3 Gjeldende rett
3.1 Helsepersonelloven
Helsepersonell har plikt til å nedtegne og dokumentere sin virksomhet. Dokumentasjonsplikten er regulert i lov 2. juli 1999 nr. 64 om helsepersonell (helsepersonelloven) kapittel 8.
Det følger av helsepersonelloven §§ 39 og 40, at den som yter helsehjelp skal nedtegne relevante og nødvendige opplysninger om pasienten og helsehjelpen i en journal. Utdypende bestemmelser om journalens innhold, er gitt i forskrift av 21. desember 2000 nr. 1385 om pasientjournal (pasientjournalforskriften).
Pasientjournalen er et arbeidsverktøy for helsepersonell i tilknytning til ytelse av helsehjelp. Journalen er av grunnleggende betydning for helsepersonells mulighet til å gi pasienten faglig forsvarlig og nødvendig helsehjelp. Journalen skal blant annet gi oversikt over hvilke tiltak som er satt i verk, observasjoner og vurderinger, samt bidra til kommunikasjon mellom helsepersonell.
Hovedregler for kommunikasjon av pasientopplysninger mellom helsepersonell som skal yte helsehjelp til pasienten, følger av helsepersonelloven §§ 25 og 45. Slik kommunikasjon er tillatt, med mindre pasienten motsetter seg det.
Helsepersonelloven § 25 regulerer helsepersonells adgang til å gi helseopplysninger til personell de samarbeider med i forbindelse med den helsehjelp som ytes. Bestemmelsen lyder:
”Med mindre pasienten motsetter seg det, kan taushetsbelagte opplysninger gis til samarbeidende personell når dette er nødvendig for å kunne gi forsvarlig helsehjelp. For elektronisk tilgang til helseopplysninger på tvers av virksomheter gjelder helseregisterloven § 13 tredje og fjerde ledd.
Taushetsplikt etter § 21 er heller ikke til hinder for at personell som bistår med elektronisk bearbeiding av opplysningene, eller som bistår med service og vedlikehold av utstyr, får tilgang til opplysninger når slik bistand er nødvendig for å oppfylle lovbestemte krav til dokumentasjon.
Med mindre pasienten motsetter seg det, kan taushetsbelagte opplysninger gis til samarbeidende personell når dette er nødvendig for å ivareta behovene til pasientens barn, jf. helsepersonelloven § 10 a.
Personell som nevnt i første, andre og tredje ledd har samme taushetsplikt som helsepersonell.”
Opplysningene kan gis til samarbeidende personell både innenfor og utenfor virksomheten. Utgangspunket er at opplysninger kun kan gis til samarbeidende personell som trenger opplysningene for å yte helsehjelp til den konkrete pasienten. Loven sier ikke noe om i hvilken form opplysningene kan gis videre. Opplysningene kan derfor gis videre både muntlig, skriftlig eller på elektronisk form.
Det vil ofte være nødvendig å innhente opplysninger som er nedtegnet i forbindelse med at pasienten tidligere er gitt helsehjelp. Det kan være opplysninger som er nedtegnet i egen virksomhet eller i en annen virksomhet. Helsepersonelloven § 45 fastslår at helsepersonell som mottar en slik anmodning om å gi tilgang til eller utlevere journalen eller opplysninger i journalen til andre, i utgangspunktet har plikt til å etterkomme anmodningen, når de opplysninger det anmodes om er nødvendig for å yte helsehjelp. Helsepersonelloven § 45 lyder:
”Med mindre pasienten motsetter seg det, skal helsepersonell som skal yte eller yter helsehjelp til pasient etter denne lov, gis nødvendige og relevante helseopplysninger i den grad dette er nødvendig for å kunne gi helsehjelp til pasienten på forsvarlig måte. For elektronisk tilgang til helseopplysninger på tvers av virksomheter gjelder helseregisterloven § 13 tredje og fjerde ledd. Det skal fremgå av journalen at annet helsepersonell er gitt helseopplysninger.
Helseopplysninger som nevnt i første ledd kan gis av den databehandlingsansvarlige for opplysningene eller det helsepersonell som har dokumentert opplysningene, jf. § 39.
Departementet kan i forskrift gi nærmere bestemmelser til utfylling av første ledd, og kan herunder bestemme at annet helsepersonell kan gis tilgang til journalen også i de tilfeller som faller utenfor første ledd.”
Det skal ikke gis tilgang til eller utleveres flere opplysninger enn det som er nødvendig for å gi pasienten forvarlig helsehjelp. Det skal fremgå av journalen at annet helsepersonell er gitt adgang til journalen eller opplysninger i journalen etter helsepersonelloven § 45. Opplysninger kan gis til helsepersonell som yter helsehjelp både i egen virksomhet og i ekstern virksomhet.
Det følger både av helsepersonelloven §§ 25 og 45, og av pasient- og brukerettrettighetsloven § 5-3, at pasienten har rett til å nekte informasjonsutveksling mellom helsepersonell, selv om opplysningene er nødvendig for å yte helsehjelp. Retten til å nekte forutsetter at pasienten gir beskjed. Kravet om aktivitet fra pasienten for å forhindre informasjonsutveksling, er begrunnet i at pasienten må kunne legge til grunn at det utveksles relevant informasjon mellom helsepersonell om vedkommendes helsetilstand, og om hvilken helsehjelp som skal gis.
Kommunikasjon mellom helsepersonell i henhold til §§ 25 og 45 er som hovedregel tillatt mellom personell som skal yte helsehjelp til pasienten, men bestemmelsene er allikevel å anse som unntak fra helsepersonells taushetsplikt.
Helsepersonell har i henhold til helsepersonelloven § 21 en yrkesmessig taushetsplikt. Plikten omfatter både en passiv plikt til å tie og en aktiv plikt til å hindre at opplysninger bringes videre til andre eller ”lekker” ut. Helsepersonellets plikter korresponderer med virksomhetens plikt til å sørge for at journal- og informasjonssystemene i virksomhetene er forsvarlige, jf. spesialisthelsetjenesteloven § 3-2 og helse- og omsorgstjenesteloven § 5-10.
Helsepersonelloven § 21a fastsetter et forbud mot å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte taushetsbelagte opplysninger uten at det er begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp eller har særskilt hjemmel i lov eller forskrift.
3.2 Helseregisterloven
Lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger (helseregisterloven) er en spesiallov for opprettelse av helseregistre og for behandling av helseopplysninger i helseforvaltningen og helsetjenesten. Helseregisterloven er i likhet med lov 14. april. 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven), basert på EUs personverndirektiv (direktiv 95/46/EF). Lovene er således innholdsmessig svært like.
Lovens bestemmelser gjelder om ikke annet følger av særskilt lov som regulerer behandlingsmåten, se helseregisterloven § 3 tredje og fjerde ledd og § 36. Videre utfylles loven av personopplysningsloven og forskrift 15. desember 2000 nr. 1265 om behandling av personopplysninger (personopplysningsforskriften), jf. helseregisterloven § 36.
Lovens formål etter § 1 er å bidra til å gi helsetjenesten og helseforvaltningen informasjon og kunnskap uten å krenke personvernet. Den skal således ivareta både personvernet, pasientinteresser og samfunnsinteresser. Sikring av at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på opplysningene, er tydelig inntatt som en del av lovens formål.
Helseregisterloven gjelder for behandling av helseopplysninger i helseforvaltningen og i helsetjenesten som skjer helt eller delvis med elektroniske hjelpemidler, og som skjer for å fremme formålet med loven. Helseopplysninger er definert som ”taushetsbelagte opplysninger i henhold til helsepersonelloven § 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson”, jf. § 2 nr. 1.
Et vesentlig element i personvernretten er at enkeltindivider, som et ideal, skal kunne ha kontroll over hva andre skal få vite om hans eller hennes personlige forhold. I juridisk teori er dette beskrevet som et personopplysningsvern. Det er primært denne dimensjonen som er regulert i helseregisterloven gjennom regler om samtykke (§ 5), taushetsplikt (§ 15) mv. I likhet med i helselovgivingen for øvrig, er ikke selvbestemmelsesretten etter helseregisterloven uinnskrenket. Hensynet til samfunnets interesser veier i mange tilfeller tyngre enn hensynet til den enkeltes selvbestemmelsesrett på dette feltet. Denne avveiningen kommer også tydelig til uttrykk i EMK artikkel 8 og EUs personverndirektiv. Se nærmere om dette i pkt. 3.4.
Helseregisterloven ivaretar personvernet ved at det, i likhet med blant annet pasient- og brukerrettighetsloven, helsepersonelloven og journalforskriften, også stilles kvalitetskrav til helseopplysninger, infrastruktur og informasjonssystemer, jf. § 16. Manglende informasjons- og systemkvalitet vil kunne gi en rekke uønskede konsekvenser. Loven har egne bestemmelser som har til formål å bidra til sikker og betryggende behandling av helseopplysninger. Dette omfatter blant annet bestemmelser som setter grenser for tilgjengelighet til, og bruk av, opplysninger (§ 13).
Videre følger det av helseregisterloven § 11 at all behandling av helseopplysninger må ha et uttrykkelig angitt formål som igjen må falle innunder helseregisterlovens formålsangivelse, jf. helseregisterloven § 1. Det følger også av helseregisterloven § 11 at opplysningene ikke senere kan brukes til formål som er uforenelig med det opprinnelige formålet uten at den registrerte samtykker. Kravet om formålsbestemthet sikrer forutberegnelighet og gir en begrunnelse for behandling av helseopplysninger som skal ta opp i seg personvernmessige vurderinger, jf. helseregisterloven § 1 siste punktum.
Helseregistre skal, etter § 5, ha hjemmelsgrunnlag enten i konsesjon fra Datatilsynet, i forskrifter fastsatt i medhold av §§ 6-8, eller i egen lov.
Helseregisterloven § 6 gir hjemmel for elektronisk føring av behandlingsrettede helseregistre, og gir nærmere regler for behandlingen i registrene. Selve hjemmelen for etablering av registrene som omfattes av § 6, finnes i helsepersonelloven §§ 39 og 40 (plikten til å føre journal). Det er derfor ikke konsesjonsplikt for behandlingsrettede helseregistre, jf. helseregisterloven § 5 første og annet ledd. Slike registre trenger heller ikke å være regulert i forskrift.
Behandlingsrettet helseregister er definert i helseregisterloven § 2 nr 7, og omfatter pasientjournal- og informasjonssystem eller annet helseregister. Slike registre har som formål å gi grunnlag for handlinger som innebærer at det ytes helsehjelp til den enkelte pasient. Handlingene utføres av helsepersonell. I tillegg vil administrasjon av slike handlinger omfattes.
Elektronisk pasientjournal (EPJ) er omfattet av definisjonen av behandlingsrettet helseregister. Elektronisk pasientjournal er imidlertid ikke noe juridisk begrep med et presist innhold. EPJ er et sett med elektroniske helseopplysninger som genereres mange forskjellige steder, i ulikt format. Pasientjournal er definert som en samling eller sammenstilling av nedtegnelser/registrerte opplysninger om en pasient i forbindelse med ytelse av helsehjelp, jf. journalforskriften § 3.
Helseregisterloven § 6a gir hjemmel for etablering av virksomhetsovergripende, behandlingsrettede helseregistre. Med virksomhetsovergripende, behandlingsrettede helseregistre menes behandlingsrettede helseregistre som omfatter flere virksomheter (i motsetning til virksomhetsinterne registre). Sentrale behandlingsrettede helseregistre kan imidlertid ikke etableres med hjemmel i denne bestemmelsen, jf. § 6a tredje ledd.
Virksomhetsovergripende behandlingsrettede helseregistre i medhold av § 6a kan etableres for å bidra til samhandling og god kvalitet på helsehjelpen som ytes til pasienten, uavhengig av ved hvilken virksomhet pasienten er til behandling. Helseopplysningene knyttes til pasienten uavhengig av behandlingssted. De virksomhetsovergripende registrene etter § 6a skal ikke inneholde den totale mengde journalopplysninger om pasienten. En fullstendig samling av pasientens journalopplysninger er sjelden nødvendig for å sikre samhandling mellom virksomheter i helsetjenesten for nærmere bestemte konkrete behandlingsformål. Det enkelte virksomhetsovergripende register etableres med hjemmel i forskrift, jf. § 6a tredje ledd.
Helseregisterloven krever at det skal være en databehandlingsansvarlig for helseregistre, herunder behandlingsrettede helseregistre. Databehandlingsansvarlig er i helseregisterloven § 2 definert som «den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes, hvis ikke databehandlingsansvaret er særskilt angitt i loven eller i forskrift i medhold av loven». Definisjonen tilsvarer personopplysningslovens definisjon av behandlingsansvarlig.
Den databehandlingsansvarlige er den som alene eller sammen med andre bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes, hvis ikke databehandlingsansvaret er særskilt angitt i loven eller i forskrift i medhold av loven, jf. § 2 nr 8. Helseregisterloven pålegger den databehandlingsansvarlige en rekke plikter. Pliktene innebærer blant annet å sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, kvalitet og tilgjengelighet ved behandling av helseopplysninger, jf. § 16 første ledd.
Den databehandlingsansvarlige skal videre sørge for internkontroll, for at både den registrerte og allmennheten får den informasjonen de har krav på etter loven, samt at de registrertes begjæringer om retting og sletting av helseopplysninger i registeret blir fulgt opp. Blant annet fordi manglende oppfyllelse av ansvaret er straffesanksjonert og fordi den registrerte skal kunne få håndhevet sine rettigheter etter loven, er det et krav at databehandlingsansvarlig må ha partsevne – det vil si kunne saksøkes for domstolene.
Etter helseregisterloven § 27, skal den databehandlingsansvarlige som utgangspunkt ikke lagre opplysningene lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Bestemmelser om lagringstiden skal imidlertid også ivareta andre lovmessige krav, som for eksempel lov 4. desember 1992 nr. 126 om arkiv.
3.3 Personopplysningsloven
Av personopplysningslovens formålsbestemmelse § 1 første ledd, fremgår det at loven skal ”beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger”. Dette utdypes i andre ledd hvor det fremgår at loven skal bidra til at personopplysninger behandles i samsvar med grunnleggende personvernhensyn, noe som eksemplifiseres ved begreper som ”personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger”. Loven innarbeider EUs personverndirektiv (direktiv 95/46/EF) i norsk rett.
I loven § 2 er personopplysninger definert som ”opplysninger og vurderinger som kan knyttes til en enkeltperson”. En undergruppe av personopplysninger er sensitive personopplysninger, jf. § 2 nr. 8. For slike opplysninger gjelder strengere regler. Helseopplysninger er definert som sensitive personopplysninger. Loven slår fast at der behandlingen av sensitive opplysninger ikke har annet hjemmelsgrunnlag, kan Datatilsynet etter gitte kriterier gi konsesjon. Personopplysningsloven med forskrifter gjelder utfyllende for helseregisterloven, jf. helseregisterloven § 36. I stor grad gjelder dette personopplysningslovens og forskriftens bestemmelser om informasjonssikkerhet.
3.4 Forholdet til menneskerettighetene
Både Den europeiske menneskerettskonvensjonen (EMK) og FN-konvensjonen om økonomiske, sosiale og kulturelle rettigheter (SP), gjelder som norsk lov, jf. lov 21. mai 1999 nr. 30 om styrking av menneskerettighetenes stilling i norsk rett (menneskerettsloven).
FN-konvensjonen om økonomiske, sosiale og kulturelle rettigheter artikkel 12 forplikter konvensjonsstatene til å treffe tiltak for å virkeliggjøre retten for enhver til den høyest oppnåelige helsestandard både fysisk og psykisk. Myndighetene skal skape vilkår som trygger all legebehandling og pleie under sykdom. Dette forutsetter at tjenestetilbudet må holde en forsvarlig og adekvat standard i lys av statens tilgjengelige ressurser og utviklingsnivå.
EMK artikkel 8 pålegger staten å ha lover som verner privatlivets fred og den enkelte mot å få sin integritet og ære krenket, både av offentlige myndigheter og private aktører. EMK artikkel 8 nr. 2 stiller krav om at inngrep overfor individet må være 1) i samsvar med loven, og 2) nødvendig i et demokratisk samfunn av hensyn til den nasjonale sikkerhet, offentlig trygghet eller landets økonomiske velferd, for å forebygge uorden eller kriminalitet, for å beskytte helse eller moral, eller for å beskytte andres rettigheter og friheter.
Den europeiske menneskerettighetsdomstolen (EMD) har gjennom flere avgjørelser gradvis slått fast at EMK artikkel 8 omfatter personvern. Artikkel 8 nr. 1 i EMK må vurderes og veies mot SP artikkel 12. De personvernmessige ulempene ved bruk av sensitive opplysninger i et helseregister må således vurderes opp mot statens plikt til å sikre en god helsestandard. Det må også finnes lover som regulerer innsamling, forvaltning og spredning av personopplysninger. Domstolen vektlegger krav til klar lovhjemmel og proporsjonalitet (forholdsmessighet), noe som også har ført til at slike krav er blitt mer vektlagt og synliggjort ved anvendelse av personverndirektivet (95/46/EF) og øvrige regelsett på feltet.
17. juli 2008 avsa EMD dom i saken I. mot Finland (no. 20511/03). I dommen inkluderer EMD krav til informasjonssikkerhet i EMK artikkel 8. Saksøker var finsk pasient som anla sak mot den finske stat. Saksøker jobbet mellom 1989 og 1994 som sykepleier ved et offentlig sykehus i Finland. Fra 1987 gikk hun til behandling på en poliklinikk for smittsomme sykdommer på det samme sykehuset som hun selv jobbet. Hun hadde fått diagnosen HIV-positiv. Saksøker anla sak for EMD ettersom hun, på bakgrunn av kommentarer fra sine kollegaer på sykehuset, mente at de urettmessig hadde lest i hennes pasientjournal. Hun mente at myndighetene som var ansvarlige for sykehuset ikke hadde sørget for tilstrekkelig sikring mot urettmessig tilgang til pasientjournaler. Hun mente at dette var et brudd på EMK artikkel 8. EMD fant enstemmig at det forelå brudd på konvensjonen artikkel 8, og saksøker ble tilkjent erstatning for både økonomisk og ikke-økonomisk tap.
Etter departementets vurdering er bindende menneskerettighetsforpliktelser tilfredsstillende ivaretatt i forslaget til nasjonal kjernejournal. Endringen som foreslås er et bidrag for å forbedre nasjonale helsestandard, og svekker ikke ivaretakelsen av de hensyn som ligger bak EMK artikkel 8. Et viktig formål med forslaget er å legge til rette for en mer samordnet og helhetlig behandlingskjede, til pasientenes beste. I lys av dette bidrar forslaget til å forbedre befolkningens helse og levestandard, i tråd med internasjonale forpliktelser.