3 Gjeldende rett
3.1 Pasientjournalloven
Pasientjournalloven gjelder behandling av helseopplysninger som er nødvendige for å yte, administrere eller kvalitetssikre helsehjelp til enkeltpersoner. Av pasientjournalloven § 7 om krav til behandlingsrettede helseregistre (pasientjournaler mv.) følger at behandlingsrettede helseregistre skal understøtte pasientforløp i klinisk praksis og være lett å bruke og å finne frem i. De skal også være utformet og organisert slik at krav fastsatt i eller i medhold av lov kan oppfylles. Etter siste ledd kan departementet gi forskrift om plikt til å ha elektroniske systemer, om godkjenning av programvare og sertifisering, og om bruk av standarder, standardsystemer, kodeverk og klassifikasjonssystemer.
Videre følger det av pasientjournalloven § 10 anledning til å etablere nasjonale behandlingsrettede helseregistre ved forskrift. Slike helseregistre skal gjelde på bestemte områder og komme i stedet for virksomhetsinterne pasientjournaler. Dette sikter til løsninger som for eksempel legemiddelregister, bilderegister eller epikriseregister. Eventuelle forskrifter skal gi nærmere bestemmelser om drift, behandling og sikring av helseopplysningene, om dataansvar, om tilgangskontroll og om hvordan rettighetene til pasienten eller brukeren skal ivaretas. I forskrifter etter bestemmelsen kan det bestemmes at løsningene skal benyttes av alle aktører i helse- og omsorgstjenesten.
Pasientjournalloven er oppdatert 20. juli 2018 og i samsvar med ny personopplysningslov og EUs personvernforordning.
3.1.1 Regulering av nasjonale e-helseløsninger
Pasientjournalloven § 12 og reseptformidlerforskriften
Pasientjournalloven § 12 gir hjemmel til å gi forskrift om behandling av helseopplysninger i nasjonal database for resepter (reseptformidleren). Forskrift 21. desember 2007 nr. 1610 om behandling av helseopplysninger i nasjonal database for elektroniske resepter (reseptformidlerforskriften) er videreført med hjemmel i denne bestemmelsen.
Av lovbestemmelsen følger at opplysningene kan behandles uten samtykke fra pasienten.
Reseptformidlerforskriften regulerer reseptformidleren. Forskriften gir regler for innsamling, behandling og utlevering av helseopplysninger i registeret, om formålet og om hvem som er dataansvarlig for opplysningene.
Formålet med reseptformidleren er beskrevet i forskriften § 1-2. Formålet er å sørge for sikker og effektiv elektronisk formidling av resepter og reseptopplysninger mellom aktørene i helse- og omsorgstjenesten og statlig helseforvaltning, samt apotek og bandasjister, som har et legitimt og tjenstlig behov for slik informasjon, for å bidra til at pasienten gis helsehjelp på en forsvarlig og effektiv måte. Dette omfatter også videreformidling av informasjon til den nasjonale kjernejournalen. Formidlingen skal ivareta hensynet til pasientens personvern og frie apotek- og bandasjistvalg.
Av § 1-4 følger at opplysningene i reseptformidleren ikke kan anvendes til andre formål enn de som er nevnt i § 1-2. Videre følger at opplysninger ikke kan utleveres til arbeidsgivere, i forsikringsøyemed, til påtalemyndighet eller domstol, eller til forskning, selv om den registrerte samtykker.
I § 1-7 er det regulert hvilke typer opplysninger reseptformidleren kan inneholde. Innholdet er knyttet til personer som har fått rekvirert legemidler, medisinsk forbruksmateriell eller næringsmidler ved resept og innholdet i reseptene. Hva resepter skal inneholde av informasjon er regulert i andre forskrifter. I tillegg registreres enkelte administrative opplysninger.
Av §§ 2-1 og 2-2 følger at rekvirenter ved rekvirering av legemidler, medisinsk forbruksmateriell eller næringsmidler, og ansatte i apotek og bandasjist skal melde resepten eller opplysninger om behandling av denne til reseptformidleren. Det samme gjelder notifisering eller søknad om unntak fra kravet om markedsføringstillatelse. Melding skjer uten hinder av taushetsplikt. Meldeplikten gjelder ikke når rekvirenter ikke har tilgang til et datasystem som gir mulighet til å sende elektroniske resepter. Meldeplikten gjelder heller ikke dersom pasienten ønsker å få utlevert legemidler i utlandet. Også Statens legemiddelverk har meldeplikt til reseptformidleren, jf. § 2-3.
Melding av opplysninger som nevnt i § 2-1 til § 2-3 skal skje elektronisk på meldingsformat fastsatt av Norsk Helsenett SF (dataansvarlig). Dette følger av § 2-4. Alle meldinger skal være elektronisk signert på fastsatt måte. Resepter skal være signert av autorisert helsepersonell med rekvireringsrett.
Virksomheter hvor det rekvireres legemidler, medisinsk forbruksmateriell eller næringsmidler på resept, samt apotek, bandasjist og Statens legemiddelverk har ansvar for at pliktene som nevnt i § 2-1 til § 2-3 oppfylles, og skal sørge for at det finnes rutiner som sikrer dette, jf. § 2-5.
Den dataansvarlige skal sikre at opplysningene som blir meldt inn og behandlet i reseptformidleren er relevante og nødvendige for bruk til formidlerens formål, jf. § 2-6. Dersom de innsendte opplysningene ikke er meldt i henhold til kravene, skal ikke opplysningene tas inn i reseptformidleren. Dersom reseptformidleren ved kontroll av resepter ikke kan konstatere om avsender er autorisert helsepersonell med rekvireringsrett, skal opplysningene ikke tas inn i reseptformidleren. Reseptformidleren skal sende varsel til avsender om dette.
Pasientjournalloven § 13 og kjernejournalforskriften
Pasientjournalloven § 13 gir hjemmel til forskrift om behandling av helseopplysninger i nasjonal kjernejournal. Nasjonal kjernejournal er et sentralt virksomhetsovergripende behandlingsrettet helseregister. Journalen skal inneholde et begrenset sett relevante helseopplysninger som er nødvendig for å yte forsvarlig helsehjelp.
Opplysninger kan registreres og på annen måte behandles uten samtykke fra pasienten. Den registrerte har imidlertid rett til å motsette seg at helseopplysninger behandles i registeret. Kjernejournal vil da ikke bli etablert for vedkommende.
Det er gitt forskrift om nasjonal kjernejournal (kjernejournalforskriften). Etter § 1 er formålet med kjernejournalen å øke pasientsikkerheten ved å bidra til rask og sikker tilgang til strukturert informasjon om pasienten.
Norsk Helsenett SF er dataansvarlig for den nasjonale kjernejournalen, jf. § 2.
Av § 3 følger at nasjonal kjernejournal kan opprettes for alle personer som omfattes av pasient- og brukerettighetsloven § 1-2 og som har fødselsnummer eller D-nummer. Den registrerte har rett til å reservere seg mot behandling av helseopplysninger.
Videre følger av § 4 hva en nasjonal kjernejournal kan inneholde. Dette omfatter blant annet alvorlige allergiske reaksjoner, implantater, andre kritiske opplysninger, kontakt med helsetjenesten og oversikt over legemidler og annet rekvirert på resept.
Melding av opplysninger til kjernejournalen kan skje uten hinder av taushetsplikt, jf. § 5.
Den registrerte har rett til innsyn i egne opplysninger i kjernejournalen, og i opplysninger om hvem som har gjort oppslag i denne, jf. § 6. Den registrerte skal videre informeres om oppslag i kjernejournalen. Krav om retting eller sletting av opplysninger skal fremsettes overfor primærkilden for opplysningene, med mindre feilen oppstod ved registreringen i kjernejournalen. Den registrerte kan kreve at tilgangen til opplysningene i kjernejournalen blir sperret.
Helsepersonell med tjenstlig behov ved ytelse av helsehjelp kan etter samtykke fra den registrerte gis tilgang til nødvendige og relevante helseopplysninger fra kjernejournalen. Kravet om samtykke gjelder ikke i akuttsituasjoner der det er alvorlig fare for pasientens liv, når det ikke er tid til å innhente pasientens samtykke eller dersom pasienten på grunn av sin fysiske eller psykiske tilstand ikke er i stand til å samtykke, jf. forskriften § 7 første ledd. Det skal registreres i kjernejournalen hvorfor samtykke ikke er innhentet. Videre er det fastsatt unntak fra samtykkekravet i § 7 andre ledd. Når det er nødvendig for å yte forsvarlig helsehjelp til pasienten, kan fastlegen, helsepersonell med legemiddelansvar i sykehjem og i hjemmesykepleien og lege og sykepleier i spesialisthelsetjenesten og den akuttmedisinske kjeden gis tilgang til helseopplysninger i kjernejournalen uten pasientens samtykke.
Trekker den registrerte tilbake sitt samtykke til registrering av opplysninger, følger at opplysningene da skal slettes, jf. § 8.
Av § 9 følger at tilgang til kjernejournalen skal skje gjennom autorisasjons- og autentiseringsløsningen i egen virksomhet. Hver virksomhet skal etablere nødvendige organisatoriske og tekniske tiltak for tildeling, administrasjon og kontroll av autorisasjoner for tilgang til helseopplysninger i kjernejournal. En autorisasjon skal knyttes til en entydig identifisert person i en bestemt rolle og være tidsbegrenset. Den som gis elektronisk tilgang til helseopplysninger i kjernejournal skal autentiseres på et høyt sikkerhetsnivå.
Opplysninger i kjernejournalen skal slettes når de ikke lenger er nødvendige for formålet med behandlingen av dem, jf. § 10.
3.2 Helseregisterloven
Helseregisterloven gjelder for behandling av helseopplysninger til statistikk, helseanalyser, forskning, kvalitetsforbedring, planlegging, styring og beredskap i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten. Lovens formål er å legge til rette for innsamling og annen behandling av helseopplysninger, for å fremme helse, forebygge sykdom og skade og gi bedre helse- og omsorgstjenester. Loven skal sikre at behandlingen foretas på en etisk forsvarlig måte, ivaretar den enkeltes personvern og brukes til individets og samfunnets beste.
Etter helseregisterloven § 6 tredje ledd kan departementet gi forskrift om godkjenning av programvare, sertifisering og om bruk av standarder, klassifikasjonssystemer og kodeverk, samt hvilke nasjonale eller internasjonale standardsystemer som skal følges ved behandling av helseopplysninger etter denne loven.
Helseregisterloven er oppdatert 20. juli 2018 og i samsvar med ny personopplysningslov og EUs personvernforordning.
3.3 Helse- og omsorgstjenesteloven
Kommunen og virksomhet som har avtale med kommunen om å yte helse- og omsorgstjenester, skal sørge for at journal- og informasjonssystemene i virksomheten er forsvarlige. Dette følger av § 5-10. Videre er det presisert at de skal ta hensyn til behovet for effektiv elektronisk samhandling ved anskaffelse og videreutvikling av sine journal- og informasjonssystemer. I Prop. 91 L (2010–2011) er det merknadene til bestemmelsen presisert at kravet forutsetter at virksomheter som samarbeider med hverandre har dialog og effektivt samarbeid om journal- og informasjonssystemenes utvikling. Tilsvarende forpliktelse følger for spesialisthelsetjenesten i spesialisthelsetjenesteloven 3-2.
Av helse- og omsorgstjenesteloven § 12-5 om nasjonale faglige retningslinjer, veiledere og kvalitetsindikatorer følger at Helsedirektoratet skal utvikle, formidle og vedlikeholde nasjonale faglige retningslinjer og veiledere som understøtter de mål som er satt for helse- og omsorgstjenesten. Retningslinjer og veiledere skal baseres på kunnskap om god praksis og skal bidra til kontinuerlig forbedring av virksomhet og tjenester.
Helsedirektoratet skal utvikle, formidle og vedlikeholde nasjonale kvalitetsindikatorer som hjelpemiddel for ledelse og kvalitetsforbedring i den kommunale helse- og omsorgstjenesten, og som grunnlag for at pasienter og brukere kan ivareta sine rettigheter. Kvalitetsindikatorene skal gjøres offentlig tilgjengelig.
I forarbeidene til bestemmelsen står det (Prop. 91 L 2010–2011):
Helsedirektoratets faglige retningslinjer og veiledere er ikke bindende for tjenesteyterne, men beskriver nasjonale helsemyndigheters oppfatning av for eksempel hva som er god faglig praksis, hvordan relevant regelverk skal tolkes og hvilke prioriteringer mv. som er i samsvar med vedtatt politikk for helse- og omsorgstjenesten. Dersom tjenesteyteren velger en annen praksis enn det som foreslås i retningslinjer eller veiledere, bør den være basert på en konkret og begrunnet vurdering.
Helse- og omsorgstjenesteloven er oppdatert 20. juli 2018 og i samsvar med ny personopplysningslov og EUs personvernforordning.
3.4 Spesialisthelsetjenesteloven
Helseinstitusjoner som omfattes av spesialisthelsetjenesteloven skal sørge for at journal- og informasjonssystemene ved institusjonen er forsvarlige. Den skal ta hensyn til behovet for effektiv elektronisk samhandling ved anskaffelse og videreutvikling av sine journal- og informasjonssystemer. Dette følger av § 3-2. I Prop. 91 L (2010–2011) er det merknadene til bestemmelsen presisert at kravet forutsetter at virksomheter som samarbeider med hverandre har dialog og effektivt samarbeid om journal- og informasjonssystemenes utvikling. Videre følger at virksomhetene derfor bør søke kunnskap om samarbeidende virksomheters journal- og informasjonssystemer. Kravet innebærer blant annet at man tar i bruk nasjonale standarder og funksjonskrav der disse er omforent eller fastsatt av myndighetene. Dette innebærer at funksjonskrav og krav til standardisering bør inngå allerede i planleggingsfasen av og i anskaffelsesgrunnlaget for en nyanskaffelse eller videreutvikling. Videre følger at departementet kan gi forskrift om drift, innhold og opprettelse av journal- og informasjonssystemer.
I spesialisthelsetjenesteloven § 7-3 om nasjonale faglige retningslinjer, veiledere og kvalitetsindikatorer er det inntatt tekst som er identisk med helse- og omsorgstjenesteloven § 12-5. Helsedirektoratet skal utvikle, formidle og vedlikeholde nasjonale faglige retningslinjer og veiledere som understøtter de målene som er satt for helse- og omsorgstjenesten. Retningslinjer og veiledere skal baseres på kunnskap om god praksis og skal bidra til kontinuerlig forbedring av virksomhet og tjenester.
Helsedirektoratet skal utvikle, formidle og vedlikeholde nasjonale kvalitetsindikatorer som hjelpemiddel for ledelse og kvalitetsforbedring i spesialisthelsetjenesten, og som grunnlag for at pasienter kan ivareta sine rettigheter. Kvalitetsindikatorene skal gjøres offentlig tilgjengelige.
Spesialisthelsetjenesteloven er oppdatert 20. juli 2018 og i samsvar med ny personopplysningslov og EUs personvernforordning.