3 Gjeldende rett
3.1 Pasientjournalloven
Pasientjournalloven gjelder behandling av helseopplysninger som er nødvendige for å yte, administrere eller kvalitetssikre helsehjelp til enkeltpersoner. Behandlingsrettede helseregistre (pasientjournaler mv.) skal understøtte pasientforløp i klinisk praksis og være lett å bruke og finne frem i, jf. lovens § 7. Både tekniske og organisatoriske tiltak og løsninger skal være egnet til å etterleve krav fastsatt i eller i medhold av lov.
Bestemmelsen i § 7 angir konkrete funksjonskrav til behandlingsrettede helseregistre ved å henvise til bestemte plikter og rettigheter som følger av pasientjournalloven og andre lover. Dette gjelder blant annet regler om taushetsplikt, forbud mot urettmessig tilegnelse av helseopplysninger, retten til å motsette seg behandling av helseopplysninger, retten til informasjon og innsyn, helsepersonells dokumentasjonsplikt, tilgjengeliggjøring av helseopplysninger, samt informasjonssikkerhet og internkontroll.
Behandlingsrettet helseregister er definert i pasientjournalloven § 2 bokstav d:
pasientjournal- og informasjonssystem eller annet register, fortegnelse eller lignende, der helseopplysninger er lagret systematisk, slik at opplysninger om den enkelte kan finnes igjen, og som skal gi grunnlag for helsehjelp eller administrasjon av helsehjelp til enkeltpersoner.
Nasjonal kjernejournal og reseptformidleren (e-resept) er behandlingsrettede helseregistre som inneholder helseopplysninger som er relevant for den enkeltes helsehjelp. Disse løsningene er imidlertid regulert i egne bestemmelser i pasientjournalloven og er ikke en del av pasientens ordinære journal.
3.1.1 Nasjonale e-helseløsninger
Departementet kan i forskrift bestemme at virksomheter som yter helse- og omsorgstjenester etter spesialisthelsetjenesteloven, helse- og omsorgstjenesteloven, apotekloven og tannhelsetjenesteloven, skal ta i bruk nærmere bestemte nasjonale e-helseløsninger i virksomheten, jf. pasientjournalloven § 8 andre ledd. Dette omfatter blant annet helseforetak, kommuner, apotek og bandasjister. De bestemte løsningene som forskriftshjemmelen i andre ledd omfatter er helsenettet, nasjonal kjernejournal og e-resept.
Det fremgår av bestemmelsens spesialmerknader (Prop. 3 L (2021–2022)) at å «ta i bruk» omfatter å gjøre tjenesten tilgjengelig i virksomheten. Løsningene anses gjort tilgjengelige i virksomheten når de kan tas i bruk av personell som har tjenstlige behov for, og rett til, å ta løsningene i bruk. Helsepersonellets tilgang til kjernejournal og e-resept er regulert i egne forskrifter.
Innbyggerportalen helsenorge.no er innrettet på en noe annen måte enn de øvrige ovenfor nevnte løsningene og er derfor regulert separat i § 8 tredje ledd. Departementets adgang til å gi forskrift omhandler ikke plikt til å gjøre helsenorge.no tilgjengelig i virksomheten, men å gjøre nærmere bestemte tjenester tilgjengelig på helsenorge.no. Plikten er altså knyttet til å gjøre tjenester tilgjengelig via løsningen.
Fjerde ledd innebærer at departementet kan gi forskrift om at regionale helseforetak, kommuner, apotek, bandasjister og andre virksomheter skal betale for at de nasjonale e-helseløsningene gjøres tilgjengelige for virksomheter i helse- og omsorgstjenesten eller – når det gjelder helsenorge.no – for allmennheten.
Det er presisert at når det gjelder apotek og bandasjister, kan eventuell plikt til betaling kun omfatte e-resept og helsenettet. Det er avgjørende om e-resept faktisk er gjort tilgjengelig i den enkelte virksomheten og at det faktisk er inngått avtale om tilkobling til helsenettet.
Videre følger det av fjerde ledd at departementet kan gi forskrift om betalingsplikten og løsningene, inkludert krav til løsningenes innhold, hvilke virksomheter som omfattes, betalingspliktig beløp og fra hvilket tidspunkt betalingsplikten løper, plikten til å gjøre en løsning tilgjengelig i virksomheten eller plikten til å gjøre tjenester tilgjengelig på helsenorge.no skal gjelde. Videre kan departementet gi forskrifter om statlige foretaks ansvar for å tilby løsningene og dataansvar for løsningene. Dette innebærer blant annet at Norsk helsenett SF kan pålegges plikt til å tilby løsningene.
Virksomhetenes samlede betaling skal ikke overstige kostnadene til forvaltning og drift av løsningene. Betalingens størrelse vil fastsettes på bakgrunn av forventede kostnader i det kommende budsjettåret. Kravet innebærer derfor ikke at virksomhetenes betaling for det enkelte år skal tilsvare de faktiske kostnadene i dette året, men at dette skal være tilfellet over tid. Det vil derfor ved fastsettelsen av betalingens størrelse i et bestemt år ikke bare være relevant å se hen til forventede kostnader i dette året, men også til avviket mellom den faktiske betalingen for foregående år sammenlignet med de faktiske kostnadene. Beregning av kostnadene skal baseres på en bærekraftig forvaltning og drift som tar høyde for verdibevarende oppdatering og vedlikehold av løsningene.
Forskrifter etter § 8 er fastsatt i forskrift om standarder og nasjonale e-helseløsninger. Forskriften skal bidra til at virksomheter i helse- og omsorgstjenesten som yter helsehjelp eller virksomheter som forvalter og tilgjengeliggjør helseopplysninger for helseregistre, bruker standarder, standardsystemer, godkjent programvare, kodeverk, klassifikasjons-systemer og nasjonale e-helseløsninger for å fremme sikker og effektiv samhandling og bruk av IKT. Forskriften kapittel 3 regulerer plikt til å ta i bruk helsenettet og nasjonal kjernejournal, og betaling for forvaltning og drift av disse løsningene. Norsk helsenett SF er i samme kapittel pålagt plikt til å gjøre helsenettet og nasjonal kjernejournal mv. tilgjengelige for virksomheter i helse- og omsorgstjenesten og virksomheter i statlig helseforvaltning.
3.1.2 Nasjonal kjernejournal
Nasjonal kjernejournal er et sentralt virksomhetsovergripende behandlingsrettet helseregister, jf. pasientjournalloven § 13 andre ledd. Med virksomhetsovergripende behandlingsrettet helseregister menes at registeret omfatter opplysninger fra flere virksomheter.
Nasjonal kjernejournal skal inneholde et begrenset sett relevante helseopplysninger som er nødvendig for å yte forsvarlig helsehjelp. Bestemmelsen angir ikke hva som anses som relevante opplysninger. Hvilke opplysningskategorier som registreres i kjernejournalen fremkommer av forskriften gitt i medhold av bestemmelsen. Forskriften lister opp relevante opplysningskategorier som blant annet navn, oversikt over legemidler, kritisk informasjon, kontakt med helsetjenesten og referanse til ytterligere informasjon, herunder prøvesvar og billedundersøkelser. Vaksiner er legemidler og således omfattet. Dette betyr at kjernejournalen ikke skal inneholde pasientens totale mengde journalopplysninger, og heller ikke erstatte den ordinære journalføringen. Opplysninger kan registreres i kjernejournalen uten pasientens samtykke. Den registrerte har imidlertid rett til å motsette seg at helseopplysninger behandles i registeret, jf. tredje ledd.
Hvis helsepersonell skal gis tilgang til kjernejournalen, krever dette pasientens samtykke. Det følger av fjerde ledd. Med samtykke menes her en frivillig, spesifikk, informert og utvetydig viljesytring fra pasienten der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til at det gis slik tilgang, jf. personvernforordningen artikkel 4 nr. 11. Adgangen til å gi tilgang for helsepersonell er dermed snevrere enn det som følger av den generelle regelen i § 19.
Det er gjort unntak fra samtykkekravet i forskrift om nasjonal kjernejournal, for tilfeller der det er nødvendig for å yte forsvarlig helsehjelp. Unntakene følger av kjernejournalforskriften § 7.
Fordi pasienten har en rett til å motsette seg registrering av helseopplysninger i registeret, er reservasjonsretten videre for nasjonal kjernejournal enn for andre behandlingsrettede helseregistre. Retten til å motsette seg behandling er av informasjonshensyn tatt inn i pasientjournalloven både i § 13 og i § 17.
Av pasientjournalloven § 14 følger at virksomheter og helsepersonell som tilbyr eller yter tjenester som omfattes av apotekloven, folkehelseloven, helse- og omsorgstjenesteloven, legemiddelloven, smittevernloven, spesialisthelsetjenesteloven eller tannhelsetjenesteloven, plikter uten hinder av taushetsplikt å registrere eller melde opplysninger som bestemt i forskrifter etter §§ 11 til 13. Meldeplikten etter § 14 gjelder blant annet for opplysninger som skal registreres i nasjonal kjernejournal. I andre ledd er Kongen gitt myndighet til i forskrift å gi nærmere bestemmelser om innhenting av helseopplysninger til registre som omfattes av §§ 11 til 13, blant annet om frister, formkrav, bruk av meldingsskjemaer og standarder. Mottaker av opplysningene skal varsle den som har registrert eller meldt opplysningene dersom opplysningene er mangelfulle.
3.1.3 Rett til informasjon og innsyn
Pasientene har rett til informasjon og innsyn i egne helseopplysninger og om hvem som har hatt tilgang til opplysningene, jf. pasientjournalloven § 18 og kjernejournalforskriften § 6. Pasientjournalloven viser til pasient- og brukerrettighetsloven og personvernforordningen. Dette gjelder også for nasjonal kjernejournal.
De registrerte har også rett til informasjon og innsyn i hvem som har hatt tilgang til eller fått utlevert helseopplysninger om vedkommende. Innsynsretten gjelder alle tilfeller der noen har lest, søkt eller på annen måte tilegnet seg, brukt eller besittet helseopplysninger fra behandlingsrettede helseregistre, enten dette er rettmessig eller ikke.
Den registrerte har også rett på generell informasjon om hvem som behandler helseopplysninger, hvilke opplysninger det gjelder og hvordan de behandles, jf. personvernforordningen artikkel 13.
Etter pasient- og brukerrettighetsloven § 5-1, kan pasient og bruker likevel nektes innsyn i opplysninger i journalen dersom dette er påtrengende nødvendig for å hindre fare for liv eller alvorlig helseskade for pasienten eller brukeren selv, eller innsyn er klart utilrådelig av hensyn til personer som står vedkommende nær.
3.1.4 Autorisasjon og autentisering
All pasientbehandling forutsetter behandling av helseopplysninger om pasienten. God pasientsikkerhet krever at opplysninger deles mellom helsepersonell. Helsepersonellets informasjonstilgang skal imidlertid begrenses til personellets tjenstlige behov og kun til de opplysningene som er relevant og nødvendig for pasientbehandlingen. For å ivareta dette kravet er det nødvendig med gode rutiner for autorisasjon, autentisering og tilgangsstyring.
For å få tilgang til nasjonale e-helseløsninger som kjernejournal er det stilt krav om autentisering (e-id) av personell på et høyt sikkerhetsnivå, jf. kjernejournalforskriften § 9 andre ledd.
Når taushetsbelagte opplysninger skal deles med andre, og især mellom virksomheter, blir et viktig spørsmål hvilken virksomhet som skal avgjøre hvorvidt vilkårene er oppfylt. I kjernejournalforskriften § 9 om tilgangsstyring er det blant annet bestemt at tilgang til den nasjonale kjernejournalen skal skje gjennom autorisasjons- og autentiseringsløsningen i egen virksomhet, jf. første ledd. Det følger videre at hver virksomhet skal etablere nødvendige organisatoriske og tekniske tiltak for tildeling, administrasjon og kontroll av autorisasjoner for tilgang til helseopplysninger i nasjonal kjernejournal. Tilgangsstyringen i «egen virksomhet» skal være i samsvar med pasientjournalforskriften § 13. En autorisasjon skal knyttes til en entydig identifisert person i en bestemt rolle og være tidsbegrenset. Den dataansvarlige for den nasjonale kjernejournalen kan sette vilkår for tilgang, oppbevare oversikt over utstedte autorisasjoner og føre kontroll med at tilgang skjer i samsvar med reglene for tilgangsstyring, jf. § 9 tredje ledd.
Det følger av pasientjournalloven § 22 om informasjonssikkerhet at den dataansvarlige og databehandleren blant annet skal sørge for tilgangsstyring, logging og etterfølgende kontroll. Se også personvernforordningen artikkel 32.
3.2 Spesialisthelsetjenesteloven og helse- og omsorgstjenesteloven
Helseinstitusjoner som omfattes av spesialisthelsetjenesteloven skal sørge for at journal- og informasjonssystemene ved institusjonen er forsvarlige, jf. § 3-2. Virksomhetene skal ta hensyn til behovet for effektiv elektronisk samhandling ved anskaffelse og videreutvikling av sine journal- og informasjonssystemer. Tilsvarende krav stilles til kommuner og virksomheter som har avtale med kommuner om å yte helse- og omsorgstjenester. Dette følger av helse- og omsorgstjenesteloven § 5-10.
3.3 FN-konvensjonen om økonomiske, sosiale og kulturelle rettigheter (ØSK)
Etter FN-konvensjonen om økonomiske, sosiale og kulturelle rettigheter (ØSK) artikkel 12 har enhver rett til den høyest oppnåelige helsestandard både fysisk og psykisk. Retten til helsetjenester fremgår også av FN-konvensjonen om avskaffelse av alle former for diskriminering mot kvinner artikkel 12. Bestemmelsene gjelder som norsk lov og har forrang i tilfelle konflikt med annen lovgivning, jf. menneskerettsloven. Bestemmelsene har ikke forrang til Grunnloven.
ØSK artikkel 12 nr. 1 angir statens generelle forpliktelser, mens artikkel 12 nr. 2 spesifiserer utvalgte ansvarsområder. Det følger av artikkelen at det er et statlig ansvar, som omfatter alle (enhver) innenfor statens jurisdiksjon.
Retten til helse etter ØSK artikkel 12 innebærer en rett til tilstrekkelig tilbud av helsetjenester. Tilbudet skal være tilgjengelig for alle uten diskriminering, være av god kvalitet, basert på vitenskapelige og medisinske krav, respektere medisinsk etikk og være tilpasset kultur, bakgrunn, kjønn og livssyklus. Staten skal treffe tiltak for å oppnå full virkeliggjørelse av retten til helse, blant annet treffe tiltak for å forebygge og behandle sykdommer og skape vilkår som sikrer alle legebehandling og pleie under sykdom.
3.4 Personopplysningsloven og personvernforordningen
EUs personvernforordning er gjennomført i norsk rett ved lov 15. juni 2018 nr. 38 om behandling av personopplysninger § 1.
Personvernforordningen fastsetter regler om vern av fysiske personer i forbindelse med behandling av personopplysninger, samt regler om fri utveksling av personopplysninger. Det er presisert i artikkel 1 at forordningen sikrer vern av fysiske personers grunnleggende rettigheter og friheter, særlig deres rett til vern av personopplysninger. Personvernforordningen skal leses i lys av andre menneskerettigheter.
Personvernforordningen bygger på noen grunnleggende prinsipper som må ivaretas ved behandling av person- og helseopplysninger. Personvernprinsippene følger av artikkel 5 og består av:
Prinsippene om lovlighet, rettferdighet og åpenhet
Prinsippet om formålsbegrensning
Prinsippet om dataminimering
Prinsippet om riktighet
Prinsippet om lagringsbegrensninger
Prinsippet om integritet og konfidensialitet
Prinsippet om ansvar
Prinsippene gir uttrykk for både grunnleggende hensyn som personvernforordningen skal ivareta, og konkrete krav til hvordan personopplysninger skal behandles. Prinsippene er selvstendige regler som stiller krav til all behandling av personopplysninger. I tillegg skal de brukes i tolkningen av andre bestemmelser i forordningen og personvernbestemmelser i andre lover, herunder lover som regulerer behandling av personopplysninger i helse- og omsorgssektoren.
Enhver behandling av person- og helseopplysninger i helse- og omsorgstjenesten krever en eller flere dataansvarlige. Dataansvaret for helse- og personopplysninger påhviler i utgangspunktet den virksomheten «som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes». Dette følger av personvernforordningen artikkel 4 nr. 7. Se også pasientjournalloven, som fastsetter at begrepet dataansvarlig skal forstås synonymt med begrepet behandlingsansvarlig i den norske oversettelsen av personvernforordningen.
Videre krever behandling av helseopplysninger og andre personopplysninger et behandlingsgrunnlag etter personvernforordningen artikkel 6 nr. 1. Behandlingen må også oppfylle vilkårene i et av unntakene fra forbudet mot behandling av helseopplysninger i artikkel 9. De aktuelle grunnlagene for behandlingsrettede helseregistre er artikkel 6 nr. 1 bokstav e (nødvendig for å utføre en oppgave i allmennhetens interesse), eventuelt bokstav d (nødvendig for å verne den registrertes vitale interesser), og unntaket i artikkel 9 nr. 2 bokstav h (nødvendig i forbindelse med yting av helsetjenester).
Det er et vilkår i artikkel 6 nr. 3 og artikkel 9 nr. 2 bokstav h at behandlingen også skal fastsettes i nasjonal rett eller unionsretten. Dette kalles et supplerende rettslig grunnlag. Helsepersonell har plikt til å journalføre opplysningene om pasienten, jf. helsepersonelloven § 39. Journalføringsplikten er dermed et supplerende rettslig grunnlag. Rett til å behandle helseopplysningene i den ordinære pasientjournalen og i kjernejournalen følger også av pasientjournalloven § 6 andre ledd og § 13 med forskrifter.
Det at pasienten oppsøker helsehjelp, innebærer forutsetningsvis at pasienten også aksepterer at opplysninger om ham eller henne registreres i journalen. Kravene til samtykke til helsehjelp etter pasient- og brukerrettighetsloven er imidlertid ikke i samsvar med samtykkekravene i forordningen artikkel 4 nr. 11. Samtykke til helsehjelp er derfor ikke behandlingsgrunnlag etter personvernforordningen.