for å kunne gi forsvarlig helsehjelp.»

Universitets- og høyskolerådet (UHR) støtter forslaget og uttaler:

«UHR vil støtte forslagene til endringer i helseregisterloven som gjelder hjemmel for forskrift om etablering av virksomhetsovergripende behandlingsrettede helseregistre for helsepersonell med formalisert arbeidsfellesskap. Høringsnotatet slår fast at felles EPJ-system for fastleger med kontorfellesskap ikke er lovlig etter dagens regelverk. UHR vil fullt ut støtte endringen i lovverket som må til for at dagens praksis med felles journalsystem og felles tilgang til journalene til hverandres pasienter, blir lovlig. Det er svært vanlig at fastleger må vikariere for hverandre, og det ville både være ressursødende og gi et svekket pasientvern dersom hver enkelt lege skulle føre egen journal for hver pasient og ha hvert sitt databehandlingsansvar.»

Statens helsetilsyn stiller spørsmål ved hvordan ansvaret i praksis skal kunne utøves i et formelt arbeidsfellesskap hvor man ikke har styringsrett som arbeidsgiver.

«Et av forslagene er adgang til felles behandlingsrettede helseregistre for helsepersonell med formalisert arbeidsfellesskap. Det er viktig å finne løsninger knyttet til håndtering av journalsystemer i slike arbeidsfellesskap, men Helsetilsynet savner en vurdering av ansvarsspørsmålene i forhold til styringsmuligheter. Formaliserte arbeidsfelleskap er ofte nettopp kun arbeidsfelleskap, hvor de enkelte legene er selvstendige utøvere og ikke underlagt noen andres styring. Arbeidsfellesskapet består ofte ikke av annet enn en privatrettslig avtale om fordeling av felles utgifter så som leie av lokaler og fordeling av arbeidsgiveransvar for eventuelle ansatte. Tilleggelse av ansvar med myndighet til å instruere, kontrollere og reagere ovenfor selvstendige utøvere er forbundet med vanskeligheter både prinsipielt og i praksis.»

Helsedirektoratet ser at det kan være ønskelig å se nærmere på hvordan bruk av pasientjournalsystemer kan løses på en bedre måte i gruppepraksis, men har vanskeligheter med å slutte seg til de argumenter som anføres. Helsedirektoratet ønsker videre en nærmere avklaring av innholdet i begrepet «formalisert arbeidsfellesskap», samt en tydeliggjøring av hvordan man har tenkt seg at databehandlingsansvaret skal kunne ivaretas:

«I den foreslåtte hjemmel er det ikke tydeliggjort hvilken avgrensning man tenker seg av "formalisert arbeidsfellesskap", verken i ordlyden eller i kommentaren til denne. Begrepet formalisert fellesskap kan etter vår mening spenne vidt, og vil kunne omfatte samarbeidsopplegg mellom ulike deler av kommunehelsetjenesten og spesialisthelsetjenesten og ulike typer arbeidsfellesskap der selvstendig næringsdrivende med ulik bakgrunn deltar. Direktoratet kan vanskelig se at det på bred basis bør bli tillatt å etablere felles journalsystem for mangeartede sammenslutninger av selvstendig næringsdrivende som yter helsehjelp. Vi tenker at dersom man ønsker å beholde en viss frihet som utøver og derfor velger å være selvstendig næringsdrivende, bør man ikke bare kunne velge bort de konsekvensene av denne arbeidsformen som man ikke liker.

Departementet har heller ikke tydeliggjort hvordan man har tenkt at databehandlingsansvaret for et felles pasientjournalsystem skal kunne ivaretas på en betryggende måte i et arbeidsfellesskap. Vi legger til grunn at ansvarsforholdene må være klargjort slik at det til enhver tid skal være mulig for pasienten å forholde seg til en databehandlingsansvarlig som fullt ut må stå økonomisk ansvarlig for eventuelle feil. Det må i siste instans være mulig å forfølge en ansvarlig for domstolene. Forslaget om i forskrift å etablere felles pasientjournalsystem ved formalisert gruppepraksis framstår ikke som gjennomtenkt.»

9.4 Departementets vurderinger og forslag

I arbeidsfellesskap kan det være behov for et felles pasientjournalsystem, der opplysninger registreres med utgangspunkt i den enkelte pasient uavhengig av hvilken virksomhet det helsepersonellet som registrerer opplysningene er tilknyttet. Et slikt eksempel er samarbeid mellom fastleger med formalisert arbeidsfellesskap. Regelverket om fastleger, herunder reglene om fellesliste i gruppepraksis, forutsetter et samarbeid mellom fastlegene som i dag vanskeliggjøres av forbudet mot felles behandlingsrettede helseregistre. Det vises til omtale av behovet under punkt 2.2.

For fastleger på et legesenter er det legesenteret som utad fremstår som den organisatoriske enhet. Det er derfor viktig for den organisatoriske kontinuiteten og pasientsikkerheten at journalen er én enhet innenfor denne organisatoriske rammen. Departementet mener at dette også gjør seg gjeldende overfor andre grupper helsepersonell som har et formalisert arbeidsfellesskap, for eksempel tannleger, distriktsmedisinske sentra og legevaktsamarbeid, jf. eksempler nedenfor.

Departementet mener at det bør åpnes for at felles behandlingsrettet helseregister kan tas i bruk når dette er forsvarlig og formålstjenlig i forhold til den type helsehjelp virksomheten yter. At slike registre kan etableres på en forsvarlig måte innebærer blant annet at ansvarsforholdene må være klart definerte. Det må derfor være klart hvem som er databehandlingsansvarlig for opplysningene. Den som det formaliserte arbeidsfellesskapet avtaler seg i mellom skal være databehandlingsansvarlig, må ha partsevne og kunne saksøkes for domstolene. Det må videre sikres at informasjonssikkerheten, herunder taushetsplikten, ivaretas på en forsvarlig måte.

Flere høringsinstanser etterlyser en nærmere omtale av hva som omfattes av begrepet «formalisert arbeidsfellesskap».

For at noe skal sies å være et «arbeidsfellesskap» i helseregisterlovens forstand mener departementet at formålet med at det er etablert et samarbeid er relevant. At man har etablert et samarbeid for å yte helsehjelp til pasienter er et moment i retning av at man har et «arbeidsfellesskap» etter loven. Departementet mener også at arbeidsfellesskapet utad må fremstå som én enhet, for eksempel et legesenter, et tannlegesenter, et distriktsmedisinsk senter, en legevakt eller lignende. Departementet ønsker ikke å begrense «arbeidsfellesskap» til helsepersonell innenfor samme helsepersonellgruppe. Det vil si at samarbeidet kan være på tvers av ulike grupper helsepersonell med journalføringsplikt, for eksempel et arbeidsfellesskap bestående av leger, sykepleiere, fysioterapeuter og psykologer. Et distriktsmedisinsk senter er et eksempel på samarbeid på tvers av helsepersonellgrenser.

For at arbeidsfellesskapet skal kunne sies å være «formalisert» kan det blant annet være relevant at det samarbeidende helsepersonellet har felles lokaler, at de alle kan ha behandlingsansvar for pasientene, at de har et etablert driftssamarbeid (for eksempel felles resepsjon og administrativt personell), om arbeidsfellesskapet har egne midler og om arbeidsfellesskapet har et driftsstyre eller lignende. Departementet mener imidlertid ikke at det kreves at det formelt er stiftet et selskap, firma eller lignende for at arbeidsfellesskapet skal sies å være «formalisert».

Som eksempler på hva departementet mener kan være «formalisert arbeidsfellesskap» nevnes legesenter, tannlegesenter, ulike typer legevaktsamarbeid, distriktsmedisinske sentra, helsehus og private tjenesteleverandører som etter avtale samarbeider med kommunehelsetjenesten.

Ovenfor nevnte eksempler er momenter i en vurdering og er ikke uttømmende. En nærmere avgrensning av begrepet formalisert arbeidsfellesskap, samt vilkår for etablering av felles behandlingsrettet helseregister må reguleres nærmere i forskrift.

10 Økonomiske og administrative konsekvenser

De foreslåtte lovendringene medfører i seg selv ingen økonomiske eller administrative konsekvenser. Vedtas lovendringene vil det imidlertid bli fremmet forslag om en forskrift med nærmere bestemte sikkerhetskrav. Forskriften skal bidra til å gi helsepersonell nødvendig elektronisk tilgang til helseopplysninger slik at helsehjelp kan tilbys på en forsvarlig og effektiv måte. Kravene i forskriften skal bidra til at dette kan skje uten å krenke personvernet. De krav som stilles vil medføre økonomiske kostnader, men ingen administrative konsekvenser av betydning. Datatilsynet og Statens helsetilsyn skal på vanlig måte føre tilsyn med at forskriften følges.

Det vil i forskriften blant annet bli satt krav om at virksomheter som tar i bruk behandlingsrettede helseregistre skal utarbeide en overordnet strategi og målsetting for informasjonssikkerheten i virksomheten. Det skal utarbeides styrende dokumenter, informasjonssikkerhetsplaner og rutiner for behandling av helseopplysninger på alle nivåer i virksomheten for å sikre at informasjonssikkerheten blir ivaretatt. Virksomhetene skal videre sørge for at personell som gis tilgang til helseopplysninger er gitt tilfredsstillende opplæring og kunnskap slik at bestemmelsene i forskriften kan etterleves. Det skal herunder gis nødvendig opplæring i reglene om taushetsplikt, pasientens rett til informasjon og rett til å motsette seg behandling av helseopplysninger.

De organisatoriske og administrative kravene i forskriften vil tydeliggjøre i all hovedsak krav i gjeldende regelverk. Kravene i forskriften er langt på vei allerede etablert eller planlagt etablert i helseforetak. Kravene i forskriften medfører slik sett ikke uforutsette kostnader. Tilpasningen av kravene må gjøres innenfor de til enhver tid gjeldende økonomiske rammer i virksomhetene.

I forskriften vil dagens tekniske krav til sikkerhet bli innarbeidet. Nye krav vil bli satt for tilgang til helseopplysninger i behandlingsrettede helseregistre på tvers av virksomhetsgrenser. Spesialisthelsetjenesten, kommunehelsetjenesten og andre helseaktører som ønsker slik tilgang må gjøre tilpasninger i de elektroniske pasientjournalsystemene for å imøtekomme kravene til sikkerhet. I elektroniske pasientjournalsystemer av eldre dato kan det være vanskelig å oppnå de krav til sikkerhet som settes i ny forskrift. Det vil for eldre systemer måtte gjøres en avveining for hvert system mellom nytte og kostnad ved å beholde systemene, kontra å foreta en nyanskaffelse, slik at det åpnes for at det kan gis tilgang på tvers av virksomhetsgrenser. I spesialisthelsetjenesten pågår eksempelvis et langsiktig og omfattende arbeid med å skifte ut eksisterende elektroniske pasientjournalsystemer med nye systemer som har forbedret funksjonalitet til pasientbehandling og sikkerhet. Dette arbeidet er planlagt og delvis budsjettert uavhengig av foreliggende lovforslag og forskrift.

Det foreslås hjemmel for i forskrift å kunne tillate at helsepersonell med formalisert arbeidsfellesskap skal kunne føre felles journal i et felles elektronisk pasientjournalsystem. Forslaget vil trolig ikke medføre store utgifter for de som har et slikt formalisert arbeidsfellesskap i dag, siden felles journalføring i mange tilfeller allerede foregår. Det kan imidlertid være nødvendig å gjøre noen tilpasninger. Utgiftene forutsettes dekket av de virksomhetene som til sammen utgjør arbeidsfellesskapet.

Forslaget om opprettelse av virksomhetsovergripende behandlingsrettede helseregistre innebærer kostnader for tilpasning av de systemer som skal avlevere opplysninger samt utviklingskostnader for å opprette registrene som skal motta opplysningene. Kostnadene ved utvikling og etablering av slike registre vil blant annet avhenge av om de helseopplysninger som skal være i registret er samtykkebasert, hvem som skal drifte registeret, hvem som skal ha databehandlingsansvaret og hvilke sikkerhetskrav som skal settes. Slike krav må reguleres særskilt når det er klargjort hva registeret skal inneholde, formålet med det etc.

Kostnadene ved tilpasning og utviklingskostnader for de enkelte elektroniske pasientjournalsystemene som er i bruk og de nye behandlingsrettede helseregistrene vil variere sterkt. Dette skyldes at de aktørene som skal samhandle har mange ulike systemer av stor teknisk kompleksitet. Mange komponenter inngår i et samlet kostnadsbilde, for eksempel operativsystem/programvare, hvilket pasientjournalsystem brukes, maskinvare osv. Kostnadene forutsettes som utgangspunkt dekket innenfor de enkelte aktørenes egne budsjettrammer.

11 Merknader til de enkelte bestemmelsene

11.1 Helseregisterloven

Merknad til § 6 a:

Første ledd presiserer at det bare kan etableres virksomhetsovergripende behandlingsrettede helseregistre som fremgår av helseregisterloven eller annen lov. Med virksomhetsovergripende behandlingsrettede helseregistre menes behandlingsrettede helseregistre som omfatter flere virksomheter (i motsetning til virksomhetsinterne registre). Begrepet virksomhet tilsvarer juridiske enheter. For at en virksomhet skal kunne være databehandlingsansvarlig, må den ha partsevne. Det vil blant annet si at den kan være saksøkt i en prosess for domstolene.

Annet ledd oppstiller vilkår for hva et virksomhetsovergripende behandlingsrettet helseregister etter denne paragrafen kan inneholde av helseopplysninger. Med «nærmere bestemte helseopplysningene i et begrenset omfang som er nødvendig og relevante for samarbeid mellom virksomheter om forsvarlig helsehjelp til pasienten», menes blant annet at registrene ikke skal inneholde pasientenes totale mengde journalopplysninger. Den totale mengden journalopplysninger om pasienten er sjeldent nødvendig for å sikre samhandling mellom virksomheter i helsetjenesten for nærmere bestemte konkrete behandlingsformål. Forskriften som hjemler virksomhetsovergripende behandlingsrettede helseregistre – for avgrensende helsehjelpsformål – må konkret ta stilling til formålet med registeret, samt hvilke helseopplysninger som skal kunne registreres og behandles i registeret. Det vises til tredje ledd i bestemmelsen.

Annet ledd siste punktum stiller krav om at virksomhetsovergripende behandlingsrettede helseregistre skal føres elektronisk.

Tredje ledd gir hjemmel for etablering av virksomhetsovergripende behandlingsrettede helseregistre som nevnt i annet ledd. Bestemmelsen gir ikke hjemmel for virksomhetsovergripende journaler som erstatning for virksomhetsinterne journaler.

Bestemmelsen gir ikke hjemmel for etablering av sentrale virksomhetsovergripende behandlingsrettede registre. Med sentrale registre menes registre som skal etableres på sentralt/nasjonal nivå for å ivareta landsomfattende oppgaver for helsetjenesten. Dersom det senere er ønskelig å etablere sentrale registre, må helseregisterloven endres.

Fjerde ledd sier at forskriften nærmere skal angi formålet med registeret, hvilke opplysninger som skal behandles, gi nærmere regler om data­behandlingsansvaret for registrene – herunder plassering, angi regler om tilgang og tilgangskontroll. I og med at dette gjelder etablering av behandlingsrettet helseregistre må det være et konkret og avgrenset formål innenfor formålet ­helsehjelp til pasienten. Fjerde ledd sier videre at forskriften skal inneholde regler om reservasjonsrett for pasienten og eventuelt regler om krav til samtykke. Dette betyr at forskriftshjemmelen omfatter både samtykkebaserte og ikke-samtykkebaserte behandlingsrettede helseregistre, jf. tredje ledd annet punktum. Ikke-samtykkebaserte registre skal imidlertid bare etableres der dette er nødvendig for å ivareta formålet med registeret.

Merknad til § 6 b:

Bestemmelsens første ledd gir hjemmel for i forskrift å tillate etablering av virksomhetsovergripende behandlingsrettede helseregistre for helsepersonell med formalisert arbeidsfellesskap.

Annet ledd angir at forskrift etter første ledd skal sikre plassering av databehandlingsansvaret. I dette ligger et krav om at det skal være klart hvem som er databehandlingsansvarlig for opplysningene. Den databehandlingsansvarlige skal sørge for at journal- og informasjonssystemene i det formaliserte arbeidsfellesskapet er forsvarlige. Plikten tilsvarer virksomheters plikter etter spesialisthelsetjenesteloven § 3–2 og kommunehelsetjenesteloven § 1–3 a.

Formålet med bestemmelsen er å sørge for at det kan opprettes felles behandlingsrettede helseregistre (pasientjournaler) for formaliserte arbeidsfellesskap, der det er behov for det. Bestemmelsens tredje ledd sier derfor at slike registre skal erstatte virksomhetsinterne behandlingsrettede helseregistre. Det innebærer at journalføringsplikten i helsepersonelloven §§ 39 og 40 gjelder tilsvarende. Det samme gjelder de andre bestemmelsene i kapittel 8 i helsepersonelloven.

Merknad til § 9:

Endringen gir mulighet for å pålegge virksomheter og helsepersonell meldeplikt, uten hinder av taushetsplikten, til registre som etableres med hjemmel i ny § 6 a. Forskriftene vil nærmere måtte konkretisere innholdet i meldeplikten og pliktsubjektet for meldeplikten.

Opplysninger som nevnt i forskrift etter § 6 a skal ikke uleveres etter første punktum dersom pasienten motsetter seg det, eller der det er et krav om samtykke, pasienten ikke samtykker til det.

11.2 Helsepersonelloven

Merknader til helsepersonelloven § 45:

Passusen «med mindre pasienten motsetter seg det» innebærer at pasienten har rett til å reservere seg mot at opplysninger gis til annet helsepersonell. Ordlyden i bestemmelsen er på dette punkt ikke endret. Pasientens rett til å motsette seg kommunikasjon av helseopplysninger forutsetter at pasienten er kjent med at opplysningene kan gis til annet helsepersonell som skal yte helsehjelp til pasienten, hvis ikke pasienten selv sier fra eller på annen måte uttrykker at dette ikke skal være tillatt. Bestemmelsen forutsetter at virksomheten utarbeider gode rutiner for informasjon om regelverket til pasienter. Pasienten må blant annet bli informert om at han eller hun kan be om at særlig sensitive opplysninger sperres for innsyn fra annet helsepersonell, og/eller han eller hun kan be om at opplysninger ikke skal utleveres til andre virksomheter, uten etter samtykke. Informasjonen kan gis som generell informasjon eller som individuell informasjon. Skriftlig informasjon bør følges opp muntlig.

Ordene «gis nødvendige og relevante helseopplysninger» innebærer at helseopplysningene kan gis som utlevering av kopi eller som tilgang til helseopplysninger i pasientens journal eller annet behandlingsrettet helseregister, eller muntlig.

Det materielle innholdet i bestemmelsen – hvilke opplysninger det kan gis tilgang til – er det samme som etter gjeldende rett, men ordlyden er endret fra å være «journalen eller opplysninger i journalen» til «helseopplysninger». Begrepet helseopplysninger omfatter alle opplysninger som er underlagt taushetsplikt etter helsepersonelloven § 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson. Det vises til helseregisterloven § 2 nr. 1. Langt de fleste opplysninger som nedtegnes som følge av journalføringsplikt etter helsepersonelloven §§ 39 og 40 med forskrifter vil være underlagt taushetsplikt etter helsepersonelloven § 21. Dersom det eventuelt skulle registreres opplysninger i journalen som ikke er underlagt taushetsplikt etter helsepersonelloven § 21 følgende, vil taushetsplikt etter helsepersonelloven heller ikke være til hinder for at opplysningene kommuniseres mellom helsepersonell.

Annet ledd fastslår at helseopplysninger som nevnt i første ledd kan gis av den databehandlingsansvarlige for opplysningene eller det helsepersonell som har dokumentert opplysningene, jf. § 39.

Utgangspunktet er at helsepersonell har taushetsplikt, jf. helsepersonelloven § 21 følgende. Taushetsplikt er en personlig plikt for helsepersonell. Det innebærer – som et utgangspunkt – at det bare er det helsepersonell som har taushetsplikt for opplysningene, som har mulighet til å gi opplysningene videre. Bruk av elektroniske journalsystemer og andre behandlingsrettede helseregistre, organisering av helsetjenesten etc. innebærer imidlertid at vedkommende helsepersonell ikke alene kan ha ansvaret for at taushetsplikten overholdes. Vedkommende helsepersonell har ansvaret for egne handlinger, men kan ikke ta ansvar for det som skjer på systemnivå, med mindre vedkommende er databehandlingsansvarlig for opplysningene.

Den databehandlingsansvarlige for behandlingen av opplysningene har derfor plikt til å sørge for å bygge opp systemer som gjør at taushetsplikten kan overholdes også når opplysningene lagres elektronisk. Det vises til omtale av helseregisterloven i punkt 3.3.

På samme måte som at helsepersonell (med taushetsplikt og journalføringsplikt) ikke alene kan stå ansvarlig for overholdelse av sikkerheten for virksomhetens elektroniske system, kan ikke vedkommende helsepersonell alene til enhver tid kunne sørge for at annet helsepersonell i nødvendig grad gis tilgang til nødvendige og relevante opplysninger. Vedkommende helsepersonell kan ha ferie, ha sluttet i sitt arbeid i aktuell helseinstitusjon, være syk, eller av andre grunner være borte fra arbeidet. Den databehandlingsansvarlige for behandlingen av opplysningene må derfor også ha en plikt til å sørge for at annet personell, enn det personellet som har nedtegnet opplysningene, har tilgang til opplysningene når det er nødvendig for at pasienten skal motta nødvendig helsehjelp. På denne bakgrunn bestemmer annet ledd at tilgang til helseopplysninger kan gis av den databehandlingsansvarlige for opplysningene, i tillegg til helsepersonellet som har nedtegnet opplysningen, jf. helsepersonelloven § 39.

Hvordan den databehandlingsansvarlige nærmere vil organisere hvordan det skal gis tilgang til opplysningene – for eksempel i hvilken grad det skal legges opp til meldingsutveksling, tilgangsstyring, utlevering av kopier etc., må vurderes av den enkelte databehandlingsansvarlige, hvor det tas utgangspunkt i formålet med utleveringen, informasjonssikkerhet, den interne organisasjonen, ressurser, infrastruktur etc. Et overordnet krav er at pasientens rett til nødvendig helsehjelp, taushetsplikten og pasientenes krav på konfidensialitet skal overholdes.

Det vises for øvrig til omtalen under kapittel 6 og gjeldende rett punkt 3.1.

Fotnoter

1.

I Ot.prp. nr. 5 (1999-2000) under merknaden til § 8.

Til forsiden