Prop. 59 L (2019–2020)

Endringer i helsepersonelloven mv. (enklere tilgang til helseopplysninger om tidligere pasienter)

Til innholdsfortegnelse

6 Departementets vurderinger og forslag

6.1 Enklere tilgang til opplysninger om tidligere pasienter

Helse- og omsorgsdepartementet opprettholder forslaget om å forenkle helsepersonells tilgang til opplysninger etter helsepersonelloven § 29 c. Forenklingen består i at helsepersonell ikke lenger må særskilt anmode om å få tilgang til opplysninger om tidligere pasienter for egen læring eller kvalitetssikring av helsehjelpen.

Gode helsetjenester forutsetter at relevante pasientopplysninger kan deles. Helsepersonell som tidligere har tatt del i undersøkelse eller behandling av en pasient kan i ettertid ha behov for å gjøre seg kjent med taushetsbelagte opplysninger om pasienten, for eksempel ved innsyn i pasientens journal. Dette vil typisk gjelde der helsepersonellet ønsker å få avklart om de vurderingene og tiltakene som ble gjort, var riktige. Det er et gode for pasientene at helsepersonell stadig lærer og kvalitetssikrer sine vurderinger. Departementet mener derfor at det ikke må være for omstendelig for helsepersonell å få tilgang til denne typen informasjon.

Helsepersonell har rapportert om at de møter vanskeligheter når de vil undersøke hvordan det har gått med en pasient de har behandlet. Departementet ønsker derfor å forenkle tilgangen til slik informasjon. Samtidig må hensynet til pasientens personvern ivaretas, slik at pasienten har den nødvendige tilliten til at opplysningene om seg selv behandles på en trygg måte.

Forslaget får også støtte fra det fleste av høringsinstansene. Departementet har imidlertid merket seg innvendingene fra blant annet Mental Helse Norge og Datatilsynet. Departementet foreslår derfor enkelte presiseringer som skal sikre personvernet og hindre utlevering av opplysninger til uvedkommende.

Helsepersonell som ønsker å gjøre seg kjent med taushetsbelagte opplysninger etter helsepersonelloven § 29 c må i dag særskilt anmode om dette. Departementet foreslår som nevnt å fjerne kravet om særskilt anmodning. Forslaget innebærer at helsepersonell som ønsker opplysninger om en tidligere pasient, selv må gjøre vurderingen av om vilkårene i helsepersonelloven § 29 c er oppfylte. Departementet foreslår at dersom helsepersonellet kommer til at vilkårene er oppfylte, kan vedkommende gjøre oppslag i journalen til en pasient helsepersonellet tidligere har behandlet. Det vil, som før, ikke være krav om å innhente samtykke fra pasienten først.

En slik endring vil være arbeidsbesparende for både helsepersonellet som ønsker opplysninger, og personen som tidligere har måttet ta stilling til anmodningen og eventuelt funnet fram de relevante opplysningene. Departementet antar at forenklingen vil føre til at helsepersonell i større grad enn før vil tilegne seg slike opplysninger for egen læring og kvalitetssikring av helsehjelpen. Økt tilegnelse av helseopplysninger kan utgjøre et inngrep i pasientens personvern. Departementet vurderer at de positive følgene for læring og pasientsikkerhet overstiger personvernulempene. Se nærmere om vurderingen av forslagets personvernkonsekvenser i punkt 6.2.

Det foreslås ikke endringer i hvilke formål det kan gjøres oppslag på bakgrunn av. Det kan dermed fortsatt kun gjøres oppslag i journalen dersom formålet er kvalitetssikring av helsehjelpen eller egen læring.

Det er fortsatt kun opplysninger som er «relevante og nødvendige» for formålet som helsepersonell kan få innsyn i. Når helsepersonell gis tilgang til journaler til pasienter helsepersonellet tidligere har ytt helsehjelp til, må det aksepteres søking etter «relevante og nødvendige» helseopplysninger i pasientens journal. Dermed vil en slik løsning kunne innebære at det enkelte helsepersonell også vil kunne få tilgang til opplysninger som ut fra en streng fortolkning ikke er nødvendige og relevante for læringsarbeid eller kvalitetssikring av helsehjelpen. Dette må imidlertid aksepteres. Departementet mener at forenklingen vil skape bedre læring og kvalitet i helsetjenesten. Dette er et gode som overstiger ulempene en slik søking i journal medfører for pasientens personvern, se personvernvurderingene i punkt 6.2. Det vises til at helsepersonell også i dag har slik adgang til å søke i journaler, se beskrivelsen av gjeldende rett i kapittel 2.

Når helsepersonellet som ønsker opplysninger ikke selv gjør oppslag i journal, men ber andre om å få utlevert opplysningene, er det den som utleverer opplysningene som må ta stilling til om vilkårene for utlevering er oppfylte. Dette kan for eksempel være aktuelt i tilfeller hvor helsepersonellet som ønsker opplysninger ikke har direkte tilgang til det aktuelle journalsystemet.

Helsepersonelloven § 29 c skiller ikke mellom hvorvidt opplysningene gjøres tilgjengelige for helsepersonell i samme virksomhet eller helsepersonell i andre virksomheter. Spørsmål om innsyn i journalopplysninger etter helsepersonelloven § 29 c er imidlertid ikke utelukkende et spørsmål om hva regelverket åpner for. Slike innsyn er også betinget av at de tekniske løsningene gir tilgang til de opplysningene bestemmelsen gir unntak fra taushetsplikten for. Det er for eksempel ikke gitt at pasientjournalsystemene hos ulike fastleger, psykologer, kommuner og helseforetak er så integrerte at det er mulig med direkte tilgang til journaler mellom ulike virksomheter. Dette innebærer som nevnt at helsepersonell ved aktuelle virksomheter, på forespørsel må ta stilling til hvilke opplysninger som kan utleveres.

Deling av opplysninger må i alle tilfeller oppfylle kravene til informasjonssikkerhet, herunder tilgangsstyring, logging og etterfølgende kontroll, se blant annet pasientjournalloven § 22 og omtalen av dette i punkt 6.4.

Forslaget til endret helsepersonellov § 29 c stiller ikke krav om at det er helsepersonellet som ønsker opplysninger om hvordan det har gått med en pasient, som tar initiativ til innsyn i opplysningene. Høringsinstansene støttet dette. Departementet viderefører denne adgangen, slik at initiativet både kan komme fra nåværende og tidligere behandler. Dette innebærer at helsepersonell som overtar behandlingen av en pasient og som for eksempel oppdager forbedringspotensiale i tidligere behandling, kan kontakte tidligere behandler slik at behandler kan lære av dette. Senere behandler kan gi tidligere behandler opplysninger som omfattes av unntaket fra taushetsplikten i helsepersonelloven § 29 c. Dette gjelder med andre ord opplysninger om pasienten som er nødvendige og relevante for den tidligere behandlerens egen læring eller for kvalitetssikring av helsehjelpen.

I høringsnotatet foreslo departementet at adgangen til å gjøre oppslag for egen læring også skal gjelde Nasjonal kjernejournal. Direktoratet for e-helse uttalte i sitt høringsinnspill at pasientjournalen er bedre egnet som kilde til informasjon for lærings- og kvalitetssikringsarbeid enn kjernejournal. De viser til at kjernejournal kun er en sammenstilling av de mest vesentlige helseopplysningene om pasienten som er hentet fra andre kilder. På denne bakgrunn vil ikke departementet videreføre dette forslaget i denne omgang.

6.2 Forslagets personvernkonsekvenser

Adgangen til å søke i journalen til en pasient som man ikke lenger yter helsehjelp til, finnes allerede. Forskjellen på dagens ordning og forslaget er at helsepersonellet etter dagens ordning særskilt må anmode om slik tilgang. Med forslaget vil helsepersonellet som ønsker opplysninger selv, som utgangspunkt, måtte gjøre en vurdering av om vilkårene i helsepersonelloven § 29 c er oppfylte i det konkrete tilfellet. I tilfeller hvor helsepersonellet som ønsker opplysninger ikke selv gjør oppslag i journal, men ber andre om å få opplysningene, er det den som utleverer opplysningene som må ta stilling til om vilkårene for utlevering er oppfylte.

Høringsinstansene mente i all hovedsak at endringsforslagets positive følger for helsepersonellets læring, pasientsikkerhet og kvalitet i tjenesten, overstiger ulempene for pasientens personvern. Dette gjelder for eksempel Kreftregisteret, Helseklage, Bergen kommune og Helse Bergen HF. Datatilsynet mente at personvernkonsekvensene ikke var godt nok utredet.

Som nevnt vil det innebære en endring at det er helsepersonellet selv som skal vurdere om vilkårene for å få tilgang er oppfylte. Dette betyr at helsepersonell som trenger informasjon for egen læring og kvalitetssikring må selv vurdere konkret hvilke helseopplysninger som er relevante og nødvendige. Dette innebærer at det må aksepteres at helsepersonell må søke seg frem til de relevante opplysningene, og dermed kan se flere opplysninger enn det som er relevant og nødvendig. Personvernkonsekvensene er likevel begrenset da vilkårene for å få tilgang ikke er endret.

Det vil også fortsatt være straffbart for helsepersonell å ulovlig tilegne seg helseopplysninger, og den dataansvarlige og databehandleren skal fortsatt blant annet sørge for tilgangsstyring, logging og etterfølgende kontroll.

Departementet vurderer at adgangen til å gjøre oppslag i journaler for kvalitetssikring eller egen læring trolig vil bli brukt i noe større grad når prosessen for å få slik tilgang forenkles. Det er også knyttet noen personvernkonsekvenser til at helsepersonell som i dag får tilgjengeliggjort opplysninger på andre måter enn ved tilgang til journal, trolig vil foretrekke å heller gjøre oppslag i journal. Departementet mener at økt oppslag i pasientjournal for egen læring vil skape mer kvalitet og sikkerhet i helsetjenestene. Det er et gode for pasientene at helsepersonell stadig lærer og kvalitetssikrer sine vurderinger. Å lære av egne erfaringer er en svært viktig kilde for å kvalitetsforbedre helsehjelpen. Tilgang til helseopplysninger for egen læring, for eksempel å få vite om diagnosen var riktig, mener departementet er avgjørende for å skape en trygg helse- og omsorgstjeneste. På denne bakgrunn overstiger fordelene ved lovendringene de personvernulempene som økt oppslag medfører.

De fleste høringsinstansene var positive til de følger økt oppslag har, se avsnitt 5.2. Datatilsynet var kritisk til omfanget av helseopplysninger som gjøres tilgjengelig, og at det vil strekke seg utover det som regnes som relevant og nødvendig. Datatilsynet stilte også spørsmål ved om helsepersonellet som vurderer lovlig tilgang vil vektlegge egen læring mer ensidig, på bekostning av hensyn til pasient og det helsepersonellet unntaket gjøres gjeldene overfor. Dette mener Datatilsynet utfordrer tillitsforholdet mellom pasient og helse- og omsorgstjenesten, personvernforordningens prinsipp om nødvendighet i artikkel 5 nr. 1 bokstav c) og kravene til tilfredsstillende sikkerhet etter forordningen artikkel 32. Datatilsynet stilte også spørsmål ved forslagets forhold til EMK artikkel 8, særlig forpliktelser denne gir til statene om fysisk sikring og kontroll med helsedata

Departementet presiserer at det fortsatt kun skal være «relevante og nødvendige» opplysninger som helsepersonellet får adgang til etter § 29 c. Som nevnt, må det aksepteres at helsepersonell finner frem til relevante og nødvendige opplysninger i journalen, og dermed kan se andre opplysninger. Oppslag i journalen skal fortsatt kun gjelde relevante og nødvendige opplysninger for helsepesonellets læring eller kvalitetssikring av helsehjelp, og dette må være styrende når helsepersonell leter frem opplysningene. I tillegg kan helsepersonellet kun få innsyn i helseopplysninger som gjelder en pasient vedkommende tidligere har behandlet. Dette er også en viktig begrensning for hvilke helseopplysninger helsepersonellet får innsyn i.

Ved å fjerne anmodningskravet i gjeldende bestemmelse, er det sannsynlig at antall oppslag i journal for egen læring eller kvalitetssikring vil kunne øke fordi tilgangen forenkles. Økt antall oppslag i journal har personvernkonsekvenser, ved at helsepersonellet får tilgang til sensitiv informasjon om pasienten, uten at det skjer som ledd i et aktuelt behandlingsforløp. Det er også en risiko for at helsepersonellet får tilgang til flere opplysninger enn det som er relevant og nødvendig for egen læring eller kvalitetssikring av helsehjelpen. Dette kan ha negative konsekvenser for tillitsforholdet mellom pasient og helsetjenesten.

Personvernkonsekvensene må veies mot de samfunnsnyttige formålene bestemmelsen skal ivareta. Formålet med forslaget om enklere tilgjengeliggjøring av opplysninger er å bidra til kvalitetssikring og læring i helsetjenesten. Departementet mener at læringsarbeid og kvalitetssikring er legitime og svært viktige formål, og at det er et gode for pasientene at helsepersonell stadig lærer og kvalitetssikrer sine vurderinger. Etter departementets syn er ulempene for den enkelte betydelig mindre enn fordelene ved at helsepersonell stadig lærer og kvalitetssikrer sine vurderinger. Ved å forenkle adgangen til egen læring, vil helsepersonellet kunne yte bedre helsehjelp og pasientsikkerheten vil øke.

Departementet vurderer at forslaget er i tråd med menneskerettighetene. Forslaget er ikke i strid med dommen fra Den europeiske menneskerettighetsdomstolen (EMD), I mot Finland fra 17. juli 2008, som Datatilsynet viser til. EMD anser beskyttelse av helseopplysninger som grunnleggende for individets rett til privatliv og familieliv etter artikkel 8, se for eksempel dommen Z mot Finland av 25. februar 1995. I tillegg er dette avgjørende for å bevare tilliten til helsepersonell og helsetjenesten. I dommen I mot Finland, vurderte EMD at det var en krenkelse av statens positive forpliktelse til å sikre rett til privatliv, at klagers pasientjournal, som inneholdt opplysninger om HIV-smitte, ikke var tilstrekkelig beskyttet mot uberettiget tilgang. Klager var ansatt på et sykehus og hadde grunn til å tro at kollegaer kjente til sykdommen. Det fantes generelle regler mot uberettiget tilgang i den finske lovgivningen, men sykehuset hadde ikke implementert disse på en slik måte at de visste hvem som hadde hatt tilgang til journalen.

Departementet viser til at norsk lovgivning om informasjonssikkerhet, herunder tilgangsstyring, logging og kontroll med logg, går videre enn den finske lovgivningen fra 90-tallet, som EMD vurderte. Pasientjournalloven § 22 og pasientjournalforskriften pålegger dataansvarlig plikt til å føre logg over oppslag i journal, som bl.a. viser hvem som har hatt innsyn i helseopplysningene. Departementet foreslår også å presisere kravene til dokumentasjon i § 29 c, se punkt 6.4. På denne bakgrunn vurderer departementet at forslaget om endring av § 29 c er i tråd med våre menneskerettslige forpliktelser, herunder den konkrete dommen Datatilsynet viser til.

Departementet viser også til at dagens helsepersonell har god erfaring med å vurdere hvilke opplysninger som er nødvendige og relevante for sitt arbeid. For eksempel vurderer helsepersonell hvilke opplysninger som er relevante og nødvendige for å yte helsehjelp til den enkelte, se helsepersonelloven §§ 25 og 45 og pasientjournalloven § 19. På denne bakgrunnen mener departementet at helsepersonell er godt rustet til å foreta forsvarlige vurderinger etter helsepersonelloven § 29 c.

Nasjonalt klageorgan for helsetjenesten (Helseklage) adresserte også helsepersonells rolle i helsetjenesten i sitt høringssvar:

«Helseklage støtter at prosessen med tilgjengeliggjøring av pasientopplysninger til helsepersonell i kvalitetssikrings- og læringsøyemed forenkles noe. Systemet i helsetjenesten er generelt basert på at helsepersonell forstår og respekterer de grenser som er satt for tilgang til og deling av pasientopplysninger. Dette vil også være utgangspunktet her.»

I tillegg viser departementet til at det ikke er noe nytt at opplysninger om en pasient brukes i opplæring av helsepersonell. Både sykehusene og ytere av kommunale helse- og omsorgstjenester skal bidra til å utdanne helsepersonell, se spesialisthelsetjenesteloven § 3-8 nr. 2 og helse- og omsorgstjenesteloven § 8-1. Studenter og annet helsepersonell i opplæring vil for eksempel kunne ha behov for å følge og observere mer erfarne helsepersonell i deres tjeneste. Personen i opplæring vil dermed få tilgang til pasientopplysninger for å lære, uten at dette nødvendigvis gir bedre helsehjelp til den aktuelle pasienten i det aktuelle tilfellet.

6.3 Tilgjengeliggjøring

I høringsnotatet foreslo ikke departementet særskilte regler om tilgangsstyring eller hvordan opplysninger på annen måte skal tilgjengeliggjøres. På bakgrunn av innspill fra høringsinstansene om behovet for å avgrense tilgangen, foreslår departementet at det presiseres i § 29 c at det kun er autorisert helsepersonell som skal få tilgjengeliggjort helseopplysninger til egen læring eller kvalitetssikring. Med dette menes autorisasjon etter helsepersonelloven § 48 eller lisens etter § 49.

For øvrig må deling av opplysninger oppfylle kravene til informasjonssikkerhet, herunder tilgangsstyring, logging og etterfølgende kontroll, se blant annet pasientjournalloven § 22. Dette betyr at dataansvarlig også må ha andre tiltak som trengs for å tilfredsstille kravene til informasjonssikkerhet.

Flere høringsinstanser ønsket at tilgangen for helsepersonell burde begrenses på ulike vis. Et eksempel er Tannhelsesekretærenes Forbund i Parat som uttalte at tilgangen bør begrenses til de helsepersonell som har autorisasjon. Videre uttrykte Datatilsynet bekymring over at dersom forslaget skal ha effekt, kan man ikke lenger ha teknisk styring av tilgang til data slik man har hatt til nå. Datatilsynet foreslo ulike begrensninger i helsepersonellets adgang, for at ikke adgangen skulle bli for vid når helsepersonellet selv vurderer om tilgang til helseopplysningene er lovlig for kvalitetssikrings- og læringsformål.

Departementet vurderer at det er lite hensiktsmessig med en uttømmende regulering av hvordan dataansvarlig skal sikre informasjonssikkerheten, for eksempel gjennom tilgangsstyring. Den enkelte dataansvarlig må foreta konkrete vurderinger tilpasset risikoen for brudd på kravene til informasjonssikkerhet. I tillegg mener departementet at det er hensiktsmessig at ordlyden i § 29 c i størst mulig grad er teknologinøytral, for å ivareta at teknologiske løsninger kan videreutvikles uten å være i strid med ordlyden.

Departementet er for øvrig enig med Datatilsynet i at tilgangen til pasientjournal i lærings- og kvalitetssikringsøyemed bør styres etter enkelte forhåndsgitte kriterier om behov. Det er derfor som nevnt departementets vurdering at personell uten autorisasjon ikke bør ha tilgang til pasientjournal etter § 29 c. Tilgang til pasientjournal, som også kan være direkte, bør begrenses til autorisert personell. Autorisasjonen innebærer en forsikring om at vedkommende innehar et visst nivå av faglige kvalifikasjoner. Departementet mener at personell som selv skal vurdere tilgang til journal ut i fra hvilke opplysninger som er relevant og nødvendig for egen læring, bør ha et slikt nivå av faglige kvalifikasjoner.

En avgrensning til helsepersonell med autorisasjon eller lisens mener departementet er et personverntiltak som er med på å hindre at personkretsen blir for vid. Departementet presiserer igjen at dataansvarlig fortsatt må vurdere og iverksette andre tiltak for å sikre tilstrekkelig informasjonssikkerhet ved deling av opplysninger, se blant annet pasientjournalloven § 22. Dette kan for eksempel innebære ytterligere tilgangsstyring for ulike grupper helsepersonell.

Forslaget stiller heller ikke krav til hvordan helsepersonell skal få tilgjengeliggjort opplysninger. Dette innebærer at helsepersonell kan få tilgjengeliggjort opplysninger ved at det gis tilgang i journalsystemene, eller ved utlevering av data på andre måter, herunder muntlig eller ved utskrift. Helsepersonellet må fortsatt anmode om tilgjengeliggjøring dersom de ikke har direkte tilgang til pasientjournalen.

Departementet antar imidlertid at helsepersonell, i den grad det er praktisk mulig, vil velge å selv gjøre oppslag i pasientens journal, heller enn å anmode andre om å få utskrift e.l. Dette kan være positivt for pasientens personvern, ved at opplysningene om vedkommende da leses i journalen, heller enn at det tas utskrift e.l. som det ikke kan loggføres hvem som får tilgang til.

Det vil, som før, ikke være krav om å innhente samtykke fra pasienten først. Dersom en pasient motsetter seg innsyn, må dette likevel respekteres, se punkt 6.5. Forslaget åpner heller ikke for at en større personkrets enn før skal kunne få helseopplysninger om pasienten. Bestemmelsen begrenser fortsatt adgangen til helsepersonell som tidligere har ytt helsehjelp til pasienten. Formålsbegrensningen er heller ikke utvidet.

6.4 Dokumentasjonskrav

I høringsnotatet foreslo departementet å oppheve siste setning i helsepersonelloven § 29 c, om at det i pasientens journal skal dokumenteres hvem opplysninger har blitt gjort tilgjengelige for, og hvilke opplysninger som har blitt gjort tilgjengelige. Departementet opprettholder dette forslaget, men foreslår et nytt ledd om dokumentasjon på bakgrunn av høringsinstansenes innspill.

I høringsrunden understreket flere høringsinstanser, blant annet Datatilsynet, Mental Helse og Helsedirektoratet, betydningen av å dokumentere tilgjengeliggjøring av helseopplysninger fra journal for å føre kontroll og hindre at helsepersonell urettmessig gjør oppslag i pasienters journaler («snoking»). Departementet foreslår derfor et nytt ledd i § 29 c som sammenfatter dagens minimumskrav til dokumentasjon av tilgjengeliggjøring. Dette er minimumskrav som allerede fremgår av dagens siste setning i § 29 c samt pasientjournalforskriften § 14.

Helsedirektoratet pekte på at det er problematisk å fjerne siste setning i dagens bestemmelse, da det ikke lenger vil være et krav om å dokumentere hvilke opplysninger som er tilgjengeliggjorte. Direktoratet for e-helse pekte på at direkte oppslag skal loggføres etter pasientjournalforskriften § 14, mens tilgang via nåværende helsepersonell (via utlevering som utskrift ol.) fortsatt bør dokumenteres i journal, slik som § 29 c siste setning tilsier.

Pasientjournalforskriften § 14 inneholder krav om å loggføre identitet og organisatorisk tilhørighet til den som har hentet fram opplysningene, grunnlaget for tilgjengeliggjøringen og tidsperioden for tilgjengeliggjøringen. Krav om å dokumentere hvilke opplysninger som er gjort tilgjengelige fremgår ikke direkte av bestemmelsen. Imidlertid inneholder den bransjestyrte Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten (Normen) anbefalinger om dette. Loggkravene i Normen er forpliktende for de virksomhetene som har tegnet medlemskapsavtale til Norsk Helsenett. Det fremgår av denne at det i tillegg til minimumskravene i pasientjournalforskriften bør vurderes å logge «type opplysninger det er gitt tilgang til», se pkt. 5.4.4. Loggen skal kunne gjøres tilgjengelig for pasienten.

Departementet vurderer at dokumentasjon av tilgjengeliggjøring er et av de viktigste tiltakene for å sikre at oppslag i pasienters journal for egen læring eller kvalitetssikring av helsehjelpen skjer på en rettmessig måte. Det er avgjørende at dataansvarlige dokumenterer tilstrekkelig informasjon til at det kan føres kontroll på en forsvarlig måte. Dokumentasjonskrav er derfor viktig for å skape tillit blant pasientene, i tillegg til at det er et viktig personverntiltak. Informasjon om hvilke opplysninger som er tilgjengeliggjort, for eksempel hvilke journalnotater, er sentral informasjon. For at dataansvarlig, eller andre kontrollinstanser, skal kunne overprøve hvorvidt oppslag var lovlig, bør det dokumenteres hvilke deler av journalen som er tilgjengeliggjort.

På denne bakgrunn vurderer departementet at det fortsatt bør være et krav om at dataansvarlig dokumenterer hvilke opplysninger som er tilgjengliggjorte for helsepersonellets læring eller kvalitetssikring.

Det er hensiktsmessig at minimumskravene til dokumentasjon om tilgjengeliggjøring for lærings- og kvalitetssikringsformål fremgår klart og tydelig av bestemmelsen. Det er også pedagogisk at kravene ikke er spredt utover flere lover og forskrifter.

På denne bakgrunn foreslår departementet å erstatte § 29 c siste setning med et nytt ledd som inneholder samme dokumentasjonskrav, i tillegg til de som følger av pasientjournalforskriften § 14. Forslag til nytt siste ledd er:

Tilgjengeliggjøring etter første ledd skal dokumenteres. Dataansvarlige skal minst dokumentere informasjon om:
  • a) identitet og organisatorisk tilhørighet til den som helseopplysninger har blitt gjort tilgjengelige for

  • b) at grunnlaget for tilgjengeliggjøringen er læring og kvalitetssikring knyttet til tidligere pasient

  • c) tidsperioden for tilgjengeliggjøringen

  • d) hvilke opplysninger som er tilgjengeliggjort.

Tilgjengeliggjøring av helseopplysning kan enten gjøres ved direkte tilgang eller ved utlevering. I utleveringstilfellene har ikke tidligere behandler direkte tilgang til journal, og det er derfor nåværende helsepersonell som gir ut opplysningene etter anmodning (ved utskrift ol.). For disse utleveringstilfellene påpekte Direktoratet for e-helse i sitt høringssvar, at utleveringen bør dokumenteres i pasientens journal. Dette har en sammenheng med at noen loggsystemer ikke lagrer like mye informasjon når det er nåværende behandler som gjør oppslag, sammenliknet med oppslag fra en tidligere behandler. For å ta høyde for ulike tekniske systemer for journalføring og logging, foreslår departementet en teknologinøytral bestemmelse.

Dette er en endring fra någjeldende § 29 c, som krever at informasjonen om hvem som har fått tilgang mv, dokumenteres i pasientens journal. Dataansvarlig kan imidlertid fortsatt velge å dokumentere denne informasjonen i journal.

Departementet mener bestemmelsen bør angi hvilken informasjon dataansvarlig minst må dokumentere ved tilgjengeliggjøring av helseopplysninger for læring- og kvalitetssikringsformål. Hvilke tekniske systemer som brukes for å dokumentere disse, herunder om det nedtegnes i et journalnotat eller i en logg, blir opp til den dataansvarlige. Det er imidlertid viktig at pasientens rett til innsyn i helsepersonellets oppslag i journal ivaretas på en god måte. Det må være enkelt for pasientene å få oversikt over hvem som har gjort oppslag og hvorfor. Dataansvarlig kan sikre dette gjennom ulike tiltak, for eksempel gjennom god informasjon om hvordan en får innsyn eller ulike e-løsninger, som for eksempel innsyn via helsenorge.no.

I høringsrunden stilte Datatilsynet spørsmål om hvem som skal kontrollere logg over oppslag og hvordan avvik skal forfølges. I tilfeller hvor helseopplysninger tilgjengeliggjøres fra en virksomhet til en annen, mener Datatilsynet at det gir dårlig mulighet for kontroll av loggen dersom denne gjennomføres av helsepersonell som er tilknyttet andre enn den dataansvarlige.

Departementet viser til at dataansvarlig har ansvar for å føre logg over tilgjengeliggjøring av opplysninger i sin virksomhet, og føre kontroll over denne, jf. pasientjournalloven § 22 og pasientjournalforskriften § 14. I tilfeller hvor helseopplysninger tilgjengeliggjøres fra en virksomhet til en annen, er det virksomheten som er dataansvarlig for journalen, som har plikt til å føre logg og føre kontroll med denne. Departementet har også presisert dette i nytt siste ledd i bestemmelsen for å sikre klarhet om dette.

Urettmessig tilegnelse av opplysninger er straffbart, jf. helsepersonelloven § 21 a, jf. § 67 og pasientjournalloven § 30 a, jf. § 16.

6.5 Retten til å motsette seg at helseopplysninger tiligjengeliggjøres

Departementet opprettholder forslaget om å videreføre pasientens adgang til å motsette seg at sine opplysninger tilgjengeliggjøres for helsepersonellets læring eller kvalitetssikring, slik det fremgår av § 29 c i dag. Det vil fortsatt ikke være et krav om at helsepersonell innhenter samtykke før opplysninger tilgjengeliggjøres. Departementets forslag fikk støtte av høringsinstansene.

Pasientens rett til å motsette seg tilgjengeliggjøring av helseopplysninger fremgår også av pasient- og brukerrettighetsloven § 5-3 og pasientjournalloven § 17. Denne retten er et viktig personverntiltak, fordi det gir den enkelte kontroll med bruken av opplysningene. Pasienten skal kunne følge og styre informasjonsflyten så langt det er mulig. Det følger av forarbeidene til helsepersonelloven at pasienten så langt råd er skal gjøres kjent med at det utleveres opplysninger i samarbeidsøyemed, og kan motsette seg dette.

Enkelte kategorier av helseopplysninger kan være særlig sensitive for pasienten. Dette kan være opplysninger om psykiske lidelser, visse smittsomme sykdommer eller andre spesielt følsomme opplysninger. Gjennom pasientens rett til å motsette seg, har pasienten mulighet til å skjerme/sperre journal eller deler av journal, også for helsepersonellets læring eller kvalitetssikring. Opplysninger kan ikke tilgjengeliggjøres dersom det er grunn til å tro at pasienten eller brukeren ville motsette seg det ved forespørsel, se pasient- og brukerrettighetsloven § 5-3.

Dersom en pasient eller bruker motsetter seg tilgjengeliggjøring av helseopplysninger for læring- og kvalitetssikringsformål etter § 29 c, skal dette nedtegnes i journal dersom det er relevant og nødvendig, se pasientjournalforskriften § 7 bokstav c. I høringsrunden bemerket flere instanser, blant annet Norsk Sykepleieforbund, betydningen av at dette dokumenteres i journal av hensyn til pasientens tillit til helse- og omsorgstjenesten.

I Direktoratet for e-helse sin standard for elektronisk pasientjournal fremgår det at det skal være mulig å sperre visse deler av journalen, dersom pasienten ønsker det, se EPJ-standarden om tilgangsstyring, retting og sletting, kapittel 3.2.2. Sperringen kan for eksempel gjelde opplysninger som er registrert i forbindelse med et behandlingsopphold, alt som er registrert i et bestemt tidsrom og lignende. Opplysninger skal videre kunne sperres overfor enkeltpersoner, grupper av helsepersonell og virksomheter.

Datatilsynet og Den norske legeforening pekte på de utilsiktede konsekvensene som kan forekomme dersom sperring for læring- og kvalitetssikringsformål også hindrer enhver utlevering. Molde kommune peker også på tekniske utfordringer ved å begrense tilgang etter at pasienten har motsatt seg. Departementet ser at dette kan være en utfordring med dagens tekniske løsninger. Når en pasient motsetter seg læring og kvalitetssikring kan dette nedtegnes i journal, men en elektronisk sperring mot et slikt formål må i praksis også omfatte alle andre formål. Departementet viser imidlertid til at dataansvarlig også kan bruke andre tiltak for å begrense personkretsen som skal ha tilgang til journal for læring- og kvalitetssikring, for eksempel gjennom tilgangsstyring. En streng tilgangsstyring kan være aktuelt for deler av journal som er særlig sensitiv. Departementet viser også til pasientens rett til å sperre utvalgte deler av journalen og adgangen til å sperre mot enkeltpersoner, grupper av helsepersonell og virksomheter.

Flere høringsinstanser, for eksempel Helgelandssykehuset HF og Nasjonalt senter for erfaringskompetanse innen psykisk helse, var opptatt av at retten til å motsette seg skal være reell, herunder at pasienten får tilstrekkelig informasjon om hvordan en reserverer seg. Nasjonalt senter for erfaringskompetanse innen psykisk helse foreslo at § 29 c bør inneholde en plikt for helsepersonellet til å informere om retten til å motsette seg. Departementet ser ikke behov for en særregulering av dette, da dette kravet uansett følger av annen lovgivning. Departementet viser blant annet til det generelle lovkravet om at pasienten får den informasjon som er nødvendig for å ivareta sine rettigheter, se pasient- og brukerrettighetsloven § 3-2 siste ledd.

6.6 Nåværende behandler kan kontakte tidligere behandler

Någjeldende helsepersonellov § 29 c stiller ikke krav om at det er helsepersonellet som ønsker opplysninger om hvordan det har gått med en pasient, som må initiere innsyn i opplysningene. Departementet foreslår å videreføre dette, noe som fikk støtte fra høringsinstansene.

Dette betyr at det ikke bare er helsepersonell som tidligere har ytt helsehjelp til pasienten som kan kontakte senere eller nåværende behandlere. Kontakten kan også gå motsatt vei. Dette kan for eksempel gjelde tilfeller hvor en senere behandler oppdager forbedringspotensiale i tidligere behandling. Da kan senere behandler kontakte tidligere behandler slik at tidligere behandler kan lære av dette.

Det vil fortsatt ikke være mulighet til å gi flere opplysninger enn hva som ville vært lovlig dersom det var tidligere behandler som kontaktet senere behandler.

I en del tilfeller vil tidligere behandler allerede etter dagens ordning få epikrise. I svært alvorlige tilfeller vil også helsepersonelloven § 23 nr. 4 om unntak fra taushetsplikten når tungtveiende private eller offentlige interesser gjør det rettmessig å gi opplysningene videre, kunne komme til anvendelse. Dette kan blant annet være tilfeller der det er farlig å videreføre gjeldende behandlingspraksis.