5 Nasjonal datainfrastruktur
5.1 Innledning
Departementet foreslår endringer i pasientjournalloven § 10 om nasjonal digital datainfrastruktur. For å kunne gi best mulig helsehjelp er det en forutsetning at relevante og nødvendige opplysninger om sykdomshistorie og legemiddelbruk følger pasienten gjennom hele pasientforløpet og forvaltes og lagres på en trygg måte. Digitale løsninger skal understøtte en helhetlig samhandling mellom helsepersonell og styrke pasienter og innbyggeres mulighet til å ta aktivt del i eget behandlingsopplegg.
5.2 Høringsforslaget
Departementet foreslo endringer i pasientjournalloven § 10 slik at det etableres lovhjemmel for å gi forskrift om nasjonal datainfrastruktur. Hjemmelen skulle ikke omfatte plikt til å delta i den nasjonale datainfrastrukturen.
Ved å utvikle samhandlingsløsningene og ved større grad av felles infrastruktur, vil pasientens journal knyttes sammen i en helhetlig nasjonal løsning, som samlet sett vil utgjøre en form for enhet (logisk register). En slik nasjonal datainfrastruktur krever lovendring med tilhørende forskrifter. Det øvrige regelsettet som allerede følger av pasient- og brukerrettighetsloven, helsepersonelloven og pasientjournalloven mv., med krav til personvern, informasjonssikkerhet, tilgangskontroll, sperring mv., ble vurdert å være et godt egnet rammeverk for en slik endring. Departementet foreslo derfor ingen endringer i dette rammeverket.
I høringsnotatet ble det også omtalt og vurdert enkelte sider av dataansvaret knyttet til nasjonal datainfrastruktur. Dataansvaret vil bli regulert i forskrifter som sendes på egen høring dersom Stortinget slutter seg til forslaget til endringer i pasientjournalloven § 10. Departementet inviterte likevel høringsinstansene til å komme med innspill til vurderingene av dataansvaret allerede nå, slik at departementet har et bedre utgangspunkt for å utarbeide forskriftene.
5.3 Høringsinstansenes syn
Legeforeningen ønsker bedret samhandling velkommen, og er positive til at det kommer på plass et juridisk rammeverk som åpner for bedre samhandling og informasjonsdeling mellom behandlere, virksomheter og nivåer i helsetjenesten. Legeforeningen er opptatt av en stegvis utvikling av løsninger som dekker kliniske behov, og uttaler at de ser konturene av noe positivt i aktuelle lovforslag, som kan bidra til gevinster i form av økt samhandling i helsetjenesten.
Folkehelseinstituttet påpeker at effektiv samhandling er viktig for pasienters liv og helse, uansett finansiering og organisering av helsehjelpen, og sammen med flere av høringsinstansene stiller de seg positive til endringer i pasientjournalloven § 10.
Det er i flere av høringssvarene uttrykt en uklarhet knyttet til om løsningen er en samhandlingsplattform eller en journalløsning for å dokumentere helseopplysninger. De påpeker dermed viktigheten av å entydig definere begrepet «nasjonal datainfrastruktur».
Datatilsynet viser til at standardisering av pasientdata kan innebære en mer enhetlig tilnærming til pasientinformasjon, noe som igjen kan bidra til å sikre at opplysningene er korrekte, jf. prinsippet om riktighet i personvernforordningen artikkel 5 nr. 1 bokstav d.
Det er videre noe uenighet blant høringsinstansene knyttet til frivillig deltakelse i nasjonale samhandlingsløsninger. Der noen instanser ønsker at deltakelse i den nasjonale datainfrastrukturen skal være frivillig, peker Pasientreiser HF på at man bør vurdere om virksomhetene bør pålegges deltakelse. Frivillig deltakelse kan føre til at det ikke gis tilgang til nødvendig og relevant informasjon for å gi helsehjelp, og at pasienter og virksomheter fortsatt må bruke mye ressurser på innhenting av informasjon, som svekker mulighetene for å nå målene med endringen.
Direktoratet for e-helse støtter forslaget om å etablere et tydelig rettslig grunnlag for målbildet om Én innbygger – én journal, og deler departementets vurdering av at dette bør legges frem for Stortinget med forslag om lovvedtak. Direktoratet viser til at eksisterende nasjonale e-helseløsninger, og det rettslige grunnlaget disse bygger på, ikke vil være tilstrekkelig for å oppnå helhetlig digital samhandling. Det innebærer at det må etableres både spesifikke tjenester og felleskomponenter som gjør det mulig å dele relevante helseopplysninger, utover dagens nasjonale e-helseløsninger. Direktoratet nevner tillitstjenester og pasientinformasjonslokalisator for data- og dokumentdeling utenfor kjernejournal, som eksempler på slike felleskomponenter.
Direktoratet for e-helse fremhever videre at ettersom nasjonal datainfrastruktur består av mange ulike komponenter, alt fra journalløsninger til samhandlingsløsninger, der noen er frivillig og andre ikke, kan det med fordel tydeliggjøres hvilke løsninger det siktes til når det presiseres at deltakelse skal baseres på frivillighet.
Flere høringsinstanser peker på at en forutsetning for lovforslaget er at pasienter og brukere kan, ved enkle grep, skjerme og sperre deler eller hele journaler, og mange støtter betraktningene om innebygget personvern. Samtidig pekes det på viktigheten av at løsningen oppfyller krav til ivaretakelse av personvernet, og KS mener at forslaget ikke fullt tar inn over seg konsekvensene av den siste tidens utvikling på personvern. Datatilsynet oppfatter at den største utfordringen ved forslaget, er knyttet til spørsmålet om tilgangsstyring og virksomhetenes praktiske mulighet til å følge opp denne delen av dataansvaret.
Helsedirektoratet mener at rammene for hvilke opplysninger som kan behandles i en nasjonal digital datainfrastruktur tydeligere bør fastsettes i loven og forarbeidene til loven.
Norsk psykologforening m.fl. påpeker at overholdelse av taushetsplikt og kravene til konfidensialitet ofte er en forutsetning for den tillit som er nødvendig for å komme i posisjon for å yte helsehjelp til personer med psykiske helseutfordringer, rus og avhengighet. Helsepersonell må kunne være trygge på at det de dokumenterer i pasientjournalen ikke blir delt uten samtykke fra pasienten, eller etter en konkret og individuell vurdering av andre rettsgrunnlag.
Når det gjelder spørsmålet om dataansvar, støtter de fleste høringsinstansene at felles oppgaver i infrastrukturen (først og fremst spørsmål knyttet til informasjonssikkerhet) eventuelt bør legges til en forvaltningsorganisasjon, fremfor hos mindre virksomheter som gjerne mangler ressursene og kompetansen til å ivareta dette ansvaret. Datatilsynet støtter å legge (deler av) dataansvaret på et forvaltningsorgan som har reell innflytelse på utformingen av og innholdet i den nasjonale infrastrukturen. Tilsynet støtter også departementets syn på at en tydelig ansvarsplassering hos aktøren med størst reell og praktisk innflytelse over den digitale infrastrukturen vil kunne bidra til å sikre etterlevelse av grunnleggende krav til personopplysningssikkerhet mv.
Helse Sør-Øst RHF oppfatter at lovforslaget er godt underbygget og ikke svært inngripende overfor personvernet eller virksomhetsansvaret til helseforetakene. Videre peker Helse Sør-Øst RHF på at ansvarsdelingen mellom aktørene (konsument, tjenestetilbyder, transportør) ikke er tydelig nok beskrevet. Det er behov for forskrifter som knytter ulike ansvarsområder (dataansvar, databehandleransvar, virksomhetsansvar, helsefaglig behandlingsansvar, personalansvar) til involverte roller. Helseforetakene skal ivareta et helhetlig virksomhetsansvar og oppfatter ikke at det er entydig hvordan dataansvaret i samhandlingssituasjoner skal håndteres når deler av dette påvirker eller sammenfaller med det helsefaglige ansvaret i kjernevirksomheten. Helse Sør-Øst RHF ønsker ikke en utvikling der databehandlere og infrastrukturforvaltere (som Norsk helsenett SF) pålegges helsefaglig ansvar eller ansvar som påvirker helsefaglige beslutninger.
Helse Bergen HF, Haukeland universitetssykehus peker på at en ulempe med sentralisert forvaltningsorganisasjon er for stor avstand til behovene i virksomhetene. Virksomhetene er svært ulike både i størrelse, karakter og kompleksitet, og de tror derfor det vil være utfordrende å etablere en drift- og utviklingsorganisasjon som kan håndtere og forene alle behov på en god måte. Likevel nevnes det av andre instanser at det er viktig å velge en modell som ikke fører til ansvarspulverisering, noe som kan skje ved et felles dataansvar fordelt på flere parter. Helse Nord RHF er enig med departementet i at det først og fremst er spørsmål knyttet til informasjonssikkerhet som eventuelt bør håndteres av forvaltningsorganisasjonen i et sentralisert dataansvar.
Helseplattformen AS påpeker at samhandlingsløsninger byr på komplekse problemstillinger vedrørende dataansvar. Det å forskriftsfeste dette for en nasjonal digital samhandlingsløsning vil bidra til forutberegnelighet for innbyggerne. Sett i lys av kompleksiteten av digital teknologi og ulike aktører i en slik samhandlingsløsning, vil det etter deres mening være viktig å forskriftsregulere dataansvaret i slike tilfeller.
Nasjonalt senter for e-helseforskning uttaler at det, både for å stimulere til økt bruk av felles tjenester, og med formål om å forenkle forvaltningen for hver enkelt kommune, bør åpnes for en fleksibel dataansvarsmodell basert på teknisk arkitektur i infrastruktur og økosystem, som er utformet i dialog med aktørene i sektoren.
Norsk helsenett SF støtter departementet i vurderingen om at dataansvaret langt på vei bør sentraliseres, også sett i lys av behovet for en ensartet praksis ut mot den registrerte (innbyggeren). De mener også at det er en fordel at en spisser kompetansemiljøene rundt informasjonssikkerhet og personvern, slik at en kan gjenbruke vurderinger av personvernkonsekvensene og søke en enhetlig praksis hvor en skal balansere personvern opp mot kravene til tilgjengelighet for opplysninger.
Oslo kommune påpeker at det at forvaltningsorganisasjonen eier løsningen eller har ansvar for felles oppgaver for å sikre en fungerende nasjonal datainfrastruktur for digital samhandling, ikke nødvendigvis betyr at forvaltningsorganisasjonen alene kan ha dataansvaret for behandling av personopplysninger i «fellesdelen» av infrastrukturen. Samtidig mener kommunen at det bør utredes nærmere om:
dataansvar kan plasseres uten behov for regelverksutvikling, og ev. begrunnes hvorfor plassering av dataansvar ikke kan løses innenfor gjeldende regelverk,
plassering av dataansvar for en løsning av dette omfang og denne betydning bør først gjøres gjennom avtaler (hvis mulig), spesielt siden det fortsatt er mange uklarheter rundt hvordan løsningen skal være, og
mulighet for felles dataansvar mellom forvaltningsorganisasjonen og virksomhetene.
Pasientreiser HF er etter forskrift dataansvarlig for nasjonale registre, og basert på deres erfaringer vil et sentralisert dataansvar best legge til rette for å raskest mulig oppnå målsetningene med nasjonal samhandlingsløsning.
Kripos er positive til at departementet særskilt omtaler personer med sperret adresse i høringsnotatet. Tiltaket iverksettes kun ved fare for liv, helse eller frihet og bare dersom andre og mindre inngripende beskyttelsestiltak ikke anses tilstrekkelig.
5.4 Departementets vurderinger og forslag
5.4.1 Videreføring av høringsforslaget
Departementet oppfatter at høringsinstansene i all hovedsak er positive til hovedlinjene i forslaget. Høringsforslaget om endringer i pasientjournalloven § 10 om nasjonal digital datainfrastruktur videreføres derfor med noen justeringer og presiseringer, i tråd med innspill fra høringsinstansene.
5.4.2 Hva er nasjonal datainfrastruktur for digital samhandling?
Flere av hørings instansene har påpekt at begrepet «nasjonal datainfrastruktur» er uklart.
Med nasjonal datainfrastruktur mener departementet et nettverk av digital teknologi og ulike aktører, som til sammen utgjør en digital samhandlingsinfrastruktur. Datainfrastrukturen kan omfatte helseopplysninger og andre personopplysninger som benyttes i samhandling for å yte, administrere eller kvalitetssikre helsehjelp til enkeltpersoner. Dette inkluderer nasjonale e-helseløsninger og andre felleskomponenter. Datainfrastrukturen skal legge til rette for at helsepersonell enkelt og raskt kan få tilgang til relevante og nødvendige journalopplysninger nedtegnet av helsepersonell i egen og i andre virksomheter.
Med samhandling mener departementet all form for kontakt, samarbeid og informasjonsutveksling i en virksomhet eller mellom flere virksomheter, som inngår i eller støtter opp under oppfølging av en pasient eller bruker i et behandlingsforløp. Felles for all samhandling er at det krever en tydelig oppgavefordeling mellom aktørene, og at ansvaret for oppfølging av pasienter og brukere overføres effektivt.
En pasient kan ha mange «journaler». Det kan være en i hver virksomhet pasienten har mottatt helsehjelp eller flere journaler i hver virksomhet, eller flere virksomheter som arbeider sammen i felles journal. En pasientjournal består av journalnotater, testresultater, bilder og annen informasjon som er registrert om pasienten fordi det er vurdert å være relevante og nødvendige opplysninger om pasienten og helsehjelpen. Hva som utgjør en pasientjournal, er med andre ord ikke avhengig av i hvilket system opplysningene registreres. Se også punkt 3.1.
Datainfrastrukturen er ikke en journalløsning. Den enkelte virksomhet vil fremdeles ha ansvar for å sørge for en journalløsning hvor helsepersonellet kan oppfylle sin dokumentasjonsplikt. Den nasjonale datainfrastrukturen skal legge til rette for at helsepersonell enkelt og raskt kan lese relevante journalopplysninger nedtegnet av helsepersonell i egen og i andre virksomheter. Hvilket helsepersonell som har adgang og/eller plikt til å nedtegne journalinformasjon (skriveadgang) og i hvilke situasjoner, følger av gjeldende regelverk. Adgang og plikt vil typisk gjelde registrering av opplysninger knyttet til behandling av pasienter i egen virksomhet, helsefellesskap mv. og enkelte elementer i samhandlingsløsningen som e-resept og kjernejournal. Det funksjonelle omfanget bestemmes primært av helse- og omsorgstjenestene som skal understøttes. Hva en pasientjournal skal inneholde, taushetsplikt, informasjonssikkerhet mv. er særskilt regulert, se kapittel 3.
5.4.3 Formålet med lovforslaget
Departementets forslag skal bidra til en bedre, mer helhetlig og koordinert helsetjeneste, trygge tjenester av høy kvalitet og mer effektiv ressursbruk. Forslaget gir et juridisk grunnlag for denne utviklingen.
Hurdalsplattformen omtaler e-helse særskilt og det følger blant annet at: «For å kunne gi best mulig helsehjelp er det en forutsetning at relevante og nødvendige opplysninger om sykdomshistorie og legemiddelbruk følger pasienten gjennom hele pasientforløpet og forvaltes og lagres på en trygg måte.» Også ett av de tre hovedelementene i stortingsmeldingen fra 2012 Én innbygger – én journal, (Meld. St. 9 (2012–2013) og Stortingets innstilling (Innst. 224 S (2012–2013)), er at relevante og nødvendige opplysninger skal være tilgjengelige for helsepersonellet når det er nødvendig, uavhengig av hvor i landet pasienten tidligere har fått helsehjelp.
Pasientjournalen er et arbeids- og kommunikasjonsverktøy for helsepersonellet, som benyttes for å dokumentere relevante og nødvendige opplysninger om pasienten og helsehjelpen. Det inkluderer vurderinger og rådslaging mellom helsepersonell om innhold i helsehjelpen. Journalen skal gi en oversiktlig og samlet fremstilling av pasientens helsetilstand slik at det er lett for helsepersonell å sette seg inn i pasientens tilstand og eventuelt videre planlagt helsehjelp, jf. pasientjournalforskriften § 4.
Alle vil i løpet av livet være i kontakt med mange ulike aktører i helse- og omsorgssektoren. Behandlingsforløpene er sjelden lineære. Normalsituasjonen er at pasienter får behandling og oppfølging ved flere ulike virksomheter. Pasientene har behov for tjenester fra ulike virksomheter og tjenestenivåer. Skifte mellom ulike virksomheter kan skje raskt og hyppig. Pasienter (og pårørende) må nå, i for stor grad selv passe på og ta med seg sin egen helsehistorie fra en virksomhet til en annen. Alle aktørene som yter helse- og omsorgstjenester trenger informasjon fra pasientene og brukerne, og fra hverandre for å kunne utføre sine tjenester med høyest mulig kvalitet og høy grad av pasientsikkerhet samt effektiv bruk av ressursene. Dette gir behov for effektiv samhandling og robust og sikker formidling av informasjon.
Etter gjeldende rett foreligger det ikke hjemmel til å etablere et nasjonalt pasientjournalsystem. Av Prop. 72 L (2013–2014) om pasientjournalloven og helseregisterloven (punkt. 13.2.2) følger:
«Et nasjonalt journalsystem med en felles totalløsning for alle aktørene innen helse- og omsorgssektoren, bør etter departementets vurdering legges frem for Stortinget og besluttes i eget lovvedtak.»
En nasjonal datainfrastruktur for digital samhandling er etter departementets syn en form for felles totalløsning som favner videre enn nasjonale tiltak som er begrenset til bestemte områder, jf. pasientjournalloven § 10, og samarbeid mellom to eller flere virksomheter, jf. pasientjournalloven § 9. Sammensetningen av de tre journalløsningene Helseplattformen i Midt-Norge, arbeidet for en felles samordnet pasientjournalløsning i regi av de tre øvrige regionale helseforetakene og felles journalløsning i kommunal helse- og omsorgstjeneste utenfor helseregion Midt-Norge, og de nasjonale samhandlingsløsningene kjernejournal, e-resept mv., utgjør en nasjonal datainfrastruktur. Forskrifter om en slik nasjonal datainfrastruktur som vil knytte pasientens journal sammen i en helhetlig nasjonal løsning, krever en utvidet lovhjemmel.
Direktoratet for e-helse viser til at eksisterende nasjonale e-helseløsninger og det rettslige grunnlaget disse bygger på ikke vil være tilstrekkelig for å oppnå helhetlig digital samhandling. Direktoratet påpeker at det må etableres både spesifikke tjenester og felleskomponenter som gjør det mulig å dele relevante og nødvendige helseopplysninger, utover dagens nasjonale e-helseløsninger. Dette er imidlertid løsninger og tjenester som ikke er ferdig utredet og vurdert. Departementet legger til grunn at dette vil kunne være innenfor lovforslagets formål og som må vurderes ved utarbeidelse av forskrifter i medhold av den nye lovhjemmelen.
Digitale løsninger skal understøtte en helhetlig samhandling mellom helsepersonell og styrke pasienter og innbyggeres mulighet til å ta en aktiv rolle i eget behandlingsopplegg. En pasientjournal består av journalnotater, testresultater, bilder og annen informasjon som er registrert om pasienten fordi det er vurdert å være relevante og nødvendige opplysninger om pasienten og helsehjelpen. Hva som utgjør en pasientjournal, er ikke avhengig av i hvilket system opplysningene registreres. Opplysningene kan være nedtegnet og lagret adskilt i ett eller flere systemer, og ved at helsepersonell selv registrerer opplysningene eller ved at pasienten kobles til medisinsk utstyr hvor opplysningene registreres automatisk.
Pasienter og brukere har behov for, og bør kunne forvente å møte en effektiv helse- og omsorgstjeneste som opptrer samordnet, helhetlig og koordinert. Lovforslaget skal sikre at relevante og nødvendige opplysninger om pasientene er tilgjengelige for helsepersonell i forbindelse med helsehjelp. Dette vil også kunne begrense duplisering av pasientdata og antallet unødvendige tester.
Samtidig skal den enkeltes personvern ivaretas. Behandlingen av opplysningene i nasjonal datainfrastruktur blir underlagt lovbestemt formålsbegrensning i samsvar med pasientjournalloven. Dette vil imidlertid ikke være til hinder for at journalopplysninger også kan være tilgjengelig for å kunne videreutvikle helse- og omsorgstjenestene gjennom forskning og undervisning.
Journalopplysninger skal være oppdaterte og følge den enkelte gjennom hele behandlingsforløpet, uavhengig av helsetjenestenivå eller hvor i landet pasienten behandles og om den gjøres ved et helseforetak, av fastlegen, private tjenesteytere eller av den kommunale helse- og omsorgstjenesten. Dagens ikt-løsninger bidrar i for liten grad til dette. Behov for bedre arbeidsverktøy og bedre samhandling er stort og vil forsterkes ytterligere i årene som kommer som følge av den demografiske utviklingen og at pasientene og brukerne i større grad vil motta tjenester i hjemmet. En nasjonal datainfrastruktur for effektiv digital samhandling betyr at alle aktørene i større eller mindre grad må tilpasse seg nye arbeidsprosesser og nye måter å arbeide på.
Digitalisering er et viktig virkemiddel for å legge til rette for helhetlige behandlingsforløp. Det er en forutsetning at det er helsepersonellets og pasientenes behov som er styrende for den teknologiske utviklingen i sektoren, blant annet ved at utviklingen innrettes for å understøtte helsepersonells arbeidsprosesser.
Digitaliseringen av helsesektoren krever forvaltning og styring. Det er nødvendig med nasjonale tiltak som i større grad utnytter de teknologiske mulighetene. Dette omfatter samhandlingstiltak som bidrar til at informasjonsdelingen i mindre grad baserer seg på dagens løsninger for å sende og motta, og i større grad gir mulighet for å slå opp og gjøre tilgjengelig informasjon mellom journalsystemene, samt mulighet for å dele og endre på felles data på enkelte områder. Nasjonal styring forutsetter imidlertid en balanse mellom standardisering og autonomi, der data på plattformer i større grad standardiseres mens brukerorientert applikasjonsutvikling skjer desentralisert.
Dette krever tilrettelegging, heller enn planlegging, fordi innovasjon i sin natur er vanskelig å planlegge. Det er viktig at de store kliniske systemene ikke sperrer for bruk av såkalte lettere teknologier. Det er derfor viktig med helhetlige beslutninger knyttet til hvordan utviklingen av nye ikt-løsninger skal inngå i større løsninger, og samspille med de kliniske grunnsystemene. Direktoratet for e-helse har en viktig rolle i dette arbeidet, men er avhengig av et godt samarbeid med hele sektoren.
5.4.4 Forslag til endring av pasientjournalloven § 10
Av pasientjournalloven § 10 følger at Kongen i statsråd kan gi forskrift om etablering av nasjonale behandlingsrettede helseregistre på bestemte områder, men ikke en nasjonal totalløsning. Forskriften skal gi nærmere bestemmelser om drift, behandling og sikring av helseopplysningene, om dataansvar, om tilgangskontroll og om hvordan rettighetene til pasienten eller brukeren skal ivaretas.
Departementet foreslår et nytt andre ledd i § 10, som gir Kongen i statsråd hjemmel til å gi forskrift om nasjonal datainfrastruktur for digital samhandling. Departementet merker seg at Justis- og beredskapsdepartementet og Helsedirektoratet mener at rammene for hvilke opplysninger som kan behandles i datainfrastrukturen tydeligere bør fastsettes i loven og forarbeidene til loven. Departementet foreslår at forslaget i høringsnotatet opprettholdes med enkelte justeringer som skal klargjøre rekkevidden av forskriftshjemmelen. Av forslaget følger at datainfrastrukturen kan omfatte journalopplysninger og annen informasjon som benyttes i samhandling for å yte, administrere eller kvalitetssikre helsehjelp til enkeltpersoner. Det fremstår ikke som ønskelig, i lovs form å begrense adgangen til å samhandle til kun å gjelde nærmere bestemte opplysningstyper. Hjemmelen kan imidlertid begrenses til helseopplysninger og andre personopplysninger, da det bare er slik informasjon som har behov for lovregulering. Annen informasjon kan uansett behandles i datainfrastrukturen.
Hvilke opplysninger det er nødvendig å dele vil variere fra pasient til pasient, Begrensninger vil uansett følge av de ordinære reglene om taushetsplikt, se punkt 5.4.5.
Eventuelle forskrifter skal inneholde nærmere bestemmelser om drift, behandling og sikring av helseopplysningene, om dataansvar, om tilgangskontroll og om hvordan rettighetene til pasienten eller brukeren skal ivaretas. Forskrifter etter forslaget vil være knyttet til samhandling mellom de ulike aktørene og komponentene, og ansvarsforholdene i samhandlingen. Departementet foreslår at § 10 andre ledd videreføres som nytt tredje ledd om hva forskriften skal regulere, og at dette også skal gjelde forskrifter etter nytt andre ledd.
Kongen skal kunne gi ulike regler for de enkelte elementene i det som samlet utgjør nasjonal datainfrastruktur, herunder kommunal journalløsning, Helseplattformen i Midt-Norge og de tre regionale løsningene for Helse Nord RHF, Helse Vest RHF og Helse Sør-Øst RHF. Nasjonal datainfrastruktur vil ha behandlingsgrunnlag i personvernforordningen artikkel 6 og 9, se punkt 3.7.
Departementet har vurdert om hjemmelen for behandling av personopplysninger i den nasjonale løsningen skal være begrenset til den offentlige helse- og omsorgstjenesten eller om det også skal kunne omfatte helprivate tjenestetilbydere. Pasientjournalloven gjelder «all behandling av helseopplysninger som er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til enkeltpersoner», jf. § 3. Loven omfatter både offentlige og private helse- og omsorgstjenester, også private tjenester som fullt ut betales av pasientene selv. Dagens forskriftshjemmel i § 10 har samme virkeområde. Departementet foreslår ingen endringer i dette virkeområdet. Dette betyr at apotek og private laboratorier mv. også er omfattet av den nye forskriftshjemmelen.
Begrunnelsen for et så vidt nedslagsfelt er behovet for å tilrettelegge for effektiv kommunikasjon og utveksling av helseopplysninger i en enhetlig nasjonal infrastruktur, uavhengig av hvor pasientene og brukerne mottar helse- og omsorgstjenester. Effektiv samhandling er viktig for pasienters liv og helse, uansett finansiering og organisering av helsehjelpen.
Det skal i utgangspunktet være frivillig for de enkelte virksomhetene å delta i enkelte elementer i det som samlet utgjør nasjonal datainfrastruktur. Direktoratet for e-helse fremhever at ettersom nasjonal datainfrastruktur består av mange ulike komponenter, alt fra journalløsninger til samhandlingsløsninger, der noen er frivillig og andre ikke, kan det med fordel tydeliggjøres hvilke løsninger det siktes til når det presiseres at deltakelse skal baseres på frivillighet. Pasientreiser HF peker på at det bør vurderes om virksomhetene bør pålegges deltakelse. Dette fordi frivillig deltakelse kan føre til at det ikke gis tilgang til nødvendig og relevant informasjon for å gi helsehjelp, og at pasienter og virksomheter fortsatt må bruke mye ressurser på innhenting av informasjon, som svekker mulighetene for å nå målene med endringen.
Departementet vil presisere at forskriftene etter forslaget til nytt andre ledd, i motsetning til forskrifter etter første ledd, ikke skal kunne omfatte pålegg om deltakelse.
Det er enkelte samhandlingstiltak som ikke er frivillig for alle aktørene å bestemme om de vil benytte eller ikke. Dette er da bestemt med hjemmel i andre bestemmelser. Foreløpig gjelder dette kun e-resept, kjernejournal og helsenettet, se pasientjournalloven § 8 andre ledd med forskrifter. I tillegg er virksomheter i helse- og omsorgstjenesten som yter helsehjelp pålagt å sørge for at behandlingsrettede helseregistre (pasientjournaler) føres elektronisk, jf. blant annet forskrift om standarder og nasjonale e-helseløsninger.
For Svalbard gjelder en egen forskrift, jf. forskrift 22. juni 2015 nr. 747 om anvendelse av helselover og -forskrifter for Svalbard og Jan Mayen. I medhold av denne gjelder blant annet helsepersonelloven og deler av spesialisthelsetjenesteloven for Svalbard, samt en rekke andre lover på helsefeltet. Pasientjournalloven gjelder imidlertid ikke. Gjeldende geografiske virkeområde har, etter det departementet forstår fungert tilfredsstillende. Departementet foreslår derfor ikke å endre dette nå.
5.4.5 Adgangen til å dele pasientopplysninger mellom helsepersonell som skal yte helsehjelp
Lovforslaget skal understøtte et bedre digitalt samarbeid om pasientbehandling i hele helse- og omsorgstjenesten og dermed etablere rammene for informasjonsdeling som er tilpasset de faktiske forløpene i helse- og omsorgstjenesten.
Behovet for å samhandle, vil variere basert på pasientenes og brukernes behov. Dette gjelder både internt i helse- og omsorgssektoren og mellom kommunale og statlige tjenestetilbydere. Pasientene og brukerne skal kunne forvente at det helsepersonellet de møter, har tilgang til de journalopplysningene som er relevante og nødvendige for helsehjelpen. Helsepersonellet skal være trygge på at de har et aktuelt, oversiktlig og dekkende beslutningsgrunnlag for helsehjelpen de skal gi.
Alle er forskjellige og har ulike ønsker og behov, og pasientbehandlingen foregår ofte på ulike steder. Vår felles helsetjeneste skal kunne håndtere ulike behov, uten at dette går ut over kvaliteten i pasientbehandlingen. Samtidig skal bruken av helseopplysninger skje med respekt for den enkeltes personvern. All lovlig tilgang til helseopplysninger forutsetter tjenstlige behov og skal skje i samsvar med kravene til taushetsplikt og innenfor rammene av personvernregelverket. Løsninger for innebygget personvern skal bidra til å sikre dette, se punkt 5.4.9.
Det rettslige utgangspunktet er at journalopplysninger er underlagt taushetsplikt og at de ikke skal deles med mindre pasienten ønsker det eller det følger av lov. Deling av pasientopplysninger mellom helsepersonell som skal yte helsehjelp til pasienten er tillatt. Hovedreglene for slik deling følger av helsepersonelloven §§ 25 og 45.
Etter pasientjournalloven § 19 skal den dataansvarlige, innen rammen av taushetsplikten sørge for at relevante og nødvendige helseopplysninger er tilgjengelige for helsepersonell og annet samarbeidende personell når dette er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til den enkelte. Av samme lov § 17 følger at den enkelte kan motsette seg at opplysninger gjøres tilgjengelige for helsepersonell etter § 19.
Helsepersonelloven § 25 regulerer helsepersonells adgang til å gi helseopplysninger til personell de samarbeider med i forbindelse med ytelse av helsehjelp. Etter denne bestemmelsen kan helseopplysninger gis til samarbeidende personell når dette er nødvendig for å kunne gi forsvarlig helsehjelp. Bestemmelsen gjelder uavhengig av om dette skjer innenfor eller mellom virksomheter.
Helsepersonelloven § 45 regulerer plikten til å gi helseopplysninger til andre som yter eller skal yte helsehjelp til samme pasient. Formålet med § 45 er å tilrettelegge for effektiv kommunikasjon mellom helsepersonell og sikre pasienten god og forsvarlig helsehjelp, samtidig som hensynet til pasientens integritet og personvern ivaretas. Paragrafen er en pliktbestemmelse som pålegger helsepersonell å gi helseopplysninger om en pasient til annet helsepersonell som skal yte eller yter helsehjelp til pasienten. Plikten til å gi helseopplysninger til annet helsepersonell gjelder både innenfor egen virksomhet og mellom virksomheter. Bestemmelsen åpner både for at journalopplysninger kan utleveres til annet helsepersonell og for at annet helsepersonell kan gis elektronisk tilgang til journal og journalopplysninger. Utleveringen kan utføres av den dataansvarlige for opplysningene eller det helsepersonellet som har dokumentert opplysningene, jf. § 45 andre ledd.
Delingen av journalopplysningene etter § 25 og § 45 skal være nødvendig for å yte forsvarlig helsehjelp. Pasienten har rett til å reservere seg mot at opplysninger gis, selv om opplysningene er nødvendige for å yte helsehjelp, jf. også pasient- og brukerrettighetsloven § 5-3 første punktum. Opplysningene skal heller ikke deles dersom det er grunn til å tro at pasienten ville motsette seg det, jf. pasient- og brukerrettighetsloven § 5-3 andre punktum.
Adgangen til å dele journalopplysninger etter § 45 må også ses i sammenheng med helsepersonelloven § 45 a om epikriser, som ble tilføyd ved lov 14. juni 2013. Av bestemmelsen følger at med mindre pasienten motsetter seg det, skal det ved utskrivning fra helseinstitusjon oversendes epikrise til innleggende eller henvisende helsepersonell, til det helsepersonellet som trenger opplysningene for å kunne gi pasienten forsvarlig oppfølging, og til pasientens faste lege. Det er presisert at pasienten bør gis anledning til å opplyse hvem epikrise skal sendes til.
Som nevnt er det et vilkår at delingen av journalopplysninger etter § 45 er nødvendig for å kunne yte forsvarlig helsehjelp. Det må med andre ord foretas en konkret vurdering av nødvendigheten av delingen og hvilke opplysninger det er behov for å dele i den konkrete helsehjelpssituasjonen. I utgangspunktet er det helsepersonellet som har nedtegnet opplysningene eller dataansvarlig for helseopplysningene som må foreta vurderingen av om vilkårene for deling er oppfylt, jf. bestemmelsens andre ledd.
Samtidig fastsetter § 45 en plikt for helsepersonellet til å dele opplysninger dersom vilkårene i § 45 er oppfylt. Det er dataansvarlig som bestemmer på hvilken måte opplysningene skal tilgjengeliggjøres jf. pasientjournalloven § 19. Formålet med pasientjournalloven § 19, er bl.a. å legge bedre til rette for informasjonsdeling enn det som var tilfelle før pasientjournallovens ikrafttredelse, jf. Prop. 72 L (2013–2014) punkt 11.3.1. Måten helsehjelp ytes på, har også endret seg. Blant annet ved at pasienter i større grad enn tidligere får behandling på tvers av primær- og spesialisthelsetjenesten og mellom ulike virksomheter innen det samme nivået. Dette fordrer større grad av informasjonsdeling enn tidligere og ikke minst at det sikres at informasjonen som deles, er den korrekte og sist oppdaterte. Det er følgelig et prinsipp om at deling av journalopplysninger skal kunne skje uavhengig av om delingen skjer innad i en virksomhet, eller mellom virksomheter.
Bestemmelsen i § 45 regulerer ikke på hvilket tidspunkt eller på hvilken måte denne vurderingen skal gjøres. Vurderingen av om vilkårene er oppfylt kan følgelig gjøres både ved en konkret forespørsel om deling av helseopplysninger, eller i forkant når opplysningene nedtegnes, uavhengig av om det er en delingssituasjon eller om det vil komme til å bli en situasjon der helseopplysninger skal deles.
Helsepersonelloven § 45 regulerer ikke hvilke opplysninger som anses som «relevante og nødvendige». Det vil være det helsepersonellet som skal behandle pasienten, som selv vurderer hvilke opplysninger som er relevante og nødvendige i den konkrete helsehjelpssituasjonen.
Departementet presiserer at selv om det er gitt en forhåndsvurdering av om journalopplysningene kan deles, må helsepersonellet som får tilgang til helseopplysningene alltid kunne godtgjøre å ha tjenstlig behov for de relevante og nødvendige journalopplysningene.
En nasjonal løsning hvor journalopplysninger vil være tilgjengelige i hele landet, uavhengig av virksomhet og forvaltningsnivå, skiller seg fra de virksomhetsinterne løsningene. Som nevnt over, vurderer departementet helsepersonelloven § 45 slik at deling kan baseres på en forhåndsvurdering av om vilkårene i bestemmelsen er oppfylt. Det fremkommer av pasientjournalloven § 19 andre ledd at det er databehandlingsansvarlig som bestemmer på hvilken måte tilgjengeliggjøringen skal gjøres. I Prop. 72 L (2013–2014) punkt 11.3.6 angis viktige prinsipper om adgangen til å tilgjengeliggjøre opplysninger, blant annet at delingen kan skje ved en teknisk løsning for tilgangsstyring som tillater at helsepersonellet selv kan tilegne seg opplysninger innen rammen av den tilgang de er gitt:
«Departementet foreslår at den databehandlingsansvarlige skal ha ansvar for å beslutte hvordan opplysningene skal tilgjengeliggjøres for andre virksomheter. Enhver databehandlingsansvarlig må sørge for at sikkerheten i egen virksomhet ivaretas. Det betyr at en virksomhet som vil dele opplysninger med andre virksomheter må ha vurdert risikoen ved slik deling og ha iverksatt nødvendige tiltak for å begrense risikoen. Virksomheten må vurdere om kravene til konfidensialitet og tilgjengelighet er ivaretatt. Virksomheten må, som i dag, sikre at det bare gis tilgang til helseopplysninger som er nødvendige for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt.
Den databehandlingsansvarlige må vurdere om det i virksomheten som får tilgang, finnes systemer som i tilstrekkelig grad ivaretar taushetsplikten og lovens øvrige krav. Virksomheten som får tilgang må ha tilstrekkelig tilgangskontroll og andre sikkerhetstiltak slik at den totale sikkerheten ikke blir dårligere. Dette må vurderes på et virksomhets- og systemnivå, med utgangspunkt i virksomhetens organisering og arbeidsdeling.
I praksis vil ekstern tilgang kunne skje ved at de involverte virksomhetene avtaler og organiserer dette seg imellom. Dette inkluderer en ansvarsdeling mellom virksomhetene, med tydelige roller og ansvar for å sørge for tilfredsstillende sikkerhet og ivaretakelse av pasientens rettigheter.»
Det er kun relevante og nødvendige opplysninger om pasienten som helsepersonell har rett til å få delt. Adgangen til å motta opplysninger vil følgelig begrenses av det tjenstlige behovet helsepersonellet har for å motta opplysningene. Dette innebærer et individansvar. Se nærmere omtale av helsepersonells individansvar i punkt 5.4.7.2. Dersom helsepersonellet tilegner seg flere opplysninger enn det som vedkommende har tjenstlig behov for, vil dette også kunne rammes av forbudet mot urettmessig tilegnelse av helseopplysninger i helsepersonelloven § 21 a. Som det fremkommer av Prop. 72 L (2013–2014) må virksomheten på sin side sikre at det bare er relevante og nødvendige opplysninger det gis tilgang til.
Departementet vurderer at journalopplysninger kan deles etter § 45 i en nasjonal datainfrastruktur, også basert på forhåndsvurderinger. Samtidig ser departementet at med nye samhandlingsløsninger, og for å sikre forutberegnelighet, bør delingsadgangen være så tydelig som mulig. Departementet foreslår derfor at adgangen til dele opplysninger også framgår av pasientjournalloven § 10 andre ledd. Departementet vil i det videre forskriftsarbeidet vurdere om og eventuelt hvordan problemstillinger knyttet til deling av opplysninger og tilgangsstyring i den nasjonale datainfrastrukturen kan presiseres og tydeliggjøres.
Det skal fremgå av journalen dersom journalopplysninger er delt med annet helsepersonell. Pasientjournalforskriften § 14 krever at dette skjer automatisk. Forskriftsbestemmelsen har et krav om at loggen skal inneholde opplysninger om hvem som har hentet fram opplysningene, hjemmelsgrunnlaget og tidsperioden for tilgjengeliggjøringen. Bestemmelsen stiller imidlertid ikke krav til logging av hvilke konkrete opplysninger som er tilgjengeliggjort. Departementet ser at det kan være aktuelt å vurdere nærmere om krav til detaljeringsgraden for logging bør reguleres særskilt.
5.4.6 Særlig om forholdet mellom somatikk, rus og psykiatri
Det kan oppstå utfordringer knyttet til informasjonsdeling mellom helsepersonell som yter helsehjelp ved somatisk sykdom og helsepersonell som yter helsehjelp ved psykisk sykdom og ruslidelser. De helsemessige utfordringene henger ofte sammen. Ruslidelse og somatisk sykdom som følge av rusmiddelbruk vil også være viktig for helsepersonell å ha kunnskap om. Samtidig kan det være et ønske om å begrense deling av informasjon fra rusomsorgen og den psykiske helse- og omsorgstjenesten til den somatiske helse- og omsorgstjenesten.
Norsk psykologforening m.fl. påpeker at overholdelse av taushetsplikt og kravene til konfidensialitet ofte er en forutsetning for den tillit som er nødvendig for å komme i posisjon for å yte helsehjelp til personer med psykiske helseutfordringer, rus og avhengighet. Departementet deler denne oppfatningen. Ulike virksomheter kan imidlertid ha ulike utfordringer, og pasientens ønsker kan være forskjellige. Pasientens adgang til å motsette seg deling av journalopplysninger etter blant annet pasientjournalloven § 17 og helsepersonelloven §§ 25 og 45 og låst resept i e-reseptløsningen er to av tiltakene pasientene kan benytte.
Det er et virksomhetsansvar å vurdere og komme disse utfordringene i møte, så vel på virksomhetsnivå som knyttet til den enkelte pasient. Det er ikke nødvendig, slik departementet ser det, å regulere dette spørsmålet ytterligere i lov. Dersom det etter hvert viser seg at det er behov for særskilt presisering av enkelte krav, kan dette gjøres ved forskrift.
5.4.7 Ansvar og roller
5.4.7.1 Ulike former for ansvar
Ved enhver virksomhet i helse- og omsorgstjenesten skal ansvar og oppgaver være tydelig avklart. Det er særlig tre former for ansvar som er relevant; helsepersonellets individansvar etter helsepersonelloven, virksomhetsansvar etter spesialisthelsetjenesteloven og helse- og omsorgstjenesteloven og dataansvar etter personvernlovgivningen. Ved digitalisering og utvikling av nasjonale pasientjournalløsninger og datainfrastruktur har håndteringen av ansvaret og samspillet mellom disse ulike rollene betydning. Hvordan pasientjournalløsningene er bygget og satt sammen vil ha betydning for hvordan aktørene kan ivareta sitt ansvar.
5.4.7.2 Helsepersonellets individansvar
Det enkelte helsepersonell har ansvar for å opptre i samsvar med lovpålagte krav, først og fremst å yte forsvarlige helsetjenester jf. helsepersonelloven § 4. Arbeidsgiver har på sin side plikt til å organisere virksomheten på en slik måte at helsepersonellet kan ivareta dette lovkravet jf. helsepersonelloven § 16. De lovpålagte kravene er plikter som samtidig begrenser arbeidsgivers styringsrett. Kravene har derfor betydning for både utøvelse av virksomhetsansvaret og dataansvaret.
Det medisinske behandlingstilbudet er avansert og spesialisert, og det er stor grad av funksjonsdeling av oppgaver.
Forsvarlighetskravet er en rettslig standard. Innholdet i normen vil blant annet være avhengig av den enkeltes faglige tilhørighet, formelle og reelle kvalifikasjoner, variasjoner i personlig erfaring og kompetanse. Krav til forsvarlighet innebærer at helsepersonellet må innrette seg etter sine faglige kvalifikasjoner og respektere begrensninger i egen kompetanse, jf. § 4 andre ledd.
Det fremgår uttrykkelig at helsepersonell skal innhente bistand eller henvise pasienten videre der dette er nødvendig og mulig. Plikten til å samarbeide og samhandle med annet kvalifisert personell dersom pasientens behov tilsier dette, understrekes også. Det følger av forsvarlighetskravet at personellet har en plikt til å innhente nødvendig informasjon om pasienten før helsehjelp gis. Det må innhentes tilstrekkelig informasjon til at beslutning om og gjennomføring av hjelp etter loven kan gjøres forsvarlig.
Helsepersonells individansvar omfatter blant annet også lovpålagt taushetsplikt, journalføringsplikt, plikt til å gi innsyn i journal til de som har krav på det, og plikt til å dele opplysninger med annet helsepersonell «når dette er nødvendig for å kunne gi forsvarlig helsehjelp». Se punkt 3.3.
5.4.7.3 Virksomhetsansvar
Eiere og ledere i helsetjenesten har et generelt ansvar for at tjenestenes drift gjennomføres innen lovfastsatte rammer, herunder legge til rette for at personell som utfører tjenestene blir i stand til å overholde sine lovpålagte plikter. Virksomhetsansvaret favner videre enn dataansvaret som kun gjelder behandling av person- eller helseopplysninger.
Det følger videre av pasientjournalloven § 19, at den dataansvarlige skal sørge for at relevante og nødvendige helseopplysninger er tilgjengelige for helsepersonell og annet samarbeidende personell når dette er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til den enkelte. Dette er et virksomhetsansvar. Det er den dataansvarlige som bestemmer på hvilken måte opplysningene skal gjøres tilgjengelige. Det er imidlertid en forutsetning at opplysningene gjøres tilgjengelige på en måte som ivaretar informasjonssikkerheten jf. pasientjournalloven § 22. Hvordan opplysninger kan gjøres tilgjengelige er altså avhengig av kvaliteten på og mulighetene i ikt-systemene hos både avgiver- og mottakervirksomhetene. Videre følger det av spesialisthelsetjenesteloven § 3-2 at helseforetak og andre helseinstitusjoner skal sørge for at journal- og informasjonssystemene i virksomheten er forsvarlige. Tilsvarende plikt er også pålagt kommunen og virksomhet som har avtale med kommunen om å yte helse- og omsorgstjenester, jf. helse- og omsorgstjenesteloven § 5-10.
Av forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten følger at den som har det overordnede ansvaret for virksomheten skal sørge for at det etableres og gjennomføres systematisk styring av virksomhetens aktiviteter. Se forskriftens § 3.
5.4.7.4 Dataansvar
Ved all behandling av person- og helseopplysninger i helse- og omsorgstjenesten skal det være en (eller flere) dataansvarlige. Dataansvarlige har ansvaret for at behandling av person- og helseopplysninger er i samsvar med gjeldende regelverk. EUs personvernforordning gir rammer for ansvaret ved å beskrive flere plikter og oppgaver, og sanksjoner hvis pliktene ikke overholdes. I forordningen artikkel 4 nr. 7 er «behandlingsansvarlig» definert som:
«en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett».
I pasientjournalloven er det bestemt at begrepet dataansvarlig skal forstås synonymt med begrepet behandlingsansvarlig i den norske oversettelsen av personvernforordningen.
Etter personvernforordningen ligger dataansvaret hos en (eller flere) aktør(er) som har reell kontroll på utøvelsen av oppgaver og ansvar i behandling av person- og helseopplysninger, enten som følge av lov eller av faktiske forhold ved løsningen. Den dataansvarliges faktiske innflytelse og kontroll er knyttet til myndigheten til å bestemme formålet med behandlingen av person- og helseopplysningene og hvilke midler som skal benyttes. Når formålet med og midlene for behandlingen er fastsatt i nasjonal rett, kan også den dataansvarlige (eller særlige kriterier for utpeking av vedkommende), fastsettes i nasjonal rett.
Departementet vil presisere at dataansvaret kun er knyttet til behandling av person- og helseopplysninger, ikke rettigheter til den tekniske infrastrukturen (midlene) eller andre forhold under virksomhetsansvaret.
Sentrale plikter for den dataansvarlige er blant annet å sikre og dokumentere at behandlingen av person- og helseopplysninger utføres i samsvar med personvernprinsippene, sikre gyldig behandlingsgrunnlag, etablere tekniske og organisatoriske tiltak, lage protokoll for all behandling av person- og helseopplysninger, gjennomføre personvernkonsekvensvurderinger (DPIA), sikre informasjonssikkerheten, håndtere brudd på informasjonssikkerheten og ivareta den registrertes rettigheter.
En dataansvarlig kan ikke delegere ansvar for behandling av person- og helseopplysninger til andre, kun oppgaver. En driftspartner (tredjepart) vil være å anse som en databehandler. En databehandler kan utelukkende opptre etter instruks fra den dataansvarlige.
I høringsnotatet presenterte departementet ulike løsninger for plassering av dataansvaret og inviterte høringsinstansene til å gi synspunkter.
Departementet er av den oppfatning at etablering av nasjonal datainfrastruktur krever en form for sentralisert dataansvar, men at det bør gis hjemmel til i forskrift å etablere ulike dataansvarsmodeller for de ulike nasjonale og regionale tiltakene. Det betyr at det i forskrift kan legges til rette for en modell for den kommunale journalløsningen, en modell for Helseplattformen mv. Et sentralt vurderingstema vil være å legge dataansvar for felles oppgaver, til forvaltningsorganisasjoner. Slike forvaltningsorganisasjoner kan forestå sentrale oppgaver som er felles for virksomhetene i ulike nasjonale løp som samlet utgjør nasjonal journal. Forvaltningsorganisasjonene må være egne rettssubjekter og ha søksmålskompetanse. Forvaltningsorganisasjonene må også sikres myndighet til å fatte beslutninger som er nødvendige for å kunne ivareta dataansvaret og styre etterlevelsen av personvernforordningen.
For departementet er det imidlertid en forutsetning at modellene etableres innen fastsatte rammer og at de ulike modellene vurderes i sammenheng. Det er viktig at pasientene ikke opplever ulikhetene som en ansvarspulverisering, men enkelt kan finne ut hvem som er ansvarlig for hva.
Utkast til forskrifter om dataansvaret mv. vil bli sendt på egen høring. Departementet vil i den forbindelse vurdere høringsinstansenes innspill til hvordan dataansvaret bør reguleres.
5.4.8 Krav til informasjonssikkerhet
All pasientbehandling forutsetter behandling av helseopplysninger om pasienten. God pasientsikkerhet krever at opplysninger deles mellom helsepersonell. God pasientsikkerhet krever derfor god informasjonssikkerhet. Mangelfull informasjonssikkerhet kan få alvorlige konsekvenser, som feilbehandling av pasienter og at uvedkommende får tilgang til helseopplysninger. Manglende tillit til at helseopplysninger behandles forsvarlig vil også kunne få følgekonsekvenser for pasientsikkerheten. Enkelte vil kunne vegre seg for å søke helsehjelp eller for å gi fra seg opplysninger som kan være avgjørende for at man mottar riktig helsehjelp.
Relevante og nødvendige helseopplysninger skal være tilgjengelige for helsepersonell (og annet personell) som har et tjenstlig behov for dem, slik at det kan tas riktige beslutninger og ytes forsvarlig helsehjelp. Dette innebærer også at man må kunne være trygg på at opplysningene er korrekte, altså at de ikke har vært gjenstand for uautorisert endring (hensynet til integritet). Samtidig må opplysningene beskyttes mot uvedkommende. Dette gjelder uautorisert tilgang både fra interne og eksterne (hensynet til konfidensialitet). Det skal både sikres at det finnes mekanismer som ivaretar den lovbestemte taushetsplikten (hindre intern uautorisert tilgang) og beskyttelsestiltak mot digitale angrep fra eksterne trusselaktører. Eksterne trusselaktører kan også utnytte bevisste eller ubevisste innsidere til urettmessig å tilegne seg opplysninger. For å ivareta dette kravet er det nødvendig med gode rutiner for autorisasjon, autentisering og tilgangsstyring for øvrig.
I pasientjournalloven § 22 er det fastsatt krav til både dataansvarlig og databehandler med hensyn til informasjonssikkerhet, med henvisning til personvernforordningen artikkel 32. Bestemmelsen har en funksjonell utforming, hvor det sikkerhetsnivået som skal oppnås og opprettholdes skal være egnet med hensyn til risikoen. Videre følger det av andre ledd at departementet i forskrift kan fastsette nærmere krav til informasjonssikkerhet ved behandling av helseopplysninger.
For å kunne oppfylle kravet til et sikkerhetsnivå som er egnet med hensyn til risikoen, må de sikkerhetstiltakene som iverksettes være adekvate og dimensjonerte i forhold til den til enhver tid foreliggende risiko, med løpende vurderinger av verdier, sårbarheter og trusler. En nasjonal løsning med potensiell tilgang til helseopplysninger og andre sensitive opplysninger om de fleste av Norges innbyggere, vil nødvendigvis ha en større verdi enn løsninger med opplysninger om et avgrenset antall personer, og vil dermed også fremstå som mer attraktiv for en trusselaktør. En trusselaktør vil også søke å rette sitt angrep mot det «svakeste punktet» i en løsning hvor det er mange aktører involvert, i den hensikt å kunne få tilgang videre. Det må videre legges til grunn at enkelte trusselaktører vil kunne ha høy motivasjon for å få tilgang til den aktuelle informasjonen, og besitte de nødvendige kapasiteter til å gjennomføre avanserte digitale angrep. Dette stiller høye krav til kartlegging av sårbarheter, og adekvate beskyttelsestiltak må identifiseres og iverksettes.
Dagens situasjon hvor journalopplysninger i stor grad lagres på desentraliserte servere ved de ulike virksomhetene, bærer med seg ulike utfordringer for sikkerhetsarkitekturen. Ofte står drifts- og applikasjonsleverandørene for mange av de organisatoriske og tekniske sikkerhetsmekanismene som omfatter de ulike journalløsningene, og håndterer dette i mange tilfeller på et tilfredsstillende vis. En tilleggsutfordring er at tilnærmet samme informasjon er lagret flere steder, men bare oppdatert ett sted.
Likevel er det ulik modenhet i ulike virksomheter. I kommunal helse- og omsorgstjeneste gjelder dette spesielt tiltak som ikke håndteres av leverandøren, for eksempel revisjon av tilganger og autorisasjoner, fysisk sikkerhet, håndtering av hendelser mv. Samtidig kan man argumentere for at trusselaktørene vil finne det vanskelig å navigere i en så desentralisert struktur og at verdien av å bryte seg inn i et system med begrenset mengde opplysninger vil være av begrenset interesse.
En nasjonal datainfrastruktur endrer dette bildet. En datainfrastruktur som knytter journalopplysninger fra en stor del av landets helsevirksomheter sammen, vil være et attraktivt mål for trusselaktører. Samtidig vil tiltak kunne treffe bredt, og samlet styrke sikkerhetsnivået.
Sektoren har allerede opplevd en økende mengde datainnbrudd og det er få indikasjoner på at denne aktiviteten vil avta. De åpne nasjonale trussel- og risikovurderingene som utarbeides av Politiets sikkerhetstjeneste, Etterretningstjenesten og Nasjonal sikkerhetsmyndighet indikerer at interessen fra fremmede makter og organiserte kriminelle er økende også mot norske ikt-systemer. Dette innebærer at også forholdet til sikkerhetsloven må vurderes. Det bør også ses hen til EUs direktiv (EU) 2016/1148 om tiltak for å sikre et høyt felles nivå for sikkerhet i nett- og informasjonssystemer i hele EU/EØS.
Kravet om tilgangsstyring er presisert i pasientjournalforskriften § 13, hvor det følger at behandling av journalopplysninger skal baseres på bestemte tildelte tillatelser til å lese, registrere, redigere, rette, slette, sperre eller på annen måte behandle opplysninger i journalen (autorisasjon). Autorisasjonen skal a) beskrive rettighetene og pliktene som autorisasjonen omfatter, b) angi hvilke virksomheter autorisasjonen omfatter, c) dokumenteres i virksomhetens oversikt over helsepersonells autorisasjoner, d) være tidsbegrenset og e) vurderes på nytt når det oppstår endringer i ansvarsområder eller ansettelsesforhold.
Av pasientjournalforskriften § 14 om krav til loggføring følger at tilgjengeliggjøring av journalopplysning skal dokumenteres automatisk hos virksomheten. Videre skal dokumentasjonen minst inneholde informasjon om a) identitet og organisatorisk tilhørighet til den som har hentet fram helseopplysninger, b) grunnlaget for tilgjengeliggjøringen og c) tidsperioden for tilgjengeliggjøringen. Det er presisert at den registrerte har rett til innsyn i dokumentasjonen. Et overordnet krav etter pasientjournalloven § 22, er at den dataansvarlige skal sørge for etterfølgende kontroll. I større systemer vil det være vanskelig gjennomførbart uten bruk av automatiserte varslinger (varslingssystem) o.l. Varslingssystem innebærer at det automatisk meldes om spesielle hendelser både til ansvarlig virksomhet eller dataansvarlig og til pasienten. Pasienter og brukere skal kunne få innsyn i hvem som har sett på helseopplysninger i journalen, jf. pasientjournalloven § 18.
Videre er det i forskriften § 13 presisert at journalopplysninger bare kan gjøres tilgjengelig for personell som gjennom autentisering kan bekrefte sin identitet på en sikker måte. Den dataansvarlige skal ha oversikt over hvem som har tilgang til hvilke typer opplysninger og kunne kontrollere i ettertid hvem som har benyttet seg av tilgangen.
Departementet er av den oppfatning at eksisterende krav om både forhåndskontroll og etterkontroll (autorisasjon, autentisering og loggkontroll) bidrar til å sikre gode og viktige rettigheter og plikter, og mener at dette regelsettet bør komme til anvendelse for nasjonal datainfrastruktur. De overordnede kravene til informasjonssikkerhet i pasientjournalloven og personvernforordningen vil kunne ivareta det endrede behovet som oppstår som følge av den nasjonale løsningen. Departementet tar imidlertid sikte på at det i forskrift presiseres at det også skal kreves autentisering (e-id) som holder et høyt sikkerhetsnivå for å få tilgang til den nasjonale løsningen. Dette samsvarer med krav til øvrige nasjonale løsninger. Departementet vil komme tilbake med et konkret forskriftsutkast i en senere høring.
Gode styringssystemer er en forutsetning for å oppnå og opprettholde egnet (forsvarlig) sikkerhetsnivå. I pasientjournalloven § 23 stilles det krav til den dataansvarliges internkontroll for å sikre og påvise at behandlingen utføres i samsvar med krav i personvernforordningen, personopplysningsloven og pasientjournalloven.
Videre har forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten til formål å bidra til faglig forsvarlige helse- og omsorgstjenester, kvalitetsforbedring og pasient- og brukersikkerhet, og at øvrige krav i helse- og omsorgslovgivningen etterleves. Det er fastsatt at den som har det overordnede ansvaret for virksomheten skal sørge for at det etableres og gjennomføres systematisk styring av virksomhetens aktiviteter og at medarbeiderne i virksomheten medvirker til dette, jf. § 3.
For helse- og omsorgssektoren er det også utarbeidet et omforent sett med krav til informasjonssikkerhet kalt Norm for informasjonssikkerhet og personvern i helse og omsorgssektoren (Normen). Normen skal være et hjelpemiddel for den enkelte virksomhets arbeid med informasjonssikkerhet og personvern. Normens krav er basert på gjeldende regelverk, og utdyper og supplerer dette. Den dekker imidlertid ikke alle lovkrav til informasjonssikkerhet, personvern og behandling av helse- og personopplysninger.
5.4.9 Innebygget personvern
Løsninger for deling av pasientinformasjon skal ivareta hver enkelt pasient på en god og helhetlig måte. Innebygget personvern er et krav etter personvernforordningen artikkel 25. Hva kravet innebærer er ikke konkret angitt i regelverket, men det forutsetter at gode personvernløsninger er standardinnstillinger og at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Den dataansvarlige skal følge opp kravet om innebygget personvern ved utvikling av programvare, ved bestilling av system, løsninger og tjenester, og ved inngåelse av avtaler med leverandører. Kravet til innebygget personvern skal sørge for at løsningene som brukes oppfyller personvernprinsippene, ivaretar den registrertes rettigheter og at krav til sikkerhet ved behandlingen oppfylles.
Flere av høringsinstansene er opptatt av forutsetningen for lovforslaget, om at pasienter og brukere ved enkle grep, skal kunne skjerme og sperre deler eller hele journaler. Mange støtter departementets betraktninger om innebygget personvern. KS mener at forslaget ikke fullt tar inn over seg konsekvensene av den siste tidens utvikling på personvern. Datatilsynet oppfatter imidlertid at den største utfordringen ved forslaget, er knyttet til spørsmålet om tilgangsstyring og virksomhetenes praktiske mulighet til å følge opp denne delen av dataansvaret.
Nasjonal datainfrastruktur skal ta hensyn til kravet om innebygget personvern i utviklingen av ny arkitektur og nye løsninger for kommunikasjon og deling av helseopplysninger. Det omfatter krav og rammeverk for utvikling av systemet, som krav til design, koding, testing, produksjonssetting, forvaltning og opplæring. Systemet må blant annet også ivareta kravet i pasientjournalloven § 17 første ledd bokstav a om at pasienten eller brukeren kan motsette seg at helseopplysninger deles.
Innebygget personvern innebærer også at alle innsyn i journalen og all behandling av opplysninger i journalen kan identifiseres gjennom logg. Krav til loggføring er regulert i pasientjournalforskriften § 14.
Særlig om deling av helseopplysninger om barn og unge
Barn har rett til gode helse- og omsorgstjenester på lik linje med voksne. Det er imidlertid knyttet enkelte utfordringer til deling av helseopplysninger om denne gruppen, bl.a. fordi mindreårige har begrenset samtykkekompetanse. Helselovgivningen og personvernforordningen oppstiller derfor enkelte bestemmelser for særskilt beskyttelse.
Pasienter eller brukere som mottar helse- og omsorgstjenester har rett til å medvirke ved gjennomføringen av helsehjelpen, jf. pasient- og brukerrettighetsloven § 3-1. Dette gjelder også når disse er barn. Medvirkningen skal imidlertid tilpasses den enkeltes evne til å gi og ta imot informasjon. Hva dette nærmere innebærer for barn er konkretisert i bestemmelsen. Barn som er i stand til å danne seg egne synspunkter skal få informasjon og høres. Helsepersonell må altså legge til rette for at barn faktisk blir informert om tilgjengelige og forsvarlige tjenesteformer og undersøkelses- og behandlingsmetoder som finnes og som det eventuelt kan velges mellom. Det må også legges til rette for at barnet får komme med sine synspunkter. Videre følger at det skal legges vekt på hva barnet mener i samsvar med barnets alder og modenhet. Det må altså foretas en modenhetsvurdering.
Hovedregelen er at personer over 18 år har kompetanse til å treffe avgjørelse i helsemessige spørsmål. Den «helserettslige myndighetsalder» er imidlertid 16 år, jf. pasient- og brukerrettighetsloven § 4-3. Bestemmelsens første ledd bokstav c regulerer de begrensede tilfellene der barn mellom 12 og 16 år har selvstendig samtykkekompetanse. Det gjelder helsehjelp for forhold som foreldrene eller andre som har foreldreansvaret ikke er informert om, jf. § 3-4 andre eller tredje ledd eller dersom det følger av «tiltakets art». Er pasienten mellom 12 og 16 år, skal opplysninger ikke gis til foreldrene eller andre som har foreldreansvaret når pasienten av grunner som bør respekteres ikke ønsker dette. Det er altså adgang til å tilbakeholde informasjon fra foreldrene i visse tilfeller. I situasjoner hvor en pasient under 16 år, av grunner som bør respekteres, ikke ønsker at foreldre informeres og dermed heller ikke involveres, vil vedkommende selv ha samtykkekompetansen.
Begrensninger knyttet til samtykkekompetanse, bruk av e-id og foreldreinvolvering reiser noen særlige utfordringer og hensyn som må vektlegges for barn og mindreårige knyttet til digitalisering av helsetjenestene.
Et illustrerende eksempel er elektroniske innsynstjenester i pasientjournaler. Ved slike tjenester er det avgjørende å sikre at løsningen ikke gir pasienter eller andre innsyn i opplysninger som de ikke har rett til å se. Tjenestene må kunne tilbys med samme begrensninger som gjelder for rett til innsyn etter pasient- og brukerrettighetsloven § 5-1. Opplysninger som er unntatt fra retten til innsyn i § 5-1 kan ikke gjøres tilgjengelig i denne tjenesten.
Risikoen er her særlig relatert til foreldre eller andre nærstående som kan få tilgang til opplysninger om barn mellom 12 og 16 som barnet, av grunner som bør respekteres, ikke ønsker å dele med for eksempel foreldre som har misbrukt eller på annen måte utøvd vold mot barnet. Det må derfor foretas en risikovurdering om elektronisk innsyn kan gjennomføres på en slik måte at pasienters rett til forsvarlig helsehjelp blir ivaretatt.
I forbindelse med etablering av Nasjonal kjernejournal er det i Prop. 89 L (2011–2012) Endringer i helseregisterloven mv. (opprettelse av nasjonal kjernejournal m.m.) presisert at barn mellom 12 og 16 år dessuten bør gis en viss grad av selvstendig innsynsrett i nasjonal kjernejournal, i tråd med reglene som gjelder for innsyn i journal, jf. pasient- og brukerrettighetsloven §§ 5-1 og 6-5. Det må vurderes nærmere ut fra barnets alder, modenhet og omstendighetene for øvrig hvorvidt barnet skal gis innsyn, samt i hva og hvordan innsynet skal gis. Dette må det være behandlingsansvarlig helsepersonell som vurderer.
Etter departementets syn innebærer dette at det må utøves særlig varsomhet ved deling av opplysninger om mindreårige pasienter, og at det må kunne tilbys særlige risikoreduserende tiltak, primært gjennom innebygde løsninger. Særlige forhold knyttet til deling av helseopplysninger om barn og unge kan vurderes regulert i forskrift etter lovforslaget § 10 andre og tredje ledd.
Personer med adressesperre
Trusselutsatte personer kan få sperret adresse i folkeregisteret, hvis politiet eller barnevernet mener det er grunnlag for slik beskyttelse, jf. folkeregisterloven § 10-4.
Tiltaket iverksettes kun ved fare for liv, helse eller frihet og bare dersom andre og mindre inngripende beskyttelsestiltak ikke anses tilstrekkelig. Det er to typer adressesperringer. Den ene er «fortrolig» adresse og innebærer at adressen ikke skal utleveres til private. Den andre er «strengt fortrolig» adresse og innebærer at opplysninger om adressen ikke skal gis ut til noen. Adressesperre innebærer at adresseoppføringen graderes i Folkeregisteret. Effekten av en adressesperre er at geolokaliserende opplysninger om trusselutsatte ikke deles. Geolokaliserende opplysninger er alle opplysninger som sier noe om hvor en trusselutsatt befinner seg eller skal befinne seg til en gitt tid. Det gjelder også opplysninger om hvilket geografisk område den trusselutsatte er hjemmehørende i. Den egentlige adressen finnes da bare i en del av folkeregisteret, som kun er tilgjengelig for Skatteetaten. Kun autoriserte personer i Skattedirektoratet vil da ha tilgang til adressen.
Personer med sperret adresse har et ekstraordinært behov for sikkerhet for at adresse, andre kontaktopplysninger og opplysninger som kan avsløre hvor vedkommende bor, ikke er tilgjengelig for uvedkommende. Dette kan være informasjon utover selve adressen som for eksempel hvilken fastlege en trusselutsatt har, hvilket helseforetak den trusselutsatte sogner til, hvilket apotek den trusselutsatte bruker og når den trusselutsatte har timeavtaler i helsetjenesten. Dette setter begrensninger for deling av journalopplysninger fra pasientjournalsystemene blant annet gjennom nasjonal digital infrastruktur.
Dersom en trusselutsatt med sperret adresse har barn med trusselutøver, og barn bor sammen med den trusselutsatte, vil barnets adresse også sperres. Kripos uttaler at det ikke er uvanlig at trusselutøver fortsatt har foreldreansvar for barn til tross for at det er truffet vedtak om sperret adresse. I slike tilfeller er det svært viktig at trusselutøver ikke får tilgang til informasjon om barns oppholdssted gjennom digitale helseplattformer. Ved en risikovurdering av om helseopplysninger om barn skal tilgjengeliggjøres på digitale delingstjenester, må det for barn som bor på sperret adresse legges til grunn at konsekvensen av et konfidensialitetsbrudd kan være tap av liv. Sannsynligheten for konfidensialitetsbrudd må således reduseres tilsvarende. Dersom det ikke er mulig å sikre at kun forelder som barnet bor sammen med får tilgang, bør det ikke være mulig å dele opplysninger om barn som bor på adressesperre i digitale tjenester.
Det er særlig behovet for sikkerhet til disse personene det må rettes ekstra oppmerksomhet mot. I den grad dette særskilte behovet for sikring ikke lar seg ivareta i de enkelte løsningene i datainfrastrukturen, må geolokaliserende opplysninger om den trusselutsatte, automatisk sperres for deling gjennom nasjonal datainfrastruktur. Denne type beslutninger forutsetter risikovurderinger. Særlige forhold knyttet til deling av helseopplysninger om trusselutsatte personer med adressesperre kan eventuelt også reguleres i forskrift etter lovforslaget § 10 andre ledd.
5.4.10 Personvernkonsekvenser
Departementets forslag vil legge til rette for at helsepersonell har enkel og sikker tilgang til relevante og nødvendige journalopplysninger når det er nødvendig for å gi pasienten helsehjelp. For departementet er det et mål at behandling av person- og helseopplysninger i en nasjonal datainfrastruktur samlet sett skal legge til rette for bedre ivaretakelse av personvernet enn dagens fragmenterte løsning. Departementet foreslår ikke endringer i reglene knyttet til hvem journalopplysninger kan bli gjort tilgjengelige for eller i hvilke situasjoner journalopplysninger kan gjøres tilgjengelig.
Ved å legge til rette for at helsepersonell kan få enklere tilgang til relevante og nødvendige journalopplysninger, vil i praksis flere, teknisk sett kunne få tilgang til journalopplysningene. Det vil kunne medføre større personvernkonsekvenser ved tekniske feil og bevisste lovbrudd, blant annet ved muligheter for økt uønsket spredning av taushetsbelagt pasientinformasjon.
Journalføring er en forutsetning for å kunne yte forsvarlig helsehjelp. Helsepersonell har plikt til å journalføre opplysningene om pasienten, jf. helsepersonelloven § 39. Forslaget innebærer ingen endringer i plikten til å nedtegne opplysninger, adgangen til å dele opplysningene eller kravene til å sikre opplysningene. Behandling av helseopplysninger i forbindelse med helsehjelp har rettslig grunnlag i personvernforordningen artikkel 6 nr. 1 bokstav d (nødvendig for å verne den registrertes vitale interesser) og bokstav e (nødvendig for å utføre en oppgave i allmennhetens interesse), og unntaket i artikkel 9 nr. 2 bokstav h (nødvendig i forbindelse med yting av helsetjenester). Det supplerende rettsgrunnlaget er journalføringsplikten i helsepersonelloven § 39 flg. og pasientjournalloven § 6 andre ledd. Behandling av helseopplysninger i forslaget om nasjonal datainfrastruktur har tilsvarende rettslig grunnlag i personvernforordningen. Den foreslåtte endringen i pasientjournalloven § 10 vil være det supplerende rettslige grunnlaget for behandlingen av opplysningene i infrastrukturen.
At en pasient oppsøker helsetjenesten for å få helsehjelp innebærer at vedkommende også må akseptere at opplysninger om ham eller henne registreres i pasientjournalen. En person som vil motta helsehjelp, kan ikke bestemme hvorvidt opplysninger som er relevante og nødvendige for helsehjelpen skal dokumenteres eller ikke. Dette betyr at kravene til samtykke til helsehjelp etter helsepersonelloven og pasient- og brukerrettighetsloven ikke er identiske med samtykkekravene i personvernforordningen artikkel 4 nr. 11.
Nasjonal datainfrastruktur skal gi bedre samhandling mellom spesialisthelsetjenesten, den kommunale helse- og omsorgstjenesten og andre helseaktører, og gi innbyggerne mulighet til å være aktive i prosesser og beslutninger om egen helse og ivareta sine personvernrettigheter. Departementet er opptatt av at tiltak som kan gi pasienten medbestemmelse og kontroll identifiseres og gjennomføres der det er mulig.
Den enkeltes rett til personvern skal ivaretas samtidig som helsepersonell har enkel og sikker adgang til relevante og nødvendige opplysninger om pasienten. Den dataansvarlige bestemmer på hvilken måte opplysningene skal gjøres tilgjengelige, jf. pasientjournalloven § 19. Av pasientjournalloven § 17 første ledd bokstav a følger at pasienten eller brukeren kan motsette seg at helseopplysninger i et behandlingsrettet helseregister gjøres tilgjengelige for helsepersonell etter § 19, jf. helsepersonelloven §§ 25 og 45 og pasient- og brukerrettighetsloven § 5-3. Departementet foreslår ingen endringer i dette regelsettet.
Det skal være enkelt å utøve sine personvernrettigheter som det å sperre journaltilgang mv. Dette skal løses med gode digitale innbyggertjenester for eksempel via helsenorge.no. Det skal legges til rette for at pasientene kan få en mest mulig helhetlig oversikt over registrerte helseopplysninger om seg selv, noe som vil gi større grad av kontroll over hvor opplysningene behandles.
Løsningene som inngår i den nasjonale digitale infrastrukturen må kunne sikre at bestemte deler eller hele journalen, enkelt og effektivt kan gjøres utilgjengelig for enkelte helsepersonell, grupper av helsepersonell, helsepersonell i virksomheten der helseopplysningene er nedtegnet i journalen eller helsepersonell utenfor den virksomheten der opplysningene er nedtegnet.
Videre er det en forutsetning at tilgang til pasientopplysninger utenfor egen virksomhet krever autentisering (e-id) som holder et høyt sikkerhetsnivå og at det legges til rette for effektivt å avdekke snoking gjennom logging og automatiserte varslinger (varslingssystem) o.l. Alle tilganger til journalopplysninger skal loggføres slik at hver virksomhet til enhver tid vet hvem som har lest i de enkelte journalopplysningene nedtegnet i forbindelse med helsehjelp ytt i deres virksomhet, se punkt 5.4.8 om informasjonssikkerhet.
Det er en forutsetning at systemene legger til rette for at helsepersonell etter ønske fra pasienten kan skjerme deler av journalen mot deling med annet helsepersonell. Dette fremkommer bl.a. av pasientjournalloven § 17. Departementet er av den oppfatning at dette er tiltak som bør utdypes og eventuelt reguleres i forskrift. Det kan også være slik at pasienter som har sperret opplysninger, ikke har forutsett alle situasjoner som vil kunne oppstå, eller at årsaken til at de i utgangspunktet ønsket sperring, ikke er der lenger. Det må derfor legges til rette for at reservasjonen kan trekkes tilbake slik at opplysningene kan gjøres tilgjengelige igjen når pasienten ønsker det.
Enhver, med enkelte unntak, har rett til informasjon og innsyn i helseopplysninger om seg selv og om hvem som har hatt tilgang til disse opplysningene, jf. pasientjournalloven § 18. Innsynsretten gjelder alle tilfeller der noen har lest, søkt eller på annen måte tilegnet seg, brukt eller besittet helseopplysninger fra behandlingsrettede helseregistre, enten dette er rettmessig eller ikke. Pasientjournalloven § 18 viser til pasient- og brukerrettighetsloven og personvernforordningen. Pasient- og brukerrettighetsloven gir grunnlag for å helt eller delvis avvise kravet om innsyn ut fra helsefaglige vurderinger. Nasjonal datainfrastruktur for digital samhandling må derfor også ivareta muligheten til å nekte innsyn i opplysninger i journalen, jf. pasient- og brukerrettighetsloven § 5-1 andre ledd. Unntaket er snevert og forutsetter at det er påtrengende nødvendig for å hindre fare for liv eller alvorlig helseskade for pasienten selv, eller at innsyn er klart utilrådelig av hensyn til personer som står vedkommende nær. Det nasjonale regelverket er i samsvar med personvernforordningen artikkel 13 og 15. Rettigheter og plikter er nærmere omtalt i kapittel 3.
Hvordan den nasjonale datainfrastrukturen vil se ut rent teknisk er avhengig av konkrete løsningsvalg og vil endres over tid. Departementet har merket seg at Datatilsynet mener forslaget åpner for lovendringer der konsekvensene for personvernet ikke er grundig og konkret vurdert. Departementet vil påpeke at ansvaret for å utføre personvernkonsekvensvurderinger (DPIA) etter personvernforordningen artikkel 35 er lagt til den eller de dataansvarlige. En DPIA skal gjennomføres før aktørene knytter seg til den nasjonale datainfrastrukturen. Vår felles helsetjeneste består av flere tusen aktører og ikt-systemer, og det vil ikke være gjennomførbart om departementet skal gjennomføre en grundig personvernkonsekvensvurdering av de konkrete tiltakene ved hver enkelt lov og forskriftsendring. Det eksisterende regelverket vil imidlertid sette krav til den nasjonale løsningen.
Departementet mener gjeldende lovkrav ivaretar avveiningen mellom pasientsikkerhet og personvern på en god måte, også ved etablering av nasjonal datainfrastruktur. Det vil imidlertid kunne være aktuelt med enkelte særskilte krav i forskrift.