5 Gjeldende rett
5.1 Egenandeler og fritak
5.1.1 Innledning
For å avhjelpe situasjonen for personer med høye utgifter til helsetjenester ble det fra 1. april 1984 innført en ordning med et utgiftstak for egenandeler (nå egenandelstak 1). Ordningen omfatter egenandeler betalt for legehjelp, psykologhjelp, legemidler og sykepleieartikler på blå resept, syketransport, radiologisk undersøkelse og behandling pluss laboratorieprøver.
Fra 1. januar 2003 ble det innført en ny frikortordning, egenandelstak 2, som omfatter egenandeler betalt for fysioterapi, opphold ved opptreningsinstitusjoner og andre private rehabiliteringsinstitusjoner som har driftsavtale med regionalt foretak, refusjonsberettiget tannbehandling med visse unntak og behandlingsreiser til utlandet (klimareiser).
Begge egenandelstakene er hjemlet i folketrygdloven § 5-3.
5.1.2 Egenandelstak 1
Stortinget fastsetter årlig det høyeste samlede beløpet som skal betales i godkjente egenandeler i løpet av et kalenderår (egenandelstaket). Betalte egenandeler utover det fastsatte taket gir brukere rett til frikort og å få refundert framtidige egenandeler. For 2009 er grensen satt ved 1780 kroner for egenandelstak 1.
Forskrift 18. april 1997 nr. 334 om egenandelstak 1 § 3 gir bestemmelser om hvilke utgifter som godtas som egenandeler. Forskriften § 2 andre ledd avgrenser ordningen mot egenandeler betalt i utlandet. De konkrete egenandelene framgår av forskriftene gitt til de aktuelle bestemmelsene i folketrygdloven §§ 5-4, 5-5, 5-7 og 5-14, spesialisthelsetjenesteloven § 2-1a og pasientrettighetsloven § 2-6.
5.1.3 Innhenting av opplysninger om betalte egenandeler
Etter lovendring som trådte i kraft 1. januar 2009 åpner folketrygdloven § 21-4 første ledd første punktum for å innhente «de opplysninger som er nødvendige for å kontrollere om vilkårene for en ytelse er oppfylt eller har vært oppfylt i tilbakelagte perioder eller for å kontrollere utbetalinger etter en direkte oppgjørsordning». Etter den tidligere ordlyden måtte formålet med innhentingen være å behandle krav om ytelser eller kontroll av løpende ytelser og tidligere utbetalte ytelser.
Isolert sett kan utstedelse av frikort karakteriseres som en ytelse etter folketrygdloven, og slik sett dekkes av opplysningspliktbestemmelsen. For at den automatiske frikortordningen skal fungere optimalt, må imidlertid alle betalte egenandeler innrapporteres fra behandlere og tjenesteytere, ikke bare der egenandelstaket er nådd og det blir satt fram krav om frikort.
Kjerneområdet for folketrygdloven § 21-4 knytter seg til et aktuelt krav fra en navngitt person, og opplysningene skal være nødvendige for å behandle dette konkrete kravet. I den automatiske frikortordningen vil rapporteringsplikt være løsrevet fra konkrete saker om frikort. I tillegg vil de egenandeler som innrapporteres, ikke alltid være nødvendige for behandlingen av et krav, verken på rapporteringstidspunktet eller senere i kalenderåret. Det siktes her til de tilfelle der egenandelstaket ikke nås. På denne bakgrunn mener departementet at folketrygdloven § 21-4 ikke gir tilstrekkelig hjemmel for innhenting av opplysninger om alle betalte egenandeler. Det er nødvendig å få en ny bestemmelse som løser denne problemstillingen.
5.2 Taushetsplikt
5.2.1 Taushetsplikt etter helsepersonelloven
Taushetsplikten i helsetjenesten reguleres etter et tosporet system. Enhver som yter tjenester for et forvaltningsorgan, er bundet av reglene om taushetsplikt i forvaltningsloven. I tillegg er helsepersonell bundet av profesjonsbestemt taushetsplikt etter helsepersonelloven. Helsepersonellovens hovedregel om taushetsplikt følger av § 21:
«Helsepersonell skal hindre at andre får adgang eller kjennskap til opplysninger om folks legems- eller sykdomsforhold eller andre personlige forhold som de får vite om i egenskap av å være helsepersonell.»
Plikten omfatter både en passiv plikt til å tie og en aktiv plikt til å hindre at andre får tilgang til taushetsbelagte opplysninger. Forsvarlig håndtering og oppbevaring av pasientopplysninger er en forutsetning for å etterleve den lovbestemte taushetsplikten. Bestemmelsen innebærer at taushetsbelagte opplysninger bare kan gis eller utleveres til andre når det i lov, eller i medhold av lov, uttrykkelig er fastsatt eller klart forutsatt at taushetsplikt ikke skal gjelde.
Taushetsplikten i helsetjenesten skal beskytte pasienters personlige forhold og er en grunnleggende forutsetning for et tillitsforhold mellom pasienten og helsetjenesten. Det er viktig med et godt tillitsforhold slik at personer ikke unnlater å oppsøke helsetjenesten i frykt for at opplysninger kommer på avveie. Taushetsplikten skal også ivareta hensynet til at pasienter er trygge på å gi informasjon som er nødvendig for å gi en forsvarlig behandling.
5.2.2 Taushetsplikt etter helseregisterloven
Det følger av helseregisterloven § 15 at enhver som behandler helseopplysninger etter loven, har taushetsplikt både etter forvaltningsloven og helsepersonelloven. Dette innebærer at helsepersonell som utfører administrative oppgaver, men ikke utøver sin profesjon som for eksempel lege eller sykepleier, også er underlagt helsepersonellovens regler om taushetsplikt. Det samme gjelder for personell som forvalter lokale, regionale og sentrale helseregistre. Bestemmelsen innebærer at dersom det skal gjøres unntak fra taushetsplikt, må det være hjemmel både i forvaltningsloven og i helsepersonelloven. Det gjelder for alle helseopplysninger som behandles i henhold til helseregisterloven og uansett til hvilke formål opplysningene behandles.
5.2.3 Taushetsplikt for helseøkonomiforvaltningen (HELFO)
HELFOs taushetsplikt er regulert i arbeids- og velferdsforvaltningsloven § 7 og forvaltningsloven §§ 13 til 13 e. Dette følger av folketrygdloven § 21-11a tredje ledd.
Forvaltningsloven § 13 første ledd oppstiller taushetsplikt for opplysninger om «noens personlige forhold». Det følger av arbeids- og velferdsforvaltningsloven § 7 første ledd at taushetsplikt for Arbeids- og velferdsetaten også gjelder «fødested, fødselsdato, personnummer, statsborgerskap, sivilstand, yrke, bosted og arbeidssted».
En opplysning om en person har nådd egenandelstaket eller ikke, regnes som en opplysning om «noens personlige forhold». Utgangspunktet er derfor at HELFO ikke kan utlevere denne opplysningen med mindre det fins hjemmel i lov.
5.2.4 Taushetsplikt etter spesialisthelsetjenesteloven
Spesialisthelsetjenesteloven § 6-1 regulerer den forvaltningsmessige taushetsplikt i helseinstitusjoner og fastslår at «enhver» som utfører tjeneste eller arbeid for en helseinstitusjon har taushetsplikt etter forvaltningsloven §§ 13 til 13e. Bestemmelsen har bare betydning for ansatte i spesialisthelsetjenesten, herunder ansatte ved helseforetakenes lokale enheter for pasientreiser, som behandler opplysninger som ikke reguleres av helseregisterloven.
Taushetsplikten etter spesialisthelsetjenesteloven § 6-1 går, på samme måte som etter arbeids- og velferdsforvaltningsloven, lengre enn taushetsplikten i forvaltningsloven § 13 annet ledd ved at bestemmelsen regner opp en del opplysninger som taushetsbelagte, som i utgangspunktet ikke regnes som taushetsbelagte etter forvaltningsloven. Dette gjelder pasientens fødested, fødselsdato, personnummer, statsborgerforhold, sivilstand, yrke, bopel og arbeidssted. Denne utvidelsen ble gjort etter modell fra sosialtjenesteloven § 8-8. Begrunnelsen for taushetsplikt for såkalte nøytrale opplysninger i sosialtjenesteloven var først og fremst at klienter ellers kunne bli redde for å oppsøke denne tjenesten.
5.3 Regulering av registre
5.3.1 Personverndirektivet
Europaparlaments- og rådsdirektiv 95/46/EF av 24.oktober 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (Personverndirektivet) er tatt inn i EØS-avtalen. Dette innebærer at det ikke er adgang til å gjøre endringer i lovverket, herunder endring av prinsipper, som ikke vil være i tråd med EUs personverndirektiv. Personopplysningsloven og helseregisterloven er i stor grad utformet etter dette direktivet.
5.3.2 Den europeiske menneskerettskonvensjon (EMK)
Det følger av EMK artikkel 8 nr. 1 at enhver har rett til respekt for sitt privatliv og familieliv, hjem og sin korrespondanse. EMK artikkel 8 nr. 2 stiller krav om at inngrep overfor individet må være 1) i samsvar med loven (krav om lovhjemmel), og 2) nødvendig i et demokratisk samfunn av hensyn til den nasjonale sikkerhet, offentlig trygghet eller landets økonomiske velferd, for å forebygge uorden eller kriminalitet, for å beskytte helse eller moral, eller for å beskytte andres rettigheter og friheter. Fastsettelse av regler om behandling av sensitive opplysninger som helseopplysninger, må vurderes opp mot disse bestemmelsene.
5.3.3 Helseregisterloven
Lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger (helseregisterloven) gjelder for behandling av helseopplysninger i helseforvaltningen og helsetjenesten som skjer helt eller delvis med elektroniske hjelpemidler for å fremme lovens formål, eller når helseopplysninger inngår eller skal inngå i et helseregister. Formålet med helseregisterloven er å bidra til å gi helsetjenesten og helseforvaltningen informasjon og kunnskap uten å krenke personvernet, slik at helsehjelp kan gis på en forsvarlig og effektiv måte. Gjennom forskning og statistikk skal loven bidra til informasjon og kunnskap om befolkningens helseforhold, årsaker til nedsatt helse og utvikling av sykdom for administrasjon, styring og kvalitetssikring. En viktig del av lovens formål er å sikre at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på helseopplysninger.
Helseopplysninger er i helseregisterloven § 2 nr. 1 definert som «taushetsbelagte opplysninger i henhold til helsepersonelloven § 21 og andre opplysninger og vurderinger om helseforhold som kan knyttes til en enkeltperson».
Behandling av helseopplysninger og etablering av helseregistre skal etter helseregisterloven i utgangspunktet være basert på samtykke fra de registrerte. Et samtykke er «en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av helseopplysninger om seg selv», jf. § 2 nr.11. All behandling av helseopplysninger må ha et hjemmelsgrunnlag. Dersom det ikke foreligger hjemmel i lov eller forskrift, må det innhentes konsesjon, jf. helseregisterloven § 5 og personopplysningsloven § 33, jf. §§ 8 og 9.
Helseregisterloven inneholder en rekke bestemmelser om behandling av helseopplysninger. Regler om sammenstilling av helseopplysninger står i § 12 og tilgang til opplysninger i den databehandlingsansvarliges og databehandlers institusjon er regulert i § 13. Helseregisterloven § 11 første punktum krever at enhver behandling av helseopplysninger skal ha et uttrykkelig angitt formål som er saklig begrunnet i den databehandlingsansvarliges virksomhet. Videre følger det av helseregisterloven § 11 tredje ledd at helseopplysninger ikke kan anvendes til formål som er uforenlig med det opprinnelige formålet med innsamlingen av opplysningene, uten at den registrerte samtykker.
Den registrertes rett til informasjon følger av helseregisterloven § 21 og §§ 23 og 24, som omhandler henholdsvis den registrertes rett til generell informasjon om registeret, den registrertes rett til informasjon når det samles inn opplysninger fra den registrerte og informasjon når det samles inn opplysninger fra andre enn den registrerte.
Den registrerte har videre etter helseregisterloven § 22 annet ledd rett til innsyn i de opplysningene som er registrert om vedkommende i registeret. I tillegg har den registrerte rett til å få innsyn i sikkerhetstiltakene ved behandling av opplysningene så langt dette ikke svekker sikkerheten. Rent praktisk kan innsynet gjøres gjeldende via henvendelse til den databehandlingsansvarlige for opplysningene, som må ha rutiner for håndtering av slike henvendelser.
Helseregisterloven § 16 om informasjonssikkerhet inneholder en forskriftshjemmel slik at det kan gis nærmere regler om sikkerheten ved behandling av helseopplysninger etter loven.
Helseregisterloven utfylles av personopplysningsloven og forskrift 15. desember 2000 nr. 1265 om behandling av personopplysninger (personopplysningsforskriften), jf. helseregisterloven § 36.
5.3.4 Folketrygdloven
Ved overføring av helserefusjonsområdet fra Arbeids- og velferdsdirektoratet til Helsedirektoratet ble det gjort endringer i folketrygdloven, herunder ny § 21-11a. Det fremgår av fjerde ledd i denne bestemmelsen at helseregisterloven ikke får anvendelse på behandling av personopplysninger i tilknytning til ytelser etter lovens kapittel 5, stønad ved helsetjenester. Dette innebærer at det er personopplysningsloven som får anvendelse.
Det følger videre av § 21-11a femte ledd at det er Helsedirektoratet som er behandlingsansvarlig ved behandling av saker etter folketrygdloven kapittel 5. Bestemmelsen gir hjemmel for å gi nærmere regler om behandlingsansvaret i forskrift.
5.3.5 Personopplysningsloven
Personopplysningsloven gir generelle bestemmelser om behandling av personopplysninger. Loven definerer en personopplysning som opplysninger som kan knyttes til en fysisk person.
Formålet med personopplysningsloven er å «beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger», jf. § 1. Loven stiller alminnelige vilkår for å behandle personopplysninger i § 8 og særlige vilkår for å behandle sensitive personopplysninger i § 9. Grunnvilkår for å behandle personopplysninger er at det må foreligge samtykke, lovhjemmel eller behandlingen av opplysningene må være nødvendig for visse formål som er angitt i loven. Utgangspunktet er at den enkelte, i så stor grad som mulig, selv skal ha bestemmelsesrett over opplysninger som gjelder en selv. Personopplysningslovens og helseregisterlovens definisjon av samtykke er sammenfallende.
Opplysninger om helseforhold er sensitive personopplysninger, jf. personopplysningsloven § 2 nr. 8 bokstav d. Behandling av sensitive personopplysninger krever som hovedregel konsesjon fra Datatilsynet, jf. personopplysningsloven § 33.
Personopplysningen med tilhørende personopplysningsforskrift inneholder en rekke krav for behandling av personopplysninger, herunder krav til behandlingsansvarlig (kalt databehandlingsansvarlig i helseregisterlovgivningen), informasjonsplikt, rett til innsyn, krav til informasjonssikkerhet og konfidensialitet, tilgang til og utlevering av opplysninger, oppbevaring mv.