3 Gjeldende rett
3.1 Pasientjournalloven
3.1.1 Generelt
Pasientjournalloven gjelder behandling av helseopplysninger som er nødvendige for å yte, administrere eller kvalitetssikre helsehjelp til enkeltpersoner. Behandlingsrettede helseregistre (pasientjournaler mv.) skal understøtte pasientforløp i klinisk praksis og være lett å bruke og å finne frem i, jf. lovens § 7. Både tekniske og organisatoriske løsninger skal være egnet til å etterleve krav fastsatt i eller i medhold av lov. Bestemmelsen angir konkrete funksjonskrav til behandlingsrettede helseregistre ved å henvise til bestemte plikter og rettigheter som følger av pasientjournalloven og andre lover. Dette gjelder blant annet regler om taushetsplikt, forbud mot urettmessig tilegnelse av helseopplysninger, retten til å motsette seg behandling av helseopplysninger, retten til informasjon og innsyn, helsepersonells dokumentasjonsplikt, tilgjengeliggjøring av helseopplysninger og informasjonssikkerhet og internkontroll.
Behandlingsrettet helseregister er definert i pasientjournalloven § 2 bokstav d:
«pasientjournal- og informasjonssystem eller annet register, fortegnelse eller lignende, der helseopplysninger er lagret systematisk, slik at opplysninger om den enkelte kan finnes igjen, og som skal gi grunnlag for helsehjelp eller administrasjon av helsehjelp til enkeltpersoner».
Nasjonal kjernejournal og reseptformidleren (e-resept) er behandlingsrettede helseregistre som inneholder helseopplysninger som er relevant for den enkeltes helsehjelp. Disse løsningene er imidlertid regulert i egne bestemmelser i pasientjournalloven og er ikke en del av pasientens ordinære journal.
Pasientjournalloven § 9 åpner for at to eller flere virksomheter kan samarbeide om behandlingsrettede helseregistre og § 10 åpner for at det kan gis forskrift om etablering av nasjonale behandlingsrettede helseregistre på bestemte områder. Nasjonal kjernejournal er et sentralt virksomhetsovergripende journalsystem med et begrenset sett relevante helseopplysninger som er nødvendig for å yte forsvarlig helsehjelp, jf. § 13. De tre bestemmelsene har sine begrensninger i at det enten må være et avtalebasert samarbeid eller et nasjonalt journalsystem på et bestemt område eller et begrenset sett helseopplysninger.
Av Prop. 72 L (2013–2014) pkt. 13.2.2 følger:
«Et nasjonalt journalsystem med en felles totalløsning for alle aktørene innen helse- og omsorgssektoren, bør etter departementets vurdering legges frem for Stortinget og besluttes i eget lovvedtak.»
Videre følger det av samme proposisjon punkt 24.1 (merknad til § 10):
«Etablering av nasjonale registre med hjemmel i denne bestemmelsen skal brukes i utviklingen av sentraliserte løsninger hvor opplysningene følger pasienten. Bestemmelsen skal gi rettsgrunnlag for å følge opp forslaget i Meld. St. 9 (2012–2013) Én innbygger – én journal og Innst. 224 S (2012– 2013). Nasjonale løsninger kan innføres trinnvis.
Bestemmelsen gir hjemmel til journalløsninger «på bestemte områder». Dette sikter til løsninger på begrensede områder, som for eksempel legemiddelregister, bilderegister eller epikriseregister. Det innebærer at pasientens opplysninger i dette nasjonale registeret bare vil være er en del av en pasients journal.
Dette betyr at en eventuell samlet journalløsning der alle, eller mange, opplysninger om alle pasienter samles i samme register, ikke kan hjemles i denne bestemmelsen. Etablering av omfattende helhetlige nasjonale journalløsninger krever dermed lovvedtak.»
3.1.2 Pasientjournalloven § 11
Av loven § 11 følger at det kan gis forskrift om behandling av helseopplysninger for saksbehandling, administrasjon, oppgjør og gjennomføring av helsehjelp til enkeltpersoner. Taushetsplikt er ikke til hinder for behandlingen av opplysningene. Helseopplysninger kan behandles uten samtykke fra pasienten. Graden av personidentifikasjon skal ikke være større enn nødvendig for det aktuelle formålet. Opplysninger om diagnose eller sykdom kan bare behandles når det er nødvendig for å nå formålet med behandlingen av opplysningen.
Eventuell forskrift skal gi nærmere bestemmelser om behandlingen av opplysningene, om hvilke opplysninger som kan behandles, om den enkeltes rett til å motsette seg behandling av opplysningene og om dataansvar.
Pasientjournalloven § 11 erstatter og viderefører tidligere helseregisterlov § 6 c om registre for saksbehandling og administrering av frikort, egenandeler og syketransport. Forskriftshjemmelen er gjort generell for å kunne hjemle systemer for saksbehandling og administrasjon av andre tjenester som er nødvendige for å administrere helsehjelpen. Det følger ikke direkte av lovteksten at behandlingen kan utføres automatisk, men det var presisert i den tidligere helseregisterloven § 6 c at den registrerte kunne reservere seg mot at opplysninger om betalte egenandeler skulle registreres automatisk.
Den tidligere helseregisterloven § 6 c ble vedtatt i forbindelse med innføring av automatisk frikortordning, syketransport mv. Dette er nærmere beskrevet i Prop. 20 L (2009–2010).
Av Prop. 20 L (2009–2010) pkt. 2.1 følger:
«Innføring av en automatisk frikortordning er et viktig bidrag for å gjøre offentlig sektor enklere og mer brukervennlig. Forvaltningen av egenandelsområdet er i dag preget av omfattende manuelle registreringsrutiner, og saksbehandlingstiden ved de lokale NAV-kontorene er svært varierende. Dagens praksis er tungvint for brukerne som må samle på kvitteringer for betalte egenandeler og selv sette fram krav om frikort.
En automatisk frikortordning vil også gi et bedre grunnlag for å sikre brukernes rettigheter og utvikle en moderne digitalisert forvaltning der millioner av papirkvitteringer erstattes av elektronisk datalagring og behandling av saker. NAV vil få frigjort ressurser til å rendyrke sin innsats for å få flere brukere i arbeid og aktivitet.»
At behandlingen av opplysningene skulle foregå automatisert er således tydelig forutsatt og beskrevet.
3.1.3 Deling av opplysninger fra pasientjournaler
Den dataansvarlige skal sørge for at relevante og nødvendige helseopplysninger er tilgjengelige for helsepersonell og annet samarbeidende personell når dette er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til pasienten eller brukeren. Dette følger av pasientjournalloven § 19. Bestemmelsen må ses i sammenheng med pasientjournalloven § 17 og helsepersonelloven §§ 25 og 45. Av pasientjournalloven § 17 første ledd bokstav a følger at pasienten eller brukeren kan motsette seg at helseopplysninger gjøres tilgjengelige for helsepersonell etter § 19. En tilsvarende begrensning følger også av helsepersonelloven § 25, ved at taushetsbelagte opplysninger kun kan gis til samarbeidende personell med mindre pasienten motsetter seg det og når dette er nødvendig for å kunne gi forsvarlig helsehjelp.
Pasientjournalloven § 19 regulerer informasjonsdeling mellom helsepersonell når de yter helsehjelp. Det følger av denne bestemmelsen, sammen med helsepersonellovens regler om taushetsplikt, at opplysningene bare kan gjøres tilgjengelige når de er relevante og nødvendige for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt. Det er kun de som har et tjenstlig behov som skal få opplysningene, og de skal ikke få flere opplysninger enn det som er relevant og nødvendig for å yte helsehjelpen. Uttrykket «relevante og nødvendige» skal forstås på samme måte som det tilsvarende begrepet i helsepersonelloven § 40. Det skal fremgå av journalen at annet helsepersonell er gitt helseopplysninger.
Etter § 19 bestemmer den dataansvarlige på hvilken måte opplysningene skal gjøres tilgjengelige. Dette gjelder både tilgjengeliggjøring av helseopplysninger internt i egen virksomhet og tilgjengeliggjøring av opplysningene for personell fra andre virksomheter.
3.1.4 Reservasjonsrett mot deling av pasientjournalopplysninger
Den enkeltes rett til fortrolighet og privatliv skal ivaretas samtidig som helsepersonell har enkel og sikker adgang til relevante og nødvendige pasientopplysninger, når det er nødvendig for aktuell behandling av pasienten.
Av pasientjournalloven § 17 første ledd bokstav a følger at pasienten eller brukeren kan motsette seg at helseopplysninger i et behandlingsrettet helseregister etablert med hjemmel i §§ 8 til 10 gjøres tilgjengelige for helsepersonell etter § 19, jf. helsepersonelloven §§ 25 og 45 og pasient- og brukerrettighetsloven § 5-3.
Dette innebærer at opplysningene heller ikke kan gjøres tilgjengelig dersom det er grunn til å tro at pasienten ville motsette seg det ved forespørsel.
3.1.5 Rett til informasjon og innsyn
Pasientene har rett til informasjon og innsyn i egne helseopplysninger og om hvem som har hatt tilgang til opplysningene, jf. pasientjournalloven § 18. Pasientjournalloven viser til pasient- og brukerrettighetsloven og personvernforordningen. Pasient- og brukerrettighetsloven gir grunnlag for helt eller delvis å avvise kravet om innsyn ut fra helsefaglige vurderinger. De registrerte har også rett til informasjon og innsyn i hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til vedkommendes navn eller fødselsnummer. Innsynsretten gjelder alle tilfeller der noen har lest, søkt eller på annen måte tilegnet seg, brukt eller besittet helseopplysninger fra behandlingsrettede helseregistre, enten dette er rettmessig eller ikke.
Den registrerte har også rett på generell informasjon om hvem som behandler helseopplysninger, hvilke opplysninger det gjelder og hvordan de behandles, jf. personvernforordningen artikkel 13. Retten til informasjon om automatiserte beslutninger er særskilt nevnt i bl.a. artikkel 13 nr. 2 bokstav f. Videre har den registrerte også en rett til individuelt innsyn i opplysninger som er registrert om dem selv. Dette er regulert generelt i forordningen artikkel 15, jf. pasient- og brukerrettighetsloven § 5-1.
3.1.6 Autorisasjon, autentisering og tilgangsstyring
All pasientbehandling forutsetter behandling av helseopplysninger om pasienten. God pasientsikkerhet krever at opplysninger deles mellom helsepersonell. Helsepersonellets informasjonstilgang skal imidlertid begrenses til personellets saklige behov (det som er relevant og nødvendig). For å ivareta dette kravet er det nødvendig med gode rutiner for autorisasjon, autentisering og tilgangsstyring.
Det vil utgjøre et brudd på taushetsplikten om helsepersonell gir andre tilgang til helseopplysninger uten at vilkårene for deling er oppfylt. Den enkelte autorisasjon må derfor være knyttet til vurdering av vedkommendes saklige behov. Ved deling innen en virksomhet, vil virksomheten ha tilstrekkelig grunnlag for å kunne foreta denne vurderingen. Disse tilfellene skaper ingen særlige problemer.
Det følger av pasientjournalloven § 22 om informasjonssikkerhet at den dataansvarlige og databehandleren blant annet skal sørge for tilgangsstyring, logging og etterfølgende kontroll. Kravet om tilgangsstyring er ytterligere presisert i pasientjournalforskriften § 13.
For å få tilgang til nasjonale e-helseløsninger som e-resept og kjernejournal er det stilt krav om autentisering (e-id) på et høyt sikkerhetsnivå.
Når taushetsbelagte opplysninger skal deles med andre, og især mellom virksomheter, blir et viktig spørsmål hvilken virksomhet som skal avgjøre hvorvidt vilkårene er oppfylt. I kjernejournalforskriften § 9 om tilgangsstyring er det blant annet bestemt at tilgang til den nasjonale kjernejournalen skal skje gjennom autorisasjons- og autentiseringsløsningen i egen virksomhet. Hver virksomhet skal etablere nødvendige organisatoriske og tekniske tiltak for tildeling, administrasjon og kontroll av autorisasjoner for tilgang til helseopplysninger i nasjonal kjernejournal. En autorisasjon skal knyttes til en entydig identifisert person i en bestemt rolle og være tidsbegrenset. Den dataansvarlige for den nasjonale kjernejournalen kan sette vilkår for tilgang, oppbevare oversikt over utstedte autorisasjoner og føre kontroll med at tilgang skjer i samsvar med reglene for tilgangsstyring.
3.1.7 Logg, kontroll og tilgang til logg
Det følger av pasientjournalloven § 22 om informasjonssikkerhet at den dataansvarlige og databehandleren blant annet skal sørge for tilgangsstyring, logging og etterfølgende kontroll. Videre følger at departementet i forskrift kan fastsette nærmere krav til informasjonssikkerhet ved behandling av helseopplysninger. Enkelte slike krav følger av pasientjournalforskriften, se punkt 3.10.
3.2 Folketrygdloven
Folketrygdloven kapittel 5 gir medlemmer av folketrygden krav på stønad til helsetjenester på nærmere bestemte vilkår. Det er medlemmets rett til stønad som ligger til grunn for den folketrygdfinansierte delen av helsetjenestene. I praksis er det gjennomført en ordning med direkte oppgjør til behandlere slik at mesteparten av kravene behandles gjennom denne ordningen. Ved endring av folketrygdloven med virkning fra 1. januar 2021, ble det innført krav til at pasienter må velge en helseaktør med direkte oppgjør for at en behandling skal være refusjonsberettiget, jf. folketrygdloven § 5-1 fjerde ledd. Helsedirektoratet er ansvarlig for behandling av saker etter folketrygdloven kapittel 5.
Søknad om helserefusjon etter folketrygdloven kapittel 5 fremmes således både av pasienten selv og av helseaktører på vegne av pasienten, og inneholder personopplysninger om blant annet pasienten. Dette betyr at behandlingen av personopplysninger blant annet må oppfylle kravene i EUs personvernforordning.
Av folketrygdloven § 21-11 a sjette ledd følger at pasientjournalloven ikke får anvendelse på behandling av helseopplysninger i saker etter kapittel 5.
3.3 Helsepersonelloven
Helsepersonelloven skal bidra til sikkerhet for pasienter og kvalitet i helse- og omsorgstjenesten samt tillit til helsepersonell og helse- og omsorgstjenesten, jf. helsepersonelloven § 1.
Den som yter helsehjelp, skal nedtegne relevante og nødvendige opplysninger om pasienten og helsehjelpen i en journal. Dette følger av helsepersonelloven §§ 39 og 40. Det skal opprettes en journal for den enkelte pasient, jf. helsepersonelloven § 39. Utdypende bestemmelser om journalføringsplikten og journalens innhold mv. er gitt i pasientjournalforskriften, se punkt 3.9.
Pasientjournalen er et arbeidsverktøy for helsepersonell i tilknytning til ytelse av helsehjelp. Journalen skal være lett å forstå for annet kvalifisert helsepersonell. Det skal fremgå hvem som har ført opplysningene i journalen. Helsepersonellets individansvar, herunder plikten til å føre journal, virksomhetsansvaret og dataansvaret er nærmere omtalt i punkt 5.5. Det kan eksistere ett eller flere behandlingsrettede registre i en virksomhet. Pasientopplysningene i de ulike typer journaler vil samlet utgjøre pasientens journal.
En pasientjournal består av journalnotater, testresultater, bilder og annen informasjon som er registrert om pasienten fordi det er vurdert å være relevante og nødvendige opplysninger om pasienten og helsehjelpen. I tillegg omfatter plikten å dokumentere opplysninger som er nødvendige for å oppfylle meldeplikt eller opplysningsplikt fastsatt i lov eller i medhold av lov, se helsepersonelloven § 40.
Pasientopplysningene kan inngå i «hovedjournal», pasientkort, ulike fagsystemer, regionale laboratorieløsninger og røntgensystemer (RIS/PACS), pasientadministrative systemer mv. Hva som utgjør en pasientjournal, er med andre ord ikke avhengig av i hvilket system opplysningene registreres. Hovedjournal vil typisk føres av helsepersonell som yter helsehjelp i møter med pasienten. Med fagsystemer menes systemer som ivaretar særskilte funksjoner innen en eller flere spesialiteter, og som er spesialutviklet for registrering og behandling av helseopplysninger knyttet til den konkrete spesialiteten.
Helseopplysninger om en pasient kan være registrert i alle disse systemene. Opplysningene kan være nedtegnet og lagret adskilt i ett eller flere systemer. Hvorvidt opplysningene registreres i hovedjournalen eller i særskilte fagsystemer, som røntgensystemer, laboratoriesystemer, anestesijournal, medikasjons- og kurvesystemer, pleieplaner eller lignende, har ikke betydning i denne sammenheng. Videre er det uten betydning om helsepersonell selv registrerer opplysningene eller om pasienten kobles til for eksempel medisinsk utstyr hvor opplysningene registreres automatisk.
Pasientjournalsystemer brukes for å dokumentere og utveksle informasjon ved ytelse av helsehjelp, og er derfor kritisk for å sikre helsetjenester av god kvalitet. To eller flere virksomheter kan samarbeide om behandlingsrettede helseregistre. Dette følger av pasientjournalloven § 9, se punkt 3.1.
Helsepersonell har etter helsepersonelloven § 21 en yrkesmessig taushetsplikt. Taushetsplikten innebærer at helsepersonell skal hindre at andre får adgang eller kjennskap til opplysninger om folks legems- eller sykdomsforhold eller andre personlige forhold som de får vite om i egenskap av å være helsepersonell.
Taushetsplikten omfatter både en passiv plikt til å tie og en aktiv plikt til å hindre at opplysninger bringes videre til andre. Deler av helsepersonellets taushetsplikt korresponderer med virksomhetens plikt til å sørge for at journal- og informasjonssystemene i virksomhetene kan oppfylle lovbestemte krav til taushetsplikt, se også pasientjournalloven § 7 andre ledd. Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte taushetsbelagte opplysninger uten at det er begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp eller har særskilt hjemmel i lov eller forskrift. Dette følger av helsepersonelloven § 21 a og pasientjournalloven § 16.
Pasientens rett til å få journalopplysninger rettet eller slettet er regulert i helsepersonelloven § 42 og § 43 og i pasient- og brukerrettighetsloven § 5-2. Helsepersonellet som har ført journalen skal vurdere kravet konkret, og skal rette eller slette opplysninger dersom vilkårene for dette er til stede.
3.4 Pasient- og brukerrettighetsloven
Lovens formål er å bidra til å sikre befolkningen lik tilgang på tjenester av god kvalitet ved å gi pasienter og brukere rettigheter overfor helse- og omsorgstjenesten, jf. § 1-1. Av § 3-2 følger at pasienten skal ha den informasjon som er nødvendig for å få innsikt i sin helsetilstand og innholdet i helsehjelpen. Pasienten skal også informeres om mulige risikoer og bivirkninger. Informasjon skal ikke gis mot pasientens uttrykte vilje, med mindre det er nødvendig for å forebygge skadevirkninger av helsehjelpen, eller det er bestemt i eller i medhold av lov.
Informasjon kan unnlates dersom det er påtrengende nødvendig for å hindre fare for liv eller alvorlig helseskade for pasienten selv. Informasjon kan også unnlates dersom det er klart utilrådelig av hensyn til personer som står pasienten nær, å gi slik informasjon.
Er pasienten eller brukeren under 16 år følger det av § 3-4 at både pasienten eller brukeren og foreldrene eller andre som har foreldreansvaret skal informeres. Er pasienten eller brukeren mellom 12 og 16 år, skal informasjon ikke gis til foreldrene eller andre som har foreldreansvaret når pasienten eller brukeren av grunner som bør respekteres, ikke ønsker dette. Uavhengig av pasientens eller brukerens alder, skal informasjon ikke gis til foreldrene eller andre som har foreldreansvaret, dersom tungtveiende hensyn til pasienten eller brukeren taler mot det.
Av § 3-6 følger at opplysninger om legems- og sykdomsforhold samt andre personlige opplysninger skal behandles i samsvar med gjeldende bestemmelser om taushetsplikt. Opplysningene skal behandles med varsomhet og respekt for integriteten til den opplysningene gjelder. Taushetsplikten faller bort i den utstrekning den som har krav på taushet, samtykker. Dersom helsepersonell tilgjengeliggjør opplysninger som er undergitt lovbestemt opplysningsplikt, skal den opplysningene gjelder, så langt forholdene tilsier det, informeres om at opplysningene er gjort tilgjengelige og hvilke opplysninger det dreier seg om.
Rett til innsyn i journal følger av § 5-1. Pasienten og brukeren har rett til innsyn i journalen sin med bilag og har etter særskilt forespørsel rett til kopi. Pasienten og brukeren har etter forespørsel rett til en enkel og kortfattet forklaring av faguttrykk eller lignende. Pasienten og brukeren kan nektes innsyn i opplysninger i journalen dersom dette er påtrengende nødvendig for å hindre fare for liv eller alvorlig helseskade for pasienten eller brukeren selv, eller innsyn er klart utilrådelig av hensyn til personer som står vedkommende nær
Pasientens rett til å kreve sletting i pasientjournalen følger av § 5-2. Pasienten, brukeren eller den som opplysningene gjelder, kan kreve at opplysningene i journalen rettes eller slettes etter reglene i helsepersonelloven § 42 til § 44.
Overføring og tilgjengeliggjøring av journal er regulert i § 5-3. Pasienten og brukeren har rett til å motsette seg overføring og tilgjengeliggjøring av journal eller opplysninger i journal. Opplysningene kan heller ikke overføres eller tilgjengeliggjøres dersom det er grunn til å tro at pasienten eller brukeren ville motsette seg det ved forespørsel. Overføring og tilgjengeliggjøring kan likevel skje dersom tungtveiende grunner taler for det. Overføring og tilgjengeliggjøring av journal eller opplysninger i journal skal skje i henhold til bestemmelsene i lov om helsepersonell.
3.5 Lov om kommunale helse- og omsorgstjenester
Etter lov om kommunale helse- og omsorgstjenester (helse- og omsorgstjenesteloven) § 3-1 skal kommunen sørge for at personer som oppholder seg i kommunen, tilbys nødvendige helse- og omsorgstjenester. Med «sørge for» menes at kommunen har ansvaret for at tjenestene gjøres tilgjengelig for de som har rett til å motta dem.
Kommunens ansvar omfatter alle personer som «oppholder seg i kommunen». Det innebærer at ansvaret også omfatter personer som kun oppholder seg kortvarig i en kommune, for eksempel i forbindelse med ferie, arbeid eller gjennomreise. Avhengig av tjenestetype må det kreves en viss varighet av oppholdet for at kommunens plikt til å yte tjenester skal inntre.
Kommunene har stor frihet til å organisere tjenestene ut fra lokale forhold og behov. Det er særlig nærhet til brukerne, effektiv tjenesteproduksjon og hensynet til demokratisk styring av tjenestene, som begrunner lokal handlefrihet. Tjenestene kan ytes av kommunen selv, eller ved at kommunen inngår avtale med andre offentlige eller private tjenesteytere.
Kommunen og virksomhet som har avtale med kommunen om å yte helse- og omsorgstjenester, skal sørge for at journal- og informasjonssystemene i virksomheten er forsvarlige. De skal ta hensyn til behovet for effektiv elektronisk samhandling ved anskaffelse og videreutvikling av sine journal- og informasjonssystemer. Dette følger av § 5-10.
3.6 Spesialisthelsetjenesteloven
Det er staten som gjennom de regionale helseforetakene har plikt til å sørge for nødvendige spesialisthelsetjenester til befolkningen, jf. spesialisthelsetjenesteloven § 2-1 og § 2-1 a. Dette ivaretas i hovedsak gjennom helseforetakene som eies av de regionale helseforetakene.
Spesialisthelsetjenesteloven stiller krav om at alle som tilbyr og yter spesialisthelsetjeneste organiserer virksomheten på en måte som sikrer forsvarlig helsehjelp. Loven har regler om ansvar, plikter, rettigheter og organisering for spesialister eller virksomheter som yter spesialisthelsetjenester. Loven gjelder både private og offentlige tjenesteutøvere. Loven gjelder derfor også private tjenesteutøvere som ikke har avtale med de regionale helseforetakene.
Foruten drift av sykehus og spesialistpoliklinikker, omfatter spesialisthelsetjenesten ambulansetjenester, laboratorievirksomhet og finansiering av visse privatpraktiserende lege og psykologspesialister.
Helseinstitusjoner som omfattes av spesialisthelsetjenesteloven skal sørge for at journal- og informasjonssystemene ved institusjonen er forsvarlige, jf. § 3-2. De skal ta hensyn til behovet for effektiv elektronisk samhandling ved anskaffelse og videreutvikling av sine journal- og informasjonssystemer.
3.7 Personopplysningsloven og personvernforordningen
EUs personvernforordning erstattet personverndirektivet og er gjennomført i norsk rett ved personopplysningsloven av 15. juni 2018 nr. 38 § 1.
Personvernforordningen fastsetter regler om vern av fysiske personer i forbindelse med behandling av personopplysninger samt regler om fri utveksling av personopplysninger. Videre er det presisert i artikkel 1 at forordningen sikrer vern av fysiske personers grunnleggende rettigheter og friheter, særlig deres rett til vern av personopplysninger. Personvernforordningen skal leses i lys av andre menneskerettigheter, se punkt 3.8 om menneskerettsloven.
Enhver behandling av person- og helseopplysninger i helse- og omsorgstjenesten krever en eller flere dataansvarlige. Dataansvaret for helse- og personopplysninger påhviler i utgangspunktet den virksomheten «som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes». Dette følger av personvernforordningen artikkel 4 nr. 7. Se også pasientjournalloven, som fastsetter at begrepet dataansvarlig skal forstås synonymt med begrepet behandlingsansvarlig i den norske oversettelsen av personvernforordningen.
Videre krever behandling av helseopplysninger og andre personopplysninger et behandlingsgrunnlag etter personvernforordningen artikkel 6 nr. 1. Det er også et krav at et av vilkårene i et av unntakene fra forbudet mot behandling av helseopplysninger i artikkel 9 nr. 2 er oppfylt. De aktuelle grunnlagene for behandlingsrettede helseregistre er artikkel 6 nr. 1 bokstav d (nødvendig for å verne den registrertes vitale interesser) og bokstav e (nødvendig for å utføre en oppgave i allmennhetens interesse), og unntaket i artikkel 9 nr. 2 bokstav h (nødvendig i forbindelse med yting av helsetjenester).
Det er et vilkår i artikkel 6 nr. 3 og artikkel 9 nr. 2 bokstav h at behandlingen også skal fastsettes i nasjonal rett eller unionsretten. Dette kalles et supplerende rettslig grunnlag. Helsepersonell har plikt til å journalføre opplysningene om pasienten, jf. helsepersonelloven § 39. Rett til å behandle helseopplysningene i journalen følger også av pasientjournalloven § 6 andre ledd. Det at pasienten oppsøker helsehjelp, innebærer forutsetningsvis at pasienten også aksepterer at opplysninger om ham eller henne registreres i journalen. Journalføringsplikten er et supplerende rettslig grunnlag. Kravene til samtykke til helsehjelp etter helsepersonelloven og pasient- og brukerrettighetsloven er imidlertid ikke i samsvar med samtykkekravene i forordningen artikkel 4 nr. 11. Samtykke til helsehjelp er derfor ikke behandlingsgrunnlag etter personvernforordningen.
Personvernforordningen har også et eget kapittel om den registrertes rettigheter. Dette er knyttet til blant annet informasjon og innsyn i opplysninger om en selv. Den registrerte har i visse tilfeller rett til å få opplysninger om seg selv slettet. I personvernforordningen artikkel 17 omtales dette som «retten til å bli glemt», og oppstiller i hvilke tilfeller det er aktuelt. Disse rettighetene, herunder retting og sletting er særskilt regulert og begrenset i særlovgivningen (helsepersonelloven og pasient- og brukerettighetsloven), se punkt 3.3 og 3.4.
Det følger av personvernforordningen artikkel 22 nr. 1 at «Den registrerte skal ha rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, herunder profilering, som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker vedkommende.»
I forordningen er det formulert som en rettighet for den registrerte, men det må trolig forstås som et forbud, se Artikkel 29-gruppen/ Personvernrådets (EDPB) Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679. Her heter det at:
«The term «right» in the provision does not mean that Article 22(1) applies only when actively invoked by the data subject. Article 22(1) establishes a general prohibition for decision-making based solely on automated processing. This prohibition applies whether or not the data subject takes an action regarding the processing of their personal data.»
For at en automatisert avgjørelse skal omfattes av artikkel 22, må det for det første skje en behandling av personopplysninger. For det andre må avgjørelsen «utelukkende være basert» på automatisert behandling. Det betyr at delvis automatiserte avgjørelser ikke omfattes. For det tredje må avgjørelsen ha «rettsvirkning for» eller «på tilsvarende måte i betydelig grad» påvirke vedkommende. For eksempel vil enkeltvedtak etter forvaltningsloven ha slik virkning for den enkelte.
Etter artikkel 22 nr. 2 bokstav b kan det gjøres unntak fra artikkel 22 nr. 1 dersom avgjørelsen er tillatt i henhold til medlemsstatenes nasjonale rett, såfremt det er fastsatt «egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser».
Etter det departementet forstår må nasjonal rett åpne for den automatiserte behandlingsmåten, det er ikke tilstrekkelig at avgjørelsen som sådan har hjemmel.
Videre følger unntak fra nr. 1 dersom avgjørelsen er basert på den registrertes uttrykkelige samtykke, jf. nr. 2 bokstav c. Etter artikkel 22 nr. 4 kan automatiserte avgjørelser ikke bygge på «særlige kategorier personopplysninger», med mindre behandlingen er nødvendig av hensyn til «viktige allmenne interesser» etter artikkel 9 nr. 2 bokstav g, og det er innført egnede tiltak for å verne den registrertes rettigheter, friheter og berettigede interesser. Helseopplysninger er omfattet av «særlige kategorier».
Reglene om automatisert saksbehandling i artikkel 22 skiller ikke mellom voksne og barn. I fortalepunkt 71 gis det imidlertid uttrykk for at helautomatiserte avgjørelser ikke bør gjelde barn. Denne formuleringen følger ikke av selve artikkelen, og antas derfor ikke å utgjøre et forbud mot denne form for behandling. Utgangspunktet etter forordningen er at barn og voksne har samme rettigheter. Se likevel omtale i Artikkel 29-gruppens retningslinjer om særskilte utfordringer knyttet til barn.
3.8 Menneskerettsloven
Lovens formål er å styrke menneskerettighetenes stilling i norsk rett, jf. § 1. Formuleringen «styrke menneskerettighetenes stilling» er blant annet valgt for å understreke at menneskerettskonvensjoner som ikke blir inkorporert, skal anses som tungtveiende rettskilder. Det følger av menneskerettsloven at noen internasjonale konvensjoner har forrang i norsk rett dersom det oppstår kollisjoner med norsk lov, se menneskerettsloven § 3. Dette er internasjonale konvensjoner nevnt i § 2 og som skal gjelde som norsk lov.
Både rett til helsehjelp og rett til beskyttelse av privatlivet følger av konvensjoner nevnt i menneskerettsloven § 2. Særlig er FNs konvensjonen om økonomiske, sosiale og kulturelle rettigheter (ØSK) artikkel 12 og Den Europeiske menneskerettskonvensjonen (EMK) artikkel 8 relevant i tilknytning til ytelse av helsehjelp.
Etter ØSK artikkel 12 skal staten sette i verk tiltak for å virkeliggjøre retten til den høyest oppnåelige helsestandard for enhver. Dette gjelder både fysisk og psykisk helsestandard. Staten skal blant annet forebygge, behandle og kontrollere epidemiske, endemiske, yrkesmessige og andre sykdommer. Staten skal også skape vilkår som trygger all legebehandling og pleie under sykdom. Dette forutsetter at tjenestetilbudet holder en forsvarlig og adekvat standard i lys av statens tilgjengelige ressurser og utviklingsnivå.
EMK artikkel 8 gjelder respekt for privatliv og familieliv. Personvernforordningen kan i flere henseende karakteriseres som en operasjonalisering av EMK artikkel 8, se punkt 3.8.
3.9 Arkivloven
Formålet med arkivloven er å trygge arkiv som har «monaleg kulturelt eller forskingsmessig verde eller som inneheld rettsleg eller viktig forvaltningsmessig dokumentasjon, slik at desse kan verta tekne vare på og gjorde tilgjengelege for ettertida».
Lovens virkeområde følger av § 5. Loven gjelder for alle offentlige organer med unntak av Stortinget, Riksrevisjonen, Sivilombudet og andre organer for Stortinget. Offentlige organer plikter å ha arkiv, og disse skal være ordnet og innrettet slik at dokumentene er sikret som informasjonskilder for samtid og ettertid, jf. § 6.
Helsearkivregisteret er regulert i helseregisterloven § 12. Bestemmelsen gir Kongen i statsråd myndighet til i forskrift å gi bestemmelser om etablering av Helsearkivregisteret. Helsearkivregisteret er et helseregister med personidentifiserbar pasientdokumentasjon om avdøde pasienter. Riksarkivaren er dataansvarlig for opplysningene, jf. også arkivloven § 4. Forskrifter om etablering av Helsearkivregisteret er gitt i helsearkivforskriften, med blant annet plikter til avlevering av pasientjournaler fra sykehusene.
3.10 Pasientjournalforskriften
Etter helsepersonelloven § 40 tredje ledd kan departementet gi forskrifter om pasientjournalens innhold og ansvar for journalen, herunder om oppbevaring, overdragelse, opphør, avlevering og tilintetgjøring av journal. Det følger også av forskriftshjemler i pasientjournalloven og i pasient- og brukerrettighetsloven.
Hjemlene er benyttet til å gi forskrift 1. mars 2019 nr. 168 om pasientjournal. Forskriftens formål er å bidra til at pasienter ved hjelp av relevant og nødvendig dokumentasjon kan gis helsehjelp av god kvalitet, inkludert effektive og gode pasientforløp, at personvernet ivaretas, inkludert pasientens rett til informasjon og medvirkning og at helsehjelpen kan kontrolleres i ettertid, se § 1.
Pasientjournalen skal inneholde kliniske og medisinske opplysninger, herunder opplysninger om pasientens sykehistorie og pågående behandling, opplysninger om symptomer, observasjoner og funn ved undersøkelser, diagnostiske overveielser og andre medisinske opplysninger og vurderinger. I tillegg til de rent behandlingsrettede funksjonene, dekker journalløsningene administrative oppgaver, se forskriften § 4 til § 8.
Krav om tilgangsstyring er presisert i pasientjournalforskriften § 13. Behandling av journalopplysninger skal baseres på bestemte tildelte tillatelser til å lese, registrere, redigere, rette, slette, sperre eller på annen måte behandle opplysninger i journalen (autorisasjon). Autorisasjonen skal a) beskrive rettighetene og pliktene som autorisasjonen omfatter, b) angi hvilke virksomheter autorisasjonen omfatter, c) dokumenteres i virksomhetens oversikt over helsepersonells autorisasjoner, d) være tidsbegrenset og e) vurderes på nytt når det oppstår endringer i ansvarsområder eller ansettelsesforhold.
Videre er det presisert at journalopplysninger bare kan gjøres tilgjengelig for personell som gjennom autentisering kan bekrefte sin identitet på en sikker måte. Den dataansvarlige skal ha oversikt over hvem som har tilgang til hvilke typer opplysninger og kunne kontrollere i ettertid hvem som har benyttet seg av tilgangen.
Av pasientjournalforskriften § 14 følger at tilgjengeliggjøring av opplysninger skal dokumenteres automatisk hos virksomheten (loggføring). Videre skal dokumentasjonen minst inneholde informasjon om a) identitet og organisatorisk tilhørighet til den som har hentet fram helseopplysninger, b) grunnlaget for tilgjengeliggjøringen og c) tidsperioden for tilgjengeliggjøringen. Det er presisert at den registrerte har rett til innsyn i dokumentasjonen.
I forskriften § 15 er det presisert at etter at en journalnedtegnelse er signert, kan den bare endres etter reglene om retting og sletting i helsepersonelloven § 42, § 43 og § 44. Retting og sletting skal som hovedregel utføres av den som har signert opplysningene. Dersom slik retting eller sletting vanskelig kan gjøres av helsepersonellet som har signert opplysningene, kan retting eller sletting gjøres av helsepersonell utpekt av den dataansvarlige. Den registrerte har også rett til å få uriktige opplysninger om seg korrigert så snart som mulig/uten ugrunnet opphold, jf. personvernforordning artikkel 16.