14 Behandling og oppbevaring av helseopplysninger
14.1 Gjeldende rett
14.1.1 Personverndirektivet
I traktaten om EUs funksjonsmåte artikkel 16 står det at enhver har rett til beskyttelse av personopplysninger om seg selv. Og i EUs charter om grunnleggende rettigheter artikkel 8 slås det fast at beskyttelse av personopplysninger er en grunnleggende rettighet. Personvernet er dermed en av de grunnleggende rettighetene som EU er basert på og som det europeiske samarbeidet skal fremme. EØS-avtalen er av eldre dato og har ikke en tilsvarende bestemmelse om personvern.
EUs personverndirektiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet) er likevel en del av EØS-avtalen. Direktivets bestemmelser om vern av personers rettigheter og friheter, og særlig retten til privatlivets fred, presiserer prinsippene fastsatt i Europarådets konvensjon om personvern i forbindelse med behandling av personopplysninger.
Direktivets formål er at medlemsstatene skal sikre vern av fysiske personers grunnleggende rettigheter og friheter, særlig retten til privatlivets fred, ved behandling av personopplysninger. Harmoniseringen av lovgivningen skal sikre ensartet praksis og dermed legge til rette for utveksling av personopplysninger over landegrensene.
Direktivet setter betingelser for at behandlingen av personopplysninger skal være lovlig. Blant annet stiller direktivet krav om at behandlingen har et rettslig grunnlag (artikkel 7). Det er særlig strenge krav til behandling av sensitive opplysninger, som helseopplysninger (artikkel 8).
Direktivet er gjennomført i norsk rett gjennom personopplysningsloven og på helserettens område i helseregisterloven, pasientjournalloven og andre særlover. Lovbestemmelser som implementerer direktivet, skal ved konflikt gå foran annen lovgivning (jf. EØS-loven § 2).
Fra og med mai 2018 oppheves direktivet og blir erstattet av personvernforordningen.
14.1.2 Personvernforordningen
EU har i 2016 vedtatt en forordning som skal erstatte personverndirektivet (forordning 2016/679 fra 27. april 2016 «om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)».
Norge vil bli forpliktet til å gjøre forordningen til norsk lov. Forordningen begrenser adgangen til å behandle helseopplysninger, jf. artikkel 9. Behandling av helseopplysninger er likevel lovlig blant annet når det er nødvendig av hensyn til vesentlige samfunnsinteresser, forebyggende medisin eller arbeidsmedisin, i forbindelse med medisinsk diagnostikk, yting av helse- og sosialtjenester, behandling eller forvaltning av helse- og sosialtjenester eller allmenne folkehelsehensyn.
I artikkel 5 slås det fast at personopplysninger skal behandles på en lovlig, rettmessig og gjennomsiktig måte. Forordningen legger vekt på informasjonen til de registrerte og stiller i artikkel 13 detaljerte krav om hvilken informasjon som skal gis når det samles inn opplysninger fra de registrerte.
Det blir obligatorisk for alle offentlige virksomheter å utnevne en personvernrådgiver (personvernombud), jf. artikkel 37, 38 og 39. Rådgiveren skal ha en selvstendig rolle overfor virksomheten.
Den databehandlingsansvarlige skal vurdere konsekvensene for personvernet før behandlingen tar til, jf. artikkel 35. Dette gjelder blant annet dersom det er tale om behandling av helseopplysninger i et stort omfang. Vurderingen skal blant annet omfatte en systematisk beskrivelse av den planlagte behandlingen, formålene med behandlingen, en vurdering av om behandlingen er nødvendig og står i et rimelig forhold til formålene, risikoen for de registrertes rettigheter og planlagte tiltak som skal sikre personvernet. Dersom det er relevant skal de registrerte eller representanter for de registrerte bli hørt. Personvernrådgiveren skal på anmodning gi råd om personvernvurderingen, jf. artikkel 39 nr.1.
Disse endringene betyr at virksomhetene får et større ansvar for personvernet enn i dag. Samtidig skal bøtenivået ved brudd på kravene i forordningen, ligge betydelig høyere enn overtredelsesgebyret etter dagens regler i personopplysningsloven, jf. artikkel 83.
14.1.3 Personopplysningsloven
Av personopplysningslovens formålsbestemmelse § 1 fremgår det at loven skal beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger. «Loven skal bidra til at personopplysninger behandles i samsvar med grunnleggende personvernhensyn, blant annet behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger». Loven innarbeider EUs personverndirektiv i norsk rett. Personopplysninger er definert som «opplysninger og vurderinger som kan knyttes til en enkeltperson», jf. loven § 2. Det er strengere regler for sensitive personopplysninger. Opplysninger om helseforhold er definert som sensitive personopplysninger. At det er fastsatt i lov, er et av flere alternative grunnlag for adgang til behandling av helseopplysninger.
14.1.4 Helseregisterloven
Lov om helseregistre og behandling av helseopplysninger (helseregisterloven) supplerer personopplysningsloven. De generelle reglene i personopplysningsloven gjelder så langt ikke annet følger av helseregisterloven (§ 5).
Helseregisterloven gjelder for behandling av helseopplysninger til statistikk, helseanalyser, forskning, kvalitetsforbedring, planlegging, styring og beredskap i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten. Lovens formål er å legge til rette for innsamling og annen behandling av helseopplysninger, for å fremme helse, forebygge sykdom og skade og gi bedre helse- og omsorgstjenester. Loven skal sikre at behandlingen foretas på en etisk forsvarlig måte, ivaretar den enkeltes personvern og brukes til individets og samfunnets beste.
Med helseopplysninger menes taushetsbelagte opplysninger, og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson. Med behandling av helseopplysninger menes enhver bruk av helseopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering. Med helseregister menes ifølge loven register, fortegnelser, mv. der helseopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen (§ 2).
14.2 Utvalgets forslag
Utvalget har i utredningen ikke drøftet spørsmålet om behandling og oppbevaring av innsamlede helseopplysninger.
14.3 Departementets vurderinger og forslag
Utførelsen av undersøkelseskommisjonens oppgaver vil innebære innhenting, registrering og annen behandling av helseopplysninger. Helseopplysninger er sensitive personopplysninger i personopplysningslovens forstand, og er særskilt regulert i EUs nye personvernforordning.
Departementet har lagt stor vekt på at den enkeltes personvern skal ivaretas på en best mulig måte. Undersøkelseskommisjonen skal gis tilgang til pasientjournaler, obduksjonsdokumenter og resultater fra andre undersøkelser i forbindelse med undersøkelser av alvorlige hendelser eller forhold i helse- og omsorgstjenesten. Undersøkelseskommisjonen skal også få opplysninger, eller anmode om bistand fra andre offentlige myndigheter. Hvilke opplysninger det kan være relevant å innhente må vurderes konkret av undersøkelseskommisjonen i forbindelse med den enkelte undersøkelse. Det vil ikke være mulig på forhånd å gi en uttømmende liste over hvilke opplysninger det kan være aktuelt å innhente eller hvilke gjenstander som det vil være nødvendig å ta beslag i. For å ivareta rettssikkerheten og personvernet til den enkelte er det et vilkår for innhenting av opplysninger og beslag at tiltaket er nødvendig og forholdsmessig, se nærmere punkt 11.3.
Undersøkelseskommisjonen er et forvaltningsorgan, jf. § 4. Oppbevaring av dokumenter og innhentet opplysninger må skje i samsvar med arkivloven og forvaltningsloven. Det følger av arkivloven § 6 at offentlige organer plikter å ha et arkiv. Arkivet skal være innrettet på en slik måte at ikke bare dekker det kortsiktige forvaltningsmessige behovet organet måtte ha for å oppbevare informasjonskilder, men også sikrer langsiktige samfunnsmessige behovet for å ta vare på viktig informasjon. Arkivlovens kassasjonsbestemmelser kommer videre til anvendelse.
Undersøkelseskommisjonen vil gjennom sine undersøkelser få tilgang til personopplysninger. Verken personopplysningsloven, personverndirektivet eller personvernforordningen regulerer direkte opplysninger knyttet til døde personer. Dette i motsetning til helseregisterloven. Departementet foreslår at kommisjonens behandling av helseopplysninger knyttet til undersøkelsesarbeidet skal reguleres av helseregisterloven, med mindre annet er særskilt bestemt, se lovforslaget § 19. Dette innebærer blant annet enkelte særlige krav til internkontroll og informasjonssikkerhet. I tillegg vil de som får tilgang til helsepersonellopplysninger være underlagt strengere bestemmelser om taushetsplikt.
De ansatte i undersøkelseskommisjonen eller andre som gjør oppgaver for kommisjonen vil få tilgang til personopplysninger i den grad de har behov for opplysningene for å ivareta sine oppgaver. Det følger av lovforslagets § 12 første ledd at enhver som utfører tjeneste eller arbeid for undersøkelseskommisjonen har taushetsplikt etter forvaltningsloven. Videre følger det av lovforslagets § 12 andre ledd at personer som mottar opplysninger som er undergitt strengere taushetsplikt enn det som følger av forvaltningsloven, skal tilsvarende strenge taushetsplikt gjelde, med mindre tungtveiende offentlige hensyn tilsier at opplysningene bør gis videre eller opplysningene er nødvendige for å forklare årsaken til hendelse, se nærmere omtale under punkt 12.3.3. I den grad det ansatte eller andre som utfører oppgave for kommisjonen får tilgang til helseopplysninger vil det foreligge taushetsplikt etter helsepersonelloven §§ 21 flg., jf. helseregisterloven § 17. I tillegg vil det foreligge et forbud mot urettmessig tilegnelse av taushetsbelagte helseopplysninger (snoking), jf. helseregisterloven § 18.
Databehandlingsansvarlig er i helseregisterloven definert som den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes, jf. § 2 første ledd bokstav e. Det fremgår av forarbeidene at bestemmelsen tilsvarer personopplysningsloven § 2 nr. 4 om behandlingsansvarlig og skal forstås på samme måte. I forarbeidene til personopplysningsloven § 2 nr. 4 fremgår det at der den behandlingansvarlige er en juridisk person, vil ledelsen være behandlingsansvarlig. Ledelsen må sørge for at loven etterleves og som ledd i dette foreta en intern arbeidsfordeling slik at det er klart hvilken stilling det ligger å sørge for at loven etterleves i praksis. Funksjonen bør knyttes til en lederstilling slik at stillingsinnehaveren har reell daglig innflytelse på behandlingen som foretas. Det følger av lovforslaget § 3 at undersøkelseskommisjonene skal ledes av en direktør. Direktøren vil således være databehandlingsansvarlig.