32 Helselovene
Departementet foreslår endringer i helselovene slik at de tilpasses de generelle personvernreglene i EUs personvernforordning og den nye personopplysningsloven.
I helsesektoren behandles helseopplysninger i forbindelse med helsehjelp, kvalitetsforbedring, forskning, statistikk, helseanalyser mv. Vi har flere lover og en rekke forskrifter som gir særregler om behandling av helseopplysninger. Disse reglene utfyller og til dels skjerper de generelle kravene etter personopplysningsloven. Det er satt strenge vilkår for å kunne samle inn, lagre og behandle helseopplysninger, og strenge krav til konfidensialitet, informasjonssikkerhet, innsyn osv. Departementet legger til grunn at slike nasjonale særregler, som setter vilkår for eller begrenser behandlingen av helseopplysninger, kan videreføres, jf. artikkel 9 nr. 4.
Det foreslås endringer i følgende lover:
pasient- og brukerrettighetsloven
helsepersonelloven
helseberedskapsloven
behandlingsbiobankloven
matloven
helseforskningsloven
pasientjournalloven
helseregisterloven
32.1 Videreføring av gjeldende regler med lovtekniske tilpasninger
Departementet foreslår at gjeldende helselover videreføres så langt det er adgang til det etter forordningen. Dette betyr at gjeldende lovgivning i all hovedsak videreføres.
Departementet har gått gjennom og vurdert alle relevante helselover. Flere av høringsinstansene har pekt på at det er behov for en slik gjennomgang og vurdering. Forslaget til lovendringer er basert på disse vurderingene. I denne lovproposisjonen er det likevel kun de bestemmelsene som foreslås endret, som er kommentert. De bestemmelsene som ikke foreslås endret, er med andre ord vurdert og funnet å være i samsvar med forordningen.
For at behandling av helseopplysninger skal være lovlig etter forordningen, må minst ett av vilkårene i forordningen artikkel 6 nr. 1 og i artikkel 9 nr. 2 være oppfylt, se punkt 6.3 til 6.4 og 7.1 over om reglene om behandlingsgrunnlag og behandling av særlige kategorier av personopplysninger. Når behandlingen ikke er basert på samtykke, vil det ofte kunne være nødvendig med supplerende nasjonale regler om behandlingen, jf. artikkel 6 nr. 1 bokstav c og e og artikkel 9 nr. 2 bokstav g, h, i og j. Departementet har ikke avdekket et behov for å utforme nye supplerende rettsgrunnlag, jf. artikkel 6 nr. 1 bokstav c og e og nr. 3, for behandling av personopplysninger innenfor helselovgivningens virkeområde. Departementet har heller ikke avdekket behov for nye nasjonale bestemmelser som gjør unntak fra forbudet mot å behandle særlige kategorier av personopplysninger, som også omfatter helseopplysninger, jf. artikkel 9 nr. 1. Det foreslås heller ikke nye «egnede og særlige tiltak» for å verne den registrertes rettigheter og interesser i tråd med artikkel 9 nr. 2. Helselovgivningen med forskrifter gir en rekke slike garantier, med taushetsplikten som en særlig vesentlig garanti i denne sammenhengen. Et annet tiltak er for eksempel kravet om kryptering i helseregisterloven § 21. Krav om sletting og andre særlige tiltak er fastsatt i eller i medhold av lov- eller forskriftsbestemmelser, for eksempel registerforskriftene, forhåndsgodkjenning fra den regionale komiteen for medisinsk og helsefaglig forskningsetikk (REK) eller vedtak om utlevering av opplysninger.
Det må imidlertid gjøres lovtekniske tilpasninger. Blant annet er det en rekke lovbestemmelser som henviser til eller gjengir gjeldende personopplysningslov, som må oppheves eller erstattes av henvisninger til artikler i forordningen. Ettersom forordningen må gjennomføres slik den lyder, åpner forordningen i mindre grad enn 95-direktivet for omskrivninger og gjengivelser i helselovgivningen. Departementet foreslår at forordningens bestemmelser og definisjoner som hovedregel ikke gjentas i helselovene. Kun dersom det er tale om helt sentrale bestemmelser, gjengis disse, eller det henvises til dem i loven. Dette vil på mange punkter innebære at man ved behandling av personopplysninger innenfor helselovenes virkeområde i større grad enn i dag må se hen til den generelle personopplysningsloven og forordningen.
32.2 Dataansvarlig
Departementet foreslår at uttrykket «databehandlingsansvarlig» i helselovgivningen erstattes med «dataansvarlig». I dansk personvernlovgivning brukes uttrykket dataansvarlig på alle områder.
Forslaget er en språklig forenkling som ikke innebærer innholdsmessige endringer. Uttrykket er synonymt med «behandlingsansvarlig», som er uttrykket som brukes i gjeldende personopplysningslov, den norske oversettelsen av forordningen og forslaget til ny personopplysningslov. Behandlingsansvarlig er definert i forordningen artikkel 4 nr. 7. Det er nødvendig med en annen terminologi i helselovgivningen for å unngå forveksling med behandlingsansvarlig for helsehjelp. Uttrykket «databehandlingsansvarlig» er imidlertid tungt og er ikke intuitivt forståelig.
32.3 Supplerende rettsgrunnlag og unntak fra forbudet mot behandling av helseopplysninger
32.3.1 Oversikt
Behandling av helseopplysninger krever som nevnt i punkt 32.1 både behandlingsgrunnlag etter forordningen artikkel 6 nr. 1 og at vilkårene i et av unntakene fra forbudet mot behandling av særlige kategorier av personopplysninger (blant annet helseopplysninger) i artikkel 9 nr. 2 er oppfylt. Et gyldig samtykke etter forordningen artikkel 4 nr. 11, gir behandlingsgrunnlag etter artikkel 6 nr. 1 bokstav a og vil som regel også gi adgang til behandling av særlige kategorier av personopplysninger etter artikkel 9 nr. 2 bokstav a. For behandling som ikke er basert på et slikt samtykke, vil det etter forordningen ofte være nødvendig med supplerende rettsgrunnlag i nasjonal rett e. Dette gjelder blant annet for behandling på grunnlag av artikkel 6 nr. 1 bokstav c (behandlingen er nødvendig for å oppfylle en rettslig forpliktelse) eller bokstav e (behandlingen er nødvendig for å utføre en oppgave i offentlighetens interesse eller for å utøve offentlig myndighet som den behandlingsansvarlige er pålagt). Ved behandling av helseopplysninger stiller artikkel 9 nr. 2 bokstav g, h, i og j krav om at behandlingen er tillatt i nasjonal rett. Se nærmere i punkt 6.3 til 6.4 og 7.1 om kravene til slike nasjonale supplerende lovbestemmelser.
Departementet legger til grunn at gjeldende bestemmelser i helselovene vil gi supplerende rettsgrunnlag for ikke-samtykkebasert behandling av helseopplysninger og unntak fra forbudet mot behandling av særlige kategorier av personopplysninger for de formålene som omfattes. Det understrekes samtidig at det etter forordningens system på vanlig måte beror på en nærmere vurdering i det enkelte tilfelle i hvilken utstrekning behandling kan skje. Dette behandles nærmere under i punkt 32.3.2 til 32.3.4.
32.3.2 Helseforskningsloven og REKs forskningsetiske vurdering
Som flere av høringsinstansene har påpekt, reiser personvernforordningen spørsmål om den videre rollen til den regionale komiteen for medisinsk og helsefaglig forskningsetikk (REK).
REKs forhåndsgodkjenning skal ikke ha personopplysningsrettslig betydning
Etter gjeldende regler gir forhåndsgodkjenningen fra REK et «nødvendig og tilstrekkelig behandlingsgrunnlag» for helseopplysninger i medisinsk og helsefaglig forskning. Dette innebærer at kravet om etisk forhåndsgodkjenning fra REK erstatter kravet om behandlingsgrunnlag etter personopplysningsloven §§ 8 og 9.
Denne løsningen åpner forordningen etter departementets vurdering ikke for å videreføre. Etter forordningen må enhver behandling ha behandlingsgrunnlag etter artikkel 6 nr. 1, og vilkårene i et av unntakene fra forbudet mot behandling av særlige kategorier av personopplysninger må være oppfylt, jf. artikkel 9 nr. 2. Også behandling av personopplysninger i forbindelse med medisinsk og helsefaglig forskning må forankres i disse bestemmelsene, og den forskningsetiske godkjenningen kan derfor ikke i seg selv anses som et nødvendig og tilstrekkelig grunnlag for behandlingen.
Den personopplysningsrettslige betydningen av REKs forhåndsgodkjenning foreslås på denne bakgrunn endret, vet at godkjenningen som sådan ikke lenger vil utgjøre et nødvendig og tilstrekkelig behandlingsgrunnlag. I stedet må det på vanlig måte påvises et grunnlag for behandlingen i tråd med forordningens regler, om nødvendig i kombinasjon med nasjonale supplerende lovbestemmelser.
Når behandlingen er samtykkebasert, vil artikkel 6 nr. 1 bokstav a gi behandlingsgrunnlag, og artikkel 9 nr. 2 bokstav a vil åpne for behandling av helseopplysninger. Det er i slike tilfeller ikke nødvendig med nasjonale supplerende lovbestemmelser.
For behandling av helseopplysninger for forskningsformål som ikke er basert på samtykke, vil det derimot være nødvendig med nasjonale lovbestemmelser som åpner for behandlingen, jf. artikkel 9 nr. 2 bokstav j. Det vises til punkt 11.2 over om denne bestemmelsen. Dersom behandlingen skal ha grunnlag i artikkel 6 nr. 1 bokstav e, kreves også et supplerende rettsgrunnlag, se punkt 6.3.2 og 11.1 om dette kravet. I forslaget til ny personopplysningslov er det foreslått generelle bestemmelser som åpner for behandling av personopplysninger for forskningsformål uten samtykke, både alminnelige opplysninger og særlige kategorier av personopplysninger, jf. § 8 og 9. Departementet foreslår at disse bestemmelsene også skal gjelde medisinsk og helsefaglig forskning. Helselovene, kombinert med forordningen artikkel 6 nr. 1 bokstav e og artikkel 9 nr. 2 bokstav j, vil imidlertid etter departementets vurdering gi supplerende rettsgrunnlag og unntak fra forbudet mot behandling av særlige kategorier av personopplysninger. Dersom behandlingen skjer i tråd med helselovene, er det dermed ikke nødvendig å oppfylle vilkårene i personopplysningsloven § 8 eller § 9.
Ikke-samtykkebasert forskning på taushetsbelagte helseopplysninger vil være avhengig av lovbestemmelser som åpner for unntak fra taushetsplikten. Disse bestemmelsene vil etter departementets vurdering også gi supplerende rettsgrunnlag etter artikkel 6 nr. 1 bokstav e og gjøre unntak fra forbudet mot behandling av særlige kategorier av personopplysninger, jf. artikkel 9 nr. 2 bokstav j, samt sikre de nødvendige «egnede og særlige tiltak» i denne forbindelse. Departementet redegjør nærmere for dette i neste punkt.
I de tilfellene der REK fatter vedtak om dispensasjon fra taushetsplikt, får det liten praktisk betydning at reglene om dispensasjon fra taushetsplikt anses å utgjøre det supplerende rettsgrunnlaget for behandlingen i stedet for at REKs forskningsetiske vurdering utgjør et nødvendig og tilstrekkelig behandlingsgrunnlag. Prinsipielt har det likevel betydning at behandlingen forankres i forordningen artikkel 6 nr. 1 og artikkel 9 nr. 2.
Det understrekes at endringen i den rettslige betydningen av REKs forhåndsgodkjenning ikke innebærer at behandlingen må forhåndsgodkjennes av Datatilsynet, se punkt 12.5 over om forslaget om ikke å videreføre konsesjonsplikten. Forordningens regler om vurdering av personvernkonsekvenser og forhåndsdrøftinger med Datatilsynet, vil derimot gjelde også for behandlingen som omfattes av helseforskningsloven, se punkt 16.5 om disse reglene.
REKs forskningsetiske vurderinger videreføres
Det understrekes at det ikke forslås endringer i REKs forskningsetiske vurderinger. Det vil altså fortsatt gjelde krav om etisk forhåndsgodkjenning fra REK for å kunne behandle helseopplysninger i medisinsk og helsefaglig forskning, jf. helseforskningsloven § 9.
REKs forhåndsgodkjenning skal sikre at forskningsetikken ved nye prosjekter er ivaretatt. REK gjør en helhetlig forskningsetisk vurdering av alle prosjektets sider og påser at det totalt sett er forsvarlig og i henhold til anerkjente etiske normer. Selv om den forskningsetiske vurderingen ikke utgjør et grunnlag for behandling av personopplysninger, vil REKs vurdering utgjøre et egnet og særlig tiltak for å verne den registrertes grunnleggende rettigheter og interesser, jf. forordningen artikkel 9 nr. 2 bokstav j.
Som et ledd i den forskningsetiske vurderingen, skal REK, som i dag, ta stilling til behandlingen av personopplysninger som prosjektene innebærer. Dette gjelder blant annet om datainnhenting, datahåndtering, deling av data og dataeierskap er i samsvar med reglene om taushetsplikt og personvern. Hvorvidt samtykket er dekkende og om informasjonen til de registrerte er tilstrekkelig, er sentrale spørsmål i denne forskningsetiske vurderingen.
REKs vurdering av de personvernmessige sidene av behandlingen, kan imidlertid ikke være bindende for Datatilsynet ved et eventuelt tilsyn. Den dataansvarlige (forskningsansvarlig) vil fortsatt ha ansvar for at behandlingen er i samsvar med personvernreglene. Datatilsynet må på selvstendig grunnlag kunne ta stilling til om behandlingen er i samsvar med forordningen, for eksempel om det er avgitt gyldig samtykke, om informasjonen til de registrerte er tilstrekkelig og om prinsippet om dataminimering er ivaretatt. Datatilsynet vil dermed, uavhengig av REKs forhåndsgodkjenning, kunne fastsette tvangsmulkt eller overtredelsesgebyr dersom kravene i forordningen ikke er overholdt.
Helsedatautvalgets flertall har foreslått at det ikke lenger skal kreves forskningsetiske vurderinger fra REK i prosjekter som kun innebærer bruk av helsedata fra helseregistre, det vil si prosjekter som ikke innebærer direkte kontakt med forskningsdeltakere som for eksempel medisinske tester, klinisk utprøving av legemidler eller operative inngrep. (Et nytt system for enklere og sikrere tilgang til helsedata. Rapport fra Helsedatautvalget 2016–2017). Departementet har ikke tatt stilling til dette forslaget. Endringer i helseforskningslovens regler om dette vil eventuelt bli vurdert i sammenheng med oppfølgingen av utvalgets rapport.
32.3.3 Dispensasjon og unntak fra taushetsplikten
Departementet legger til grunn at Helsedirektoratets eller REKs lovhjemlede vedtak om dispensasjon eller unntak fra taushetsplikten vil gi supplerende rettsgrunnlag etter artikkel 6 nr. 3 og unntak fra forbudet mot behandling av særlige kategorier av personopplysninger i tråd med artikkel 9 nr. 2. Departementet viser til at lovbestemmelsene som vedtakene er hjemlet i, avgrenser hvilke spesifikke formål opplysningene skal kunne brukes til. Videre vil vedtakene sikre særlige tiltak eller garantier for å verne de registrertes rettigheter og friheter, jf. artikkel 9 nr. 2 bokstav g, h, i og j. Dette begrunnes nærmere i det følgende.
Aktuelle lovbestemmelser
Helseopplysninger som behandles for formålene som omfattes av helselovgivningen, er i utgangspunktet underlagt lovfestet taushetsplikt, jf. helsepersonelloven § 21, pasientjournalloven § 15, helseregisterloven § 17 og helseforskningsloven § 7. Dersom det skal gis tilgang til helseopplysninger fra pasientjournaler eller andre helseregistre, kreves det derfor lovhjemmel, samtykke eller dispensasjon fra taushetsplikt.
Helsepersonelloven § 29 b gjelder utlevering av opplysninger til helseanalyser, kvalitetssikring, administrasjon, planlegging eller styring av helse- og omsorgstjenesten: Departementet «kan bestemme at helseopplysninger kan eller skal gis til [slik] bruk». Det er lovfestet følgende vilkår for å kunne gi dispensasjon:
«Dette kan bare skje dersom behandlingen av opplysningene er av vesentlig interesse for samfunnet og hensynet til pasientens integritet og velferd er ivaretatt. Graden av personidentifikasjon skal ikke være større enn nødvendig for det aktuelle formålet. Kun i særskilte tilfeller kan det gis tillatelse til bruk av direkte personidentifiserbare opplysninger som for eksempel navn eller fødselsnummer.»
Helsepersonelloven § 29 gjelder utlevering av helseopplysninger til forskning. Myndigheten til å dispensere ligger hos departementet, men er delegert til REK. Dispensasjonsmyndigheten «kan bestemme at opplysninger kan eller skal gis til bruk i forskning». Bestemmelsen eller forarbeidene sier ellers ikke noe om når det kan gis dispensasjon. Vurderingen er i praksis basert på de samme vurderingstemaene som er lovregulert i § 29 b og i helseregisterloven § 20, og som er foreslått lovregulert i den nye personopplysningsloven § 9.
Helsepersonelloven § 29 c gjør unntak fra taushetsplikten ved helsepersonells bruk av opplysninger til læringsarbeid og kvalitetssikring. Dette er en bestemmelse om utlevering til personell som har ytt eller vært delaktig i helsehjelp til den pasienten en ber om innsyn i journalen til. Departementet legger til grunn at også tilgjengeliggjøring etter denne bestemmelsen vil gi supplerende rettsgrunnlag og unntak fra forbudet behandling av særlige kategorier av personopplysninger for mottageren.
Det samme vil gjelde REKs vedtak etter helseforskningsloven § 15 om ny eller endret bruk dersom det er vanskelig å innhente nytt samtykke eller § 35 om at helseopplysninger kan eller skal gis til bruk i forskning.
Vedtak om tilgjengeliggjøring av indirekte identifiserbare helseopplysninger fra lovbestemte registre etter helseregisterloven § 20, vil også gi mottageren supplerende rettsgrunnlag og unntak fra forbudet mot behandling av særlige kategorier av personopplysninger. Helseregisterloven § 20 gjør unntak fra taushetsplikten når det gjelder indirekte personidentifiserbare opplysninger. Den dataansvarlige kan etter en konkret vurdering og uten hinder av taushetsplikten, tilgjengeliggjøre indirekte identifiserbare opplysninger til formål som det aktuelle registeret er etablert for. Bestemmelsen gjelder kun utlevering av opplysninger fra lovbestemte registre etter helseregisterloven § 11. Slike registre er for eksempel Norsk pasientregister eller Kreftregisteret. Det er den dataansvarlige som vurderer om vilkårene i unntaksbestemmelsen er oppfylt. Dataansvarlige for de lovbestemte registrene er Folkehelseinstituttet, Helsedirektoratet eller Oslo universitetssykehus HF.
Unntaket etter § 20 gjelder bare dersom opplysningene skal brukes til forskning, helseanalyser, kvalitetssikring, administrasjon, planlegging eller styring av helse- og omsorgstjenesten. Helseopplysningene kan bare utleveres dersom behandlingen av dem er av vesentlig interesse for samfunnet, hensynet til pasientens integritet og konfidensialitet er ivaretatt, og behandlingen er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn. Utleveringen skal baseres på en konkret vurdering. Den dataansvarlige må vurdere risikoen for identifisering og misbruk. I vurderingen må det også blant annet legges vekt på antall personer som kan få innsyn i de utleverte opplysningene.
Vedtakene gir supplerende rettsgrunnlag og adgang til behandling av helseopplysninger
Departementet legger til grunn at vedtakene med hjemmel i lovbestemmelsene nevnt over vil gi behandlingen supplerende rettsgrunnlag i tråd med artikkel 6 nr. 3 og åpne for behandling av særlige kategorier av personopplysninger i tråd med artikkel 9 nr. 2. Det følger av fortalepunkt 45 i forordningen at det ikke kreves en særlig lovbestemmelse for hver enkelt behandling, men at én lovbestemmelse kan være tilstrekkelig som grunnlag for flere behandlingsaktiviteter. Departementet viser til at det her er tale om lovhjemlede beslutninger som fattes av offentlige myndigheter, på bakgrunn av en vurdering og avveining av behandlingens nytte og av konsekvensene for de registrerte. Dette er vurderinger som etter gjeldende regler i stor grad er overlappende med de vurderingene som ligger til grunn for Datatilsynets konsesjoner. Departementet viser også til at REK, Helsedirektoratet eller eventuelt den dataansvarlige kan fastsette vilkår for å verne de registrertes grunnleggende rettigheter og interesser, jf. artikkel 9 nr. 4. Departementet foreslår at dette presiseres i de aktuelle bestemmelsene for å synliggjøre behovet for særlige tiltak eller garantier for å verne de registrertes rettigheter og friheter, jf. artikkel 9 nr. 2 bokstav g, h, i og j.
Departementet understreker at lovbestemmelsene må tolkes i lys av de kravene artikkel 6 nr. 3 og artikkel 9 nr. 2 stiller til nasjonale lovbestemmelser som åpner for behandling av personopplysninger, for eksempel kravet om proporsjonalitet i artikkel 9 nr. 2 bokstav g og j, jf. også kravene om proporsjonalitet og rettsgrunnlag etter Grunnloven § 102 og EMK artikkel 8. Se punkt 6.3.2 til 6.4 og 7.1 over.
Departementet presiserer at vedtak etter bestemmelsene som er nevnt over, ikke angir uttømmende hva som kan gi supplerende rettsgrunnlag og unntak fra forbudet mot behandling av særlige kategorier av personopplysninger. Dette betyr at behandling også kan skje på andre grunnlag, for eksempel unntak eller dispensasjonsvedtak etter andre bestemmelser.
32.3.4 Behandling av helseopplysninger i forbindelse med helsehjelp
Adgang og plikt til å behandle helseopplysninger i forbindelse med helsehjelp, følger av helsepersonelloven og pasientjournalloven. Behandling av helseopplysninger i forbindelse med helsehjelp er omfattet av andre behandlingsgrunnlag enn samtykke i forordningen og andre unntak fra forbudet mot behandling av særlige kategorier av personopplysninger. Dette vil kunne være artikkel 6 nr. 1 bokstav d (nødvendig for å verne den registrertes vitale interesser) og unntaket i artikkel 9 nr. 2 bokstav h (nødvendig i forbindelse med yting av helsetjenester), se helsepersonelloven §§ 39 og 40 og pasientjournalloven kapittel 2.
Etter helsepersonelloven og pasientjournalloven er det ikke et krav om at pasientens samtykke oppfyller vilkårene til samtykke i forordningens forstand. Dette betyr at det fremdeles ikke vil være nødvendig med en erklæring eller tydelig bekreftelse om samtykke til behandling av helseopplysninger i forbindelse med helsehjelp. Derfor videreføres dagens regler om hvordan samtykke kan gis til helsehjelp og tilhørende behandling av helseopplysninger, jf. pasient- og brukerrettighetsloven §§ 4-1 flg.
32.4 De registrertes rettigheter
Forordningen har bestemmelser om de registrertes rett til informasjon, innsyn, retting og sletting i artikkel 12 til 19. Departementet foreslår generelle unntak fra de registrertes rettigheter i den nye personopplysningsloven §§ 16 og 17, se punkt 10.2 og 11.3.
Departementet mener at gjeldende særregler i helselovene om de registrertes rettigheter kan og bør videreføres. Departementet viser til unntaksadgangen som følger av de enkelte bestemmelsene, samt til artikkel 23 og artikkel 89 nr. 2 og nr. 3, som kan hjemle begrensninger i rettighetene. Det vises også til at artikkel 9 nr. 4 kan hjemle utvidede rettigheter.
Departementet foreslår at det tas inn en henvisning i helselovene til sentrale artikler i forordningen som gjelder de registrertes rettigheter. Henvisningene tas kun inn av informasjonshensyn, da de vil gjelde uansett. Gjeldende særregler videreføres som presiseringer, begrensninger eller utvidelser av de generelle reglene i forordningen.
32.4.1 Informasjon og innsyn
I bestemmelsene om informasjon og innsyn i pasient- og brukerrettighetsloven § 5-1, pasientjournalloven § 18, helseregisterloven § 24 og helseforskningsloven § 40, foreslås det henvisninger til forordningens artikler om informasjon og innsyn. Departementet foreslår generelle unntak fra retten til informasjon og innsyn, jf. personopplysningsloven §§ 16 og 17. Disse vil også gjelde for helsesektoren, med mindre annet er bestemt.
Artikkel 14 om informasjon om opplysninger som er samlet inn fra andre enn den registrerte, gjelder ikke dersom behandlingen er uttrykkelig fastsatt i nasjonal rett, jf. artikkel 14 nr. 5 bokstav c. Dette er i samsvar med unntaket i gjeldende personopplysningslov § 20 annet ledd bokstav a og er således en videreføring av gjeldende rett. Departementet viser her til at føring av journal følger av helsepersonells dokumentasjonsplikt etter helsepersonelloven § 39. Artikkel 14 gjelder dermed ikke pasientjournaler.
Når det gjelder informasjon om og innsyn i behandling av helseopplysninger i medisinsk og helsefaglig forskning, inneholder den gjeldende § 42 i helseforskningsloven en gjengivelse av unntakene i personopplysningsloven. Departementet foreslår å erstatte denne bestemmelsen med henvisninger til personopplysningslovens generelle unntaksregler.
Pasient- og brukerrettighetsloven § 5-1 annet og tredje ledd videreføres. Disse bestemmelsene gir helsepersonell adgang til å nekte pasienter innsyn i opplysninger i journalen dersom dette er påtrengende nødvendig for å hindre fare for liv eller alvorlig helseskade for pasienten eller brukeren selv, eller innsyn er klart utilrådelig av hensyn til personer som står vedkommende nær. Dersom innsyn nektes, har en representant for den representerte rett til innsyn, med mindre representanten anses uskikket for dette. Departementet viser til at forordningen artikkel 23 nr. 1 bokstav i åpner for begrensninger i innsynsretten av hensyn til vern av den registrertes interesser.
32.4.2 Retting og sletting
Forordningen har regler om retting og sletting i artikkel 16 og 17. Når det gjelder medisinsk og helsefaglig forskning, foreslår departementet at helseforskningsloven § 36 viser til forordningen artikkel 16 og 17. I tillegg beholdes gjeldende regler som presiseringer. Departementet foreslår videre at tilsvarende henvisning til forordningen artikkel 16 og 17 tas inn i helseregisterloven § 25 om sletting og sperring. Når det gjelder pasientjournaler, tas det inn en henvisning til forordningen artikkel 16 i bestemmelsene om retting i helsepersonelloven § 42. Retten til sletting etter artikkel 17 gjelder ikke pasientjournaler, jf. nr. 3 bokstav b.
I den nye personopplysningsloven § 17 annet og tredje ledd er det foreslått unntak fra retten til retting og begrensning av behandlingen for behandling til bruk i arkiv, forskning eller statistikk. Dette unntaket vil også gjelde for helsesektoren.
32.5 Overføring av opplysninger til og fra andre land
Forordningen gjelder likt for behandling i alle land innenfor EØS. Det følger av artikkel 1 nr. 3 at fri utveksling av personopplysninger mellom statene verken skal begrenses eller forbys av hensyn til personvernet. Artikkel 44 til 50 regulerer overføring av opplysninger til tredjestater (utenfor EU/EØS) eller til internasjonale organisasjoner, jf. kapittel 19 i proposisjonen her. Det er derfor ikke behov for egne bestemmelser om behandling av helseopplysninger på tvers av landegrensene. Departementet foreslår på denne bakgrunn å oppheve helseforskningsloven § 37 som regulerer overføring av helseopplysninger til og fra utlandet. Det vil dermed ikke være bestemmelser i helselovene som regulerer eller hindrer behandling av helseopplysninger på tvers av landegrensene.