5 Gjeldende rett
I dette kapitlet gis en oversikt over gjeldende rett når det gjelder behandling av helseopplysninger etter helseregisterloven og personopplysningsloven, herunder hvilke alternative registerformer helseregisterloven oppstiller.
5.1 Helseregisterloven
5.1.1 Formål
Lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger (helseregisterloven) regulerer behandling av helseopplysninger, herunder etablering av helseregistre. Lovens overordnede målsetning er å bidra til at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn. Loven utfylles av lov 14. april. 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) og forskrift 15. desember 2000 nr. 1265 om behandling av personopplysninger (personopplysningsforskriften), jf. helseregisterloven § 36.
Formålet med helseregisterloven er, etter lovens § 1, å:
«bidra til å gi helsetjenesten og helseforvaltningen informasjon og kunnskap uten å krenke personvernet, slik at helsehjelp kan gis på en forsvarlig og effektiv måte. Gjennom forskning og statistikk skal loven bidra til informasjon og kunnskap om befolkningens helseforhold, årsaker til nedsatt helse og utvikling av sykdom for administrasjon, kvalitetssikring, planlegging og styring. Loven skal sikre at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på helseopplysninger.»
5.1.2 Virkeområde
Helseregisterloven gjelder for behandling av helseopplysninger i helseforvaltningen og i helsetjenesten som skjer helt eller delvis med elektroniske hjelpemidler, og som skjer for å fremme formål som beskrevet i § 1. Loven gjelder også for annen behandling av helseopplysninger i helseforvaltningen og helsetjenesten til slike formål, når helseopplysningene inngår eller skal inngå i et helseregister. Loven gjelder både offentlig og privat virksomhet, jf. § 3.
For at behandling av helseopplysninger skal reguleres av helseregisterloven, må behandlingen falle inn under formålet med loven.
Helsetjenesten og helseforvaltningen omfatter både den utøvende helsetjenesten og statlig, regional og kommunal helseforvaltning. Det presiseres i Ot.prp. nr. 5 (1999–2000) på side 182 – 183 at loven ikke gjelder «når helseopplysninger behandles utenfor helseforvaltningen og helsetjenesten, som for eksempel trygdeforvaltningen, sosialforvaltningen og barneverntjenesten, eller i virksomheter som behandler helseopplysninger etter arbeidsmiljøloven. Dette betyr at det må settes en grense mellom helseforvaltningens og helsetjenestens behandling av helseopplysninger og andre virksomheter eller annen forvaltnings behandling av helseopplysninger. (…) Når mottakere utenfor helseforvaltningen eller helsetjenesten mottar helseopplysninger fra helsetjenesten, vil personopplysningsloven gjelde for mottakere av opplysningene.»
Helseregisterlovens virkeområde kan gjennom forskrift med hjemmel i § 3 tredje ledd utvides til å gjelde behandling av helseopplysninger også utenfor helseforvaltningen og helsetjenesten. I Ot.prp. nr. 5 (1999–2000) side 184 vises det blant annet til at der helseopplysninger er samlet inn fra helsetjenesten for bruk til formål som har nær sammenheng med helsetjenesten og helseforvaltningens formål, kan det være grunn til å utvide helseregisterlovens virkeområde. Trygdeforvaltningen nevnes som et eksempel der dette kan være aktuelt. Det er imidlertid et vilkår, etter § 3 tredje ledd, at behandlingen av opplysninger må skje for å ivareta formål som beskrevet i § 1.
5.1.3 Lovens materielle innhold
Med helseopplysninger forstås «taushetsbelagte opplysninger i henhold til helsepersonell-loven § 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson», jf. § 2 nr. 1. Med behandling av helseopplysninger forstås «enhver formålsbestemt bruk av helseopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter», jf. § 2 nr. 5.
Helseregisterloven gir blant annet bestemmelser om etablering av helseregistre. Registre kan, etter § 5, ha hjemmelsgrunnlag i konsesjon fra Datatilsynet, i forskrifter fastsatt i medhold av §§ 7 og 8, eller i egen lov.
Et helseregister inneholder helseopplysninger, altså taushetsbelagte opplysninger og vurderinger av helseforhold, som kan knyttes til enkeltperson. Anonyme opplysninger kan ikke knyttes til enkeltperson og er ikke helseopplysninger etter helseregisterloven. Helseregisterloven oppstiller fire ulike registerformer: personidentifiserbare helseregistre med og uten samtykke, pseudonyme helseregistre og avidentifiserte helseregistre.
Sentrale helseregistre kan etableres ved forskrift fastsatt i medhold av § 8. Hovedregelen er at slike registre skal være basert på samtykke fra de registrerte. Samtykke er ikke nødvendig dersom helseopplysningene behandles i pseudonymisert eller avidentifisert form. Paragrafens andre ledd regulerer etablering av samtykkebaserte helseregistre, avidentifiserte helseregistre og pseudonyme helseregistre. Disse typene helseregistre kan etableres ved forskrift vedtatt av Kongen i Statsråd.
Helseregisterloven § 8 tredje ledd regulerer registre som kan behandle personidentifiserbare opplysninger uten krav om samtykke fra den registrerte. Bestemmelsen gir en uttømmende oppregning av de sentrale helseregistre med direkte personidentifiserende kjennetegn som er etablert uten samtykke, blant annet Dødsårsaksregisteret og Kreftregisteret. Slike registre kan bare opprettes etter vedtak i Stortinget, enten gjennom egen lov eller gjennom en proposisjon som foreslår en supplering av listen over allerede eksisterende lovbestemte registre. Stortinget vedtok 8. februar 2007 at personidentifikasjonen i alle de personidentifiserbare registrene hvor helseopplysninger behandles uten samtykke, skal lagres kryptert i registeret, se avsnitt 9.4.
Ved etablering av et helseregister må en avveie formålet registeret skal ivareta mot personvernulempene det representerer for den enkelte registrerte. Det gjelder særlig der registeret skal inneholde direkte personidentifiserbare helseopplysninger og det ikke kreves samtykke fra den enkelte registrerte. Krav til samtykke fra den registrerte og reglene om taushetsplikt er viktige tiltak for personvernet. All behandling som ikke skal baseres på samtykke fra den registrerte, representerer følgelig et inngrep i personvernet og krever en særskilt begrunnelse. Nytteverdien av registeret må i slike tilfeller overstige de personvernmessige ulempene.
5.1.4 Databehandlingsansvarlig og databehandler
Databehandlingsansvarlig er i helseregisterloven § 2 definert som «den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes, hvis ikke databehandlingsansvaret er særskilt angitt i loven eller i forskrift i medhold av loven». Definisjonen tilsvarer personopplysningslovens definisjon av behandlingsansvarlig.
Helseregisterloven pålegger den databehandlingsansvarlige en rekke plikter. Pliktene innebærer blant annet å sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, kvalitet og tilgjengelighet ved behandling av helseopplysninger, jf. § 16 første ledd og denne proposisjonens kapittel 9. Den databehandlingsansvarlige skal også sørge for internkontroll, for at både den registrerte og allmennheten får den informasjonen de har krav på etter loven, samt at de registrertes begjæringer om retting og sletting av helseopplysninger i registeret blir fulgt opp.
Databehandlingsansvarlig kan inngå avtale med en databehandler om behandling av opplysninger. Databehandler er i helseregisterloven § 2 definert som «den som behandler opplysninger på vegne av den databehandlingsansvarlige».
5.2 Personopplysningsloven
Personopplysningsloven trådte i kraft 1. januar 2001 og erstattet den tidligere lov om personregistre fra 1978. Loven innarbeider EUs personverndirektiv (direktiv 95/46/EF) i norsk rett. Av lovens formålsbestemmelse i § 1 første ledd fremgår at loven «skal beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger». Dette utdypes i andre ledd hvor det fremgår at loven skal bidra til at personopplysninger behandles i samsvar med grunnleggende personvernhensyn. Det eksemplifiseres ved begreper som «personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger».
Personopplysningslovens virkeområde følger av § 3. Loven gjelder for «a) behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler, og b) annen behandling av personopplysninger når disse inngår eller skal inngå i et personregister».
I loven § 2 er personopplysninger definert som «opplysninger og vurderinger som kan knyttes til en enkeltperson.». En undergruppe av personopplysninger er sensitive personopplysninger, jf. § 2 nr. 8. For slike opplysninger gjelder strengere regler. Helseopplysninger er sensitive personopplysninger.
Personopplysningsloven slår fast at der behandlingen av sensitive opplysninger ikke har annet hjemmelsgrunnlag, kan Datatilsynet gi konsesjon etter gitte kriterier.