§ 5-1.Tilgjengeliggjøring av statistikk fra Reseptregisteret

Departementet bestemmer hvilke faste, offentlige statistikker som den dataansvarlige skal utarbeide. Statistikkene kan baseres på opplysninger hentet fra Reseptregisteret eller opplysninger som er fremkommet ved sammenstilling med andre registre mv., jf. § 5-3.

Den dataansvarlige kan på forespørsel tilgjengeliggjøre andre statistiske opplysninger fra Reseptregisteret.

Statistiske opplysninger som offentliggjøres eller tilgjengeliggjøres etter denne bestemmelsen, må ikke ha en slik form at enkeltpersoner eller apotek kan gjenkjennes. Dette er ikke til hinder for at den enkelte lege kan hente ut statistiske opplysninger som gjelder egen virksomhet. 

§ 5-2 skal lyde:

§ 5-2.Tilgjengeliggjøring av opplysninger fra Reseptregisteret

Den dataansvarlige skal etter begrunnet søknad utlevere eller på annen måte tilgjengeliggjøre opplysninger fra Reseptregisteret til de formål som er angitt i § 1-3. Den dataansvarlige kan sette vilkår for slik tilgjengeliggjøring.

Opplysningene kan hentes fra Reseptregisteret eller fra sammenstilling med andre registre mv., jf. § 5-3.

Opplysningene skal ikke gjøres tilgjengelige dersom det er en begrunnet risiko for at opplysningene vil benyttes på en etisk uforsvarlig måte.

Den dataansvarlige skal svare på forespørsler om tilgjengeliggjøring av opplysninger for bruk i uttrykkelig angitte forskningsprosjekter innen 30 dager fra den dagen forespørselen kom inn. Dersom særlige forhold gjør det umulig å svare på forespørselen innen den angitte fristen, kan svaret utsettes inntil det er mulig å gi svar. Den dataansvarlige skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis.

Det skal ikke tilgjengeliggjøres flere opplysninger enn nødvendig for å ivareta søkerens berettigede formål med behandlingen av opplysningene.

Alle opplysninger som tilgjengeliggjøres etter søknad som nevnt i første ledd, skal slettes straks prosjektet er avsluttet.

Mottakeren må ikke offentliggjøre resultatet av behandlingen av opplysningene i slik form at enkeltpersoner eller apotek kan gjenkjennes. Dette er ikke til hinder for at legemiddelrekvirenter kan gjøre opplysninger som ikke er taushetsbelagte og som gjelder egen virksomhet tilgjengelig for andre. 

§ 5-3 første ledd annet punktum skal lyde:

Koblingen må gjøres av den dataansvarlige for ett av registrene eller en virksomhet departementet bestemmer. 

§ 5-3 annet ledd skal lyde:

Opplysninger i Reseptregisteret kan ellers bare sammenstilles med andre opplysninger dersom sammenstillingen er i samsvar med de alminnelige reglene om taushetsplikt og det er adgang til sammenstilling etter personvernforordningen artikkel 6 og 9. 

§ 5-6 skal lyde:

§ 5-6.

Oversikt over tilgjengeliggjøring

Den dataansvarlige skal føre oversikt over hvem som har fått opplysninger fra Reseptregisteret og grunnlaget for tilgjengeliggjøringen. Oversikten skal oppbevares i minst fem år etter at opplysningene er gjort tilgjengelige. 

§ 6-1 skal lyde:

§ 6-1.Bevaring av opplysningene

Opplysninger i Reseptregisteret skal bevares i ubegrenset tid, med mindre annet følger av denne forskriften, personvernforordningen eller lov. Tildelt pseudonym kan endres, dersom det av sikkerhetsmessige grunner er hensiktsmessig. 

§ 6-2 oppheves. 

10. I forskrift 14. november 2003 nr. 1353 om innsamling og behandling av helseopplysninger i Norsk overvåkningssystem for resistens hos bakterier, sopp og virus (Resistensregisterforskriften) gjøres følgende endringer: 

Ny § 1-2a skal lyde:

§ 1-2a.(Avidentifiserte opplysninger)

Med avidentifiserte opplysninger forstås i denne forskriften helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysninger som tidligere ble fjernet. 

§ 1-5 skal lyde:

§ 1-5.(Dataansvarlig)

Folkehelseinstituttet er dataansvarlig for NORM og RAVN. 

§ 1-6 annet ledd skal lyde:

Folkehelseinstituttet skal inngå skriftlig avtale med databehandler om innsamling og behandling av opplysninger i NORM og RAVN, herunder om overvåking og forskning, jf. forskriften § 1-3, drift og kvalitetssikring av registeret, samt tilgjengeliggjøring av data til brukere. 

§ 1-8 annet ledd skal lyde:

Dersom meldingsskjema er mangelfullt utfylt, skal avsenderen av opplysningene varsles, jf. helseregisterloven § 13 andre ledd andre punktum. 

Overskriften til kapittel 3 skal lyde:

§ 3-1.(Plikt til å tilgjengeliggjøre data fra NORM og RAVN)

Folkehelseinstituttet skal etter forespørsel fra forvaltningen og forskere utlevere eller på andre måter tilgjengeliggjøre statistikk fra NORM og RAVN, innen 30 dager fra den dagen forespørselen kom inn.

Folkehelseinstituttet skal etter søknad gjøre avidentifiserte opplysninger fra NORM og RAVN tilgjengelige, dersom

Folkehelseinstituttet skal gjøre nødvendige og relevante data tilgjengelige for den ansvarlige for det angitte prosjektet innen 30 dager fra den dagen søknaden kom inn.

Dersom særlige forhold gjør det umulig å effektuere forespørselen innen fristen i første og tredje ledd, kan effektueringen utsettes inntil det er mulig å oppfylle den. Den dataansvarlige skal i så fall gi et foreløpig svar med opplysninger om forespørselen kan effektueres, om grunnen til en eventuell forsinkelse og sannsynlig tidspunkt for når bestillingen kan effektueres. 

§ 3-2 skal lyde:

§ 3-2.(Annen behandling av data fra NORM og RAVN)

Opplysninger som nevnt i § 1-7 kan bare behandles dersom det er adgang til å behandle opplysningene etter denne forskriften, eller på andre grunnlag i samsvar med reglene om taushetsplikt og personvernforordningen artikkel 6 og 9. 

§ 3-4 første punktum skal lyde:

Folkehelseinstituttet kan kreve betaling for tilgjengeliggjøring av data etter forskriften § 3-1, og eventuelt etter § 3-2. 

§ 3-5 skal lyde:

§ 3-5.(Oversikt over tilgjengeliggjøring)

Folkehelseinstituttet skal føre oversikt over hvem som får gjort opplysninger tilgjengelig fra NORM og RAVN og hjemmelsgrunnlaget for tilgjengeliggjøringen. Oversikten skal oppbevares i minst fem år etter at opplysningene er gjort tilgjengelige. 

§ 4-1 første ledd skal lyde:

Folkehelseinstituttet og databehandleren skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32 og helseregisterloven § 21. 

§ 4-1 annet ledd oppheves. 

§ 4-2 første ledd skal lyde:

Folkehelseinstituttet skal gjennomføre tekniske og organisatoriske tiltak for å sikre og påvise at behandling av opplysninger utføres i samsvar med personvernforordningen, personopplysningsloven og helseregisterloven, jf. helseregisteloven § 22. Tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang det er nødvendig for å etterleve reglene om behandling av helseopplysninger, med særlig vekt på bestemmelser gitt i medhold av helseregisterloven § 21. 

§ 4-3 annet ledd nr. 3 skal lyde:

§ 4-3 annet ledd nr. 4.3. oppheves. 

§ 4-3 annet ledd nr. 7 skal lyde:

§ 5-1 skal lyde:

§ 5-1.(Bevaring av helseopplysninger)

Opplysningene i NORM og RAVN kan i den utstrekning det er nødvendig for å nå formålet med registrene, bevares i ubegrenset tid, med mindre annet følger av helseregisterloven § 25. 

Kapittel 6 oppheves. 

11. I forskrift 17. desember 2004 nr. 1661 om ordning med lokaler for injeksjon av narkotika (sprøyteromsforskriften) gjøres følgende endringer: 

§ 10 skal lyde:

§ 10.Sletting av helseopplysninger

Kommunen kan ikke lagre helseopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen av helseopplysningene. 

§ 11 skal lyde:

§ 11.Tilsyn med helseregisteret

Datatilsynet fører tilsyn med helseregistre som føres i sprøyteromsordningen. 

12. I forskrift 4. februar 2005 nr. 80 om tapping, testing, prosessering, oppbevaring, distribusjon og utlevering av humant blod og blodkomponenter og behandling av helseopplysninger i blodgiverregistre (blodforskriften) gjøres følgende endringer: 

§ 2-4 tredje ledd nr. 4.4 skal lyde:

§ 2-4 tredje ledd nr. 5 skal lyde:

§ 3-3 tredje ledd skal lyde:

Helsedirektoratet er dataansvarlig for hemovigilanssystemet. 

§ 4-3 skal lyde:

§ 4-3.Dataansvarlig og databehandler

Helseforetaket er dataansvarlig for de enkelte blodgiverregistre som er tilknyttet et helseforetak.

I blodbanker som ikke er tilknyttet et helseforetak, er virksomheten dataansvarlig, jf. § 2-1.

Dataansvarlig kan inngå skriftlig avtale med en databehandler om behandling av helseopplysninger i registeret. 

§ 4-6 tredje ledd skal lyde:

Opplysninger som nevnt i § 4-5 kan bare behandles dersom det er adgang til å behandle opplysningene etter denne forskriften, etter den registrertes samtykke, etter vedtak om dispensasjon fra taushetsplikten, eller på andre grunnlag i samsvar med reglene om taushetsplikt og personvernforordningen artikkel 6 og 9. 

§ 4-7 skal lyde:

§ 4-7.Informasjonssikkerhet

Dataansvarlig og databehandler skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32. 

§ 5-5 skal lyde:

§ 5-5.Straff

Overtredelse av denne forskrift eller vedtak truffet med hjemmel i forskriften straffes etter bestemmelsene i lov 4. desember 1992 nr. 132 om legemidler § 31, lov 5. august 1994 nr. 55 om vern mot smittsomme sykdommer § 8-1, lov 2. juli 1999 nr. 64 om helsepersonell m.v. § 67 og lov 21. februar 2003 nr. 12 om biobanker § 18 annet ledd. 

13. I forskrift 17. juni 2005 nr. 611 om Norsk overvåkingssystem for antibiotikabruk og helsetjenesteassosierte infeksjoner (NOIS-registerforskriften) gjøres følgende endringer: 

Ny § 1-3a skal lyde:

§ 1-3a.Avidentifiserte opplysninger

Med avidentifiserte opplysninger i denne forskriften forstås helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysninger som tidligere ble fjernet. 

§ 1-5 skal lyde:

§ 1-5.Dataansvarlig

Folkehelseinstituttet er dataansvarlig for registeret. 

§ 1-6 skal lyde:

§ 1-6.Databehandler

Folkehelseinstituttet kan inngå skriftlig avtale med en databehandler om innsamling og behandling av helseopplysninger i registeret, herunder om overvåking og forskning, jf. § 1-2, drift og kvalitetssikring av registeret, samt tilgjengeliggjøring av data. 

§ 1-8 tredje ledd skal lyde:

Dersom meldingsskjema er mangelfullt utfylt, skal avsenderen av opplysningene varsles, jf. helseregisterloven § 13 andre ledd andre punktum. 

§ 2-1 skal lyde:

§ 2-1.Virksomhetenes deltaking i overvåkingssystemet

Virksomheter som behandler pasienter i pasientgrupper, jf. forskriften § 1-3 annet ledd, skal delta i overvåkingssystemet for antibiotikabruk og helsetjenesteassosierte infeksjoner i sykehjem og spesialisthelsetjenesten dersom ikke dataansvarlig har fritatt dem for deltakelse. 

§ 3-1 skal lyde:

§ 3-1.Plikt til å tilgjengeliggjøre ikke koblede data til forskning mv.

Folkehelseinstituttet skal etter forespørsel fra sykehus, øvrig forvaltning og forskere tilgjengeliggjøre statistiske opplysninger fra registeret innen 30 dager fra den dagen forespørselen kom inn.

Folkehelseinstituttet skal etter søknad gjøre avidentifiserte opplysninger fra registeret tilgjengelige, dersom

Folkehelseinstituttet skal tilgjengeliggjøre nødvendige og relevante data til den ansvarlige for det angitte prosjektet innen 30 dager fra den dagen søknaden kom inn.

Dersom særlige forhold gjør det umulig å effektuere forespørselen innen fristen i første og annet ledd, kan effektueringen utsettes inntil det er mulig å oppfylle den. Folkehelseinstituttet skal i så fall gi et foreløpig svar med opplysninger om forespørselen kan effektueres, om grunnen til en eventuell forsinkelse og sannsynlig tidspunkt for når bestillingen kan effektueres. 

§ 3-2 skal lyde:

§ 3-2.Annen behandling av data fra registeret

Opplysninger som nevnt i § 1-7 kan bare behandles dersom det er adgang til å behandle opplysningene etter denne forskriften, eller på andre grunnlag i samsvar med reglene om taushetsplikt og personvernforordningen artikkel 6 og 9. 

§ 3-5 skal lyde:

§ 3-5.Oversikt over tilgjengeliggjøring

Folkehelseinstituttet skal føre oversikt over hvem som får gjort opplysninger tilgjengelig fra registeret og hjemmelsgrunnlaget for tilgjengeliggjøringen. Oversikten skal oppbevares i minst fem år etter at opplysningene er gjort tilgjengelige. 

§ 4-1 første ledd skal lyde:

Folkehelseinstituttet og databehandleren skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32 og helseregisterloven § 21. 

§ 4-1 annet ledd oppheves. 

§ 4-2 første ledd skal lyde:

Folkehelseinstituttet skal gjennomføre tekniske og organisatoriske tiltak for å sikre og påvise at behandling av opplysninger utføres i samsvar med personvernforordningen, personopplysingsloven og helseregisterloven, jf. helseregisterloven § 22. Tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang det er nødvendig for å etterleve reglene om behandling av helseopplysninger, med særlig vekt på bestemmelser gitt i medhold av helseregisterloven § 21. 

§ 4-3 annet ledd nr. 3 skal lyde:

§ 4-3 annet ledd nr. 4.4 oppheves. 

§ 4-3 annet ledd nr. 7 skal lyde:

§ 5-1 skal lyde:

§ 5-1.Bevaring av helseopplysninger

Opplysninger i registeret kan i den utstrekning det er nødvendig for å nå formålet med registeret, bevares i ubegrenset tid, med mindre annet følger av denne forskriften eller helseregisterloven § 25. 

§ 6-1 oppheves. 

14. I forskrift 17. februar 2006 nr. 204 om pseudonymt register for individbasert helse- og omsorgsstatistikk gjøres følgende endringer: 

§ 1-1 annet punktum skal lyde:

Forskriften gir bestemmelser for innsamling tilgjengeliggjøring, lagring og annen behandling av opplysninger i registeret. 

§ 1-2 nr. 1 skal lyde:

§ 1-2 nr. 5 skal lyde:

§ 1-5 skal lyde:

§ 1-5.Dataansvarlig

Helsedirektoratet er dataansvarlig for IPLOS-registeret. 

§ 1-6 første ledd skal lyde:

Den dataansvarlige kan inngå skriftlig avtale med en databehandler om behandling av opplysningene på vegne av den dataansvarlige. 

§ 1-7 første punktum skal lyde:

Den dataansvarlige skal inngå skriftlig avtale med en tiltrodd pseudonymforvalter (TPF) om tildeling og forvaltning av pseudonymer. 

§ 1-8 annet ledd skal lyde:

Opplysningene skal gis i henhold til den klassifikasjon den dataansvarlige bestemmer. 

§ 1-9 skal lyde:

§ 1-9.Koding og klassifisering av opplysningene i IPLOS-registeret

Den dataansvarlige skal kunne dokumentere hvilke kodeverk og klassifikasjoner som er benyttet i IPLOS-registeret. 

§ 2-2 skal lyde:

§ 2-2.Tidspunkt for innsending

Innsending og revisjon av innsendte opplysninger skal følge de tidsfrister og rutiner som til enhver tid gjelder for KOSTRA, jf. forskrift 15. desember 2000 nr. 1425 § 9, med mindre den dataansvarlige beslutter noe annet. 

§ 2-3 første ledd skal lyde:

Overføring av opplysninger til IPLOS-registeret skal skje i et format som bestemmes av den dataansvarlige. 

§ 2-3 tredje ledd tredje punktum skal lyde:

Den dataansvarlige gir nærmere bestemmelser om overføringen av data. 

§ 2-4 første ledd skal lyde:

Den dataansvarlige skal sikre at opplysningene som blir samlet inn og behandlet i IPLOS-registeret er relevante og nødvendige for bruk til formål som nevnt i § 1-3. 

§ 2-4 annet ledd annet punktum skal lyde:

Som ledd i kvalitetskontrollen kan det gjøres rutinemessige samkjøringer mot tilsvarende opplysninger fra Folkeregisteret og Bedrifts- og foretaksregisteret. 

§ 2-4 tredje ledd annet punktum skal lyde:

Dersom de innsendte opplysningene fortsatt er mangelfulle ved revisjonens avslutning, skal den dataansvarlige varsles. 

§ 4-1 skal lyde:

§ 4-1.Forbud mot samtidig tilgang

Ingen, verken TPF, databehandler eller dataansvarlig, skal kunne få samtidig tilgang til pseudonym, andre opplysninger i IPLOS-registeret, jf. § 1-8 nr. 2 til 4, og fødselsnummer. 

§ 4-2 skal lyde:

§ 4-2.Taushetsplikt

Enhver som behandler opplysninger etter denne forskriften har taushetsplikt etter helseregisterloven § 17. 

§ 4-3 første punktum skal lyde:

Bare den dataansvarlige, databehandler og den som arbeider under den dataansvarliges eller databehandlers instruksjonsmyndighet, kan gis tilgang til IPLOS-registeret. 

§ 4-4 skal lyde:

§ 4-4.Plikt til å sørge for informasjonssikkerhet og internkontroll

Den dataansvarlige og databehandler skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32 og helseregisterloven § 21.

Den dataansvarlige skal gjennomføre tekniske og organisatoriske tiltak for å sikre og påvise at behandling av opplysninger utføres i samsvar med personvernforordningen, personopplysingsloven og helseregisterloven, jf. helseregisterloven § 22. Tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang det er nødvendig for å etterleve reglene om behandling av helseopplysninger, med særlig vekt på bestemmelser gitt i medhold av helseregisterloven § 21. 

§ 4-5 første ledd første punktum skal lyde:

Internkontrollen innebærer at den dataansvarlige skal ha kunnskap om gjeldende regler om behandling av helseopplysninger, og tilstrekkelig og oppdatert dokumentasjon for gjennomføring av rutiner. 

§ 4-5 annet ledd nr. 3 skal lyde:

§ 4-5 annet ledd nr. 7 skal lyde:

Overskriften til kapittel 5 skal lyde:

§ 5-1.Tilgjengeliggjøring av statistikk fra IPLOS-registeret

Den dataansvarlige skal utarbeide faste, offentlige statistikker basert på opplysninger fra IPLOS-registeret.

Den dataansvarlige skal på forespørsel tilgjengeliggjøre andre statistiske opplysninger fra IPLOS-registeret innen 30 dager fra den dagen forespørselen kom inn, dersom det ikke strider mot registerets formål, jf. § 1-3 første ledd og § 1-4. Dersom særlige forhold gjør det umulig å tilgjengeliggjøre statistikken innen den angitte fristen, kan svaret utsettes inntil det er mulig å gi svar. Den dataansvarlige skal i så fall gi et foreløpig svar med opplysninger om utlevering kan effektueres, grunnen til forsinkelsen og sannsynlig tidspunkt for når utlevering kan effektueres.

Statistiske opplysninger som offentliggjøres eller tilgjengeliggjøres etter denne bestemmelsen skal ikke ha en slik form at enkeltpersoner kan gjenkjennes. 

§ 5-2 skal lyde:

§ 5-2.Tilgjengeliggjøring av opplysninger fra IPLOS-registeret

Den dataansvarlige skal etter begrunnet søknad utlevere eller på annen måte tilgjengeliggjøre opplysninger fra IPLOS-registeret som er nødvendig til bruk for uttrykkelig angitte formål, dersom det ikke strider mot IPLOS-registerets formål, jf. § 1-3 første ledd og § 1-4. Den dataansvarlige kan sette vilkår for tilgjengeliggjøringen. Tilgjengeliggjøringen skal ikke omfatte pseudonymer i IPLOS-registeret. Tilgjengeliggjøring av opplysninger kan bare finne sted dersom det ikke strider mot IPLOS-registerets formål og mottakeren kan godtgjøre at behandlingen oppfyller vilkårene i personvernforordningen artikkel 6 og 9.

Opplysningene kan hentes fra IPLOS-registeret eller fra sammenstilling med andre registre mv., jf. § 5-3.

Opplysningene skal ikke gjøres tilgjengelige dersom det er begrunnet risiko for at opplysningene vil benyttes på en etisk uforsvarlig måte.

Den dataansvarlige skal svare på forespørsler om tilgjengeliggjøring innen 30 dager fra den dagen forespørselen kom inn. Dersom særlige forhold gjør det umulig å svare på forespørselen innen den angitte fristen, kan svaret utsettes inntil det er mulig å gi svar. Den dataansvarlige skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis.

Det skal ikke tilgjengeliggjøres flere opplysninger enn nødvendig for å ivareta søkerens berettigede formål med behandlingen av opplysningene.

Alle opplysninger som tilgjengeliggjøres etter søknad som nevnt i første ledd, skal slettes straks prosjektet er avsluttet.

Mottakeren må ikke benytte registeropplysningene med det formål å knytte disse til enkeltpersoner, eller offentliggjøre resultatet av behandlingen av opplysningene i en slik form at enkeltpersoner kan gjenkjennes. 

§ 5-3 første ledd skal lyde:

Den dataansvarlige skal etter søknad tillate at opplysninger i IPLOS-registeret sammenstilles (kobles) med opplysninger i andre registre til uttrykkelig angitte formål, dersom det ikke strider mot IPLOS-registerets formål, jf. § 1-3 første ledd og § 1-4, det er ubetenkelig ut fra etiske hensyn, og mottakeren kan godtgjøre at behandlingen oppfyller vilkårene i personvernforordningen artikkel 6 og 9. Sammenstillingen må gjøres av den dataansvarlige for ett av registrene eller en virksomhet departementet bestemmer. 

§ 5-5 første punktum skal lyde:

Den dataansvarlige kan kreve betaling for behandling og tilrettelegging av opplysninger etter denne forskriften. 

§ 5-6 skal lyde:

§ 5-6.Oversikt over tilgjengeliggjøring

Den dataansvarlige skal føre oversikt over hvem som har fått opplysninger fra IPLOS-registeret og grunnlaget for tilgjengeliggjøringen. Oversikten skal oppbevares i minst tre år etter at opplysningene er gjort tilgjengelige. 

§ 6-1 første punktum skal lyde:

Den registrerte har rett til informasjon om IPLOS-registeret i samsvar med helseregisterloven § 23 og § 24. 

§ 6-2 første ledd skal lyde:

Den registrerte har i medhold av helseregisterloven § 24 på forespørsel rett til å få opplyst:

§ 6-2 tredje ledd oppheves. 

§ 7-1 skal lyde:

§ 7-1.Bevaring av opplysningene

Opplysninger i IPLOS-registeret skal bevares i ubegrenset tid, med mindre annet følger av denne forskriften, personvernforordningen eller lov. 

§ 7-2 oppheves. 

15. I forskrift 29. juni 2007 nr. 742 om genetisk masseundersøkelse av nyfødte gjøres følgende endring: 

§ 5 skal lyde:

§ 5.Dataansvarlig

Oslo universitetssykehus HF er dataansvarlig for behandling av helseopplysninger etter denne forskriften. 

16. I forskrift 7. desember 2007 nr. 1389 om innsamling og behandling av helseopplysninger i Norsk pasientregister (Norsk pasientregisterforskriften) gjøres følgende endringer: 

§ 1-4 skal lyde:

§ 1-4.Dataansvarlig og databehandler

Helsedirektoratet er dataansvarlig for innsamling og behandling av helseopplysninger i Norsk pasientregister.

En avgrenset organisatorisk enhet innenfor Helsedirektoratet, her kalt Norsk pasientregister, er databehandler for registeret. Denne enheten skal blant annet sørge for drift og kvalitetssikring av registeret, tilrettelegging og tilgjengeliggjøring av data og statistikk. 

Ny § 1-5a skal lyde:

§ 1-5a.(Avidentifiserte opplysninger)

Med avidentifiserte opplysninger forstås i denne forskriften helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysninger som tidligere ble fjernet. 

§ 2-4 første ledd annet punktum skal lyde:

Som ledd i kvalitetskontrollen kan det gjennomføres rutinemessige samkjøringer mot Folkeregisteret, Medisinsk fødselsregister, Kreftregisteret, Meldingssystem for smittsomme sykdommer, System for vaksinasjonskontroll, Hjerte og karregisteret, Dødsårsaksregisteret og Helsearkivregisteret. 

§ 2-4 annet ledd tredje punktum oppheves. 

§ 2-4 tredje ledd første punktum skal lyde:

Dersom innsendingen er mangelfull, skal avsenderen av opplysningene varsles, jf. helseregisterloven § 13 andre ledd andre punktum. 

§ 3-1 annet ledd skal lyde:

Opplysninger i Norsk pasientregister kan videre sammenstilles (kobles) med opplysninger i Folkeregisteret, sosioøkonomiske opplysninger fra registre i Statistisk sentralbyrå, Kreftregisteret, Medisinsk fødselsregister, Dødsårsaksregisteret, Meldingssystem for smittsomme sykdommer, System for vaksinasjonskontroll, Reseptregisteret og Hjerte- og karregisteret for utarbeidelse av statistikk. Sammenstillingen skal gjøres av den dataansvarlige for ett av de nevnte registrene eller en virksomhet departementet bestemmer. Resultatet av sammenstillingen skal fremkomme i anonymisert form. 

§ 3-2 annet ledd annet punktum skal lyde:

Sammenstillingen skal gjøres av den dataansvarlige for ett av de nevnte registrene eller en virksomhet departementet bestemmer. 

§ 3-2 tredje ledd skal lyde:

Utlevering, eller på annen måte tilgjengeliggjøring, av opplysninger som er bearbeidet og tilrettelagt (herunder sammenstilt) etter denne bestemmelse skjer etter § 3-4. 

Overskriften i § 3-3 skal lyde:

§ 3-3.Tilrettelegging og tilgjengeliggjøring av opplysninger for aktivitetsbaserte finansieringsordninger og kommunal medfinansiering av spesialisthelsetjenesten 

§ 3-3 første ledd skal lyde:

Opplysninger nødvendige for drift og utvikling av etablerte finansieringsordninger innen spesialisthelsetjenesten skal legges til rette av Norsk pasientregister og utleveres eller på annen måte tilgjengeliggjøres for Helsedirektoratet, herunder også HELFO, for gjennomføring av drift og utvikling. Det skal ikke tilgjengeliggjøres opplysninger med direkte personidentifiserbare kjennetegn. § 3-4 skal lyde:

§ 3-4.Tilgjengeliggjøring av avidentifiserte opplysninger

Opplysninger fra Norsk pasientregister som nevnt i § 3-2 første ledd, eller sammenstilte opplysninger som nevnt i § 3-2 andre ledd, og som er avidentifiserte skal etter søknad utleveres eller tilgjengeliggjøres på annen måte dersom mottaker kan godtgjøre at:

Ved spørsmål om tilgjengeliggjøring som beskrevet i første ledd til medisinsk og helsefaglig forskning kan registeret, i tilfeller der det etter registerets vurdering er tvil om behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn, forelegge spørsmålet om utlevering skal skje for en regional komité for medisinsk og helsefaglig forskningsetikk for avgjørelse. Vedtak fattet av regional komité for medisinsk og helsefaglig forskningsetikk kan påklages til Den nasjonale forskningsetiske komité for medisin og helsefag.

Søknad om tilgjengeliggjøring av opplysninger som beskrevet i første ledd til medisinsk og helsefaglig forskning skal inneholde opplysninger om forskningsansvarlig og prosjektleder, jf. helseforskningsloven § 6.

Norsk pasientregister kan stille vilkår ved tilgjengeliggjøring som er nødvendig for å begrense ulempene behandlingen ellers ville ha for de registrerte. Alle opplysninger som inngår i behandlingen etter denne paragrafen, skal slettes eller tilbakeleveres ved prosjektavslutning. 

§ 3-6 skal lyde:

§ 3-6.Tilgjengeliggjøring og annen behandling av opplysninger i Norsk pasientregister

Norsk pasientregister kan, med mindre annet følger av denne forskrift, bare tilgjengeliggjøre personidentifiserbare opplysninger dersom det ikke strider mot registerets formål, det er ubetenkelig ut fra etiske hensyn, og mottakeren kan godtgjøre at behandlingen oppfyller vilkårene i personvernforordningen artikkel 6 og 9.

Helsedirektoratet skal svare på forespørsler om utlevering av personidentifiserbare opplysninger for bruk i uttrykkelig angitte forskningsprosjekter innen 30 dager fra den dagen forespørselen kom inn. Dersom særlige forhold gjør det umulig å svare på forespørselen innen den angitte fristen, kan svaret utsettes inntil det er mulig å gi svar. Helsedirektoratet skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis. 

§ 3-6a skal lyde:

§ 3-6a.Tilgjengeliggjøring av opplysninger til Hjerte- og karregisteret

Norsk pasientregister kan utlevere eller på annen måte tilgjengeliggjøre opplysninger som beskrevet i forskrift om nasjonalt register over hjerte- og karlidelser § 1-4 til Hjerte- og karregisteret. 

§ 3-6b skal lyde:

§ 3-6b.Tilgjengeliggjøring av opplysninger til den nasjonale kjernejournalen

Norsk pasientregister kan utlevere eller på annen måte tilgjengeliggjøre personidentifiserbare opplysninger til den nasjonale kjernejournalen, jf. forskrift 31. mai 2013 nr. 563 om nasjonal kjernejournal § 4 nr. 6 bokstav a. 

§ 3-7 første ledd første punktum skal lyde:

Norsk pasientregister kan tilrettelegge, utlevere eller på annen måte tilgjengeliggjøre relevante og nødvendige opplysninger til sykdoms- og kvalitetsregistre for etablering og kvalitetskontroll. 

§ 3-8 skal lyde:

§ 3-8.Frister for tilgjengeliggjøring

Norsk pasientregister skal utlevere eller på annen måte tilgjengeliggjøre statistiske opplysninger fra Norsk pasientregister i henhold til § 3-5 innen 30 dager fra den dagen søknaden kom inn.

Norsk pasientregister skal utlevere eller på annen måte tilgjengeliggjøre avidentifiserte opplysninger eller sammenstilte opplysninger i henhold til § 3-4, § 3-5, § 3-6 og § 3-7 innen 60 dager fra den dagen søknaden kom inn.

Dersom særlige forhold gjør det umulig å effektuere søknaden innen den angitte fristen, kan effektueringen utsettes inntil det er mulig å oppfylle den. Den dataansvarlige skal i så fall gi et foreløpig svar med opplysninger om forespørselen kan effektueres, om grunnen til forsinkelsen og sannsynlig tidspunkt for når søknaden kan effektueres.

Norsk pasientregister skal løpende tilgjengeliggjøre opplysninger i henhold § 3-6b til den nasjonale kjernejournalen. 

§ 3-9 første punktum skal lyde:

Den dataansvarlige for Norsk pasientregister kan kreve betaling for behandling og tilrettelegging av opplysninger etter dette kapittel. 

§ 3-10 skal lyde:

§ 3-10.Oversikt over tilgjengeliggjøringer

Den dataansvarlige for Norsk pasientregister skal føre oversikt over hvem som får utlevert eller på andre måter gjort tilgjengelig opplysninger fra Norsk pasientregister og hjemmelsgrunnlaget for at opplysningene er gjort tilgjengelige. Oversikten skal omfatte sammenstillinger, utarbeidet statistikk mv. Oversikten skal oppbevares i minst fem år etter at opplysningene er gjort tilgjengelige. 

§ 4-1 skal lyde:

§ 4-1.Taushetsplikt

Enhver som behandler helseopplysninger etter denne forskriften, har taushetsplikt etter helseregisterloven § 17. 

§ 4-2 skal lyde:

§ 4-2.Informasjonssikkerhet

Helsedirektoratet og Norsk pasientregister skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32 og helseregisterloven § 21.

Sikkerhetstiltakene skal omfatte tiltak som ikke kan påvirkes eller omgås av ansatte hos Norsk pasientregister, og ikke være begrenset til handlinger den enkelte forutsettes å utføre. Det skal også etableres systemer for logging av elektroniske spor ved tilgjengeliggjøringer av opplysninger i registeret.

Der behandling av helseopplysningene skjer ved hjelp av elektroniske hjelpemidler, skal direkte personidentifiserbare kjennetegn lagres kryptert. 

§ 4-4 første ledd skal lyde:

Helsedirektoratet skal etablere internkontroll i samsvar med personvernforordningen artikkel 24, jf. helseregisterloven § 21. Tiltakene skal sikre og påvise at behandlingen av opplysningene utføres i samsvar med personvernforordningen, personopplysningsloven og helseregisterloven. 

§ 4-5 første ledd bokstav c skal lyde:

§ 4-5 bokstav d skal lyde:

§ 4-5 bokstav g skal lyde:

§ 4-6 første punktum skal lyde:

Datatilsynet fører tilsyn med Norsk pasientregister, jf. helseregisterloven § 26 og personopplysningsloven § 20. 

§ 5-1 første ledd første punktum skal lyde:

Registrerte har rett til informasjon om Norsk pasientregister og innsyn i behandling av helseopplysninger om seg selv i samsvar med personvernforordningen artikkel 13 til 15, jf. helseregisterloven § 24. 

§ 5-1 annet ledd første punktum skal lyde:

Innsyn i helseopplysninger om en selv skal fortrinnsvis gis gjennom den registrertes sist behandlende lege og helseinstitusjon. 

§ 5-2 skal lyde:

§ 5-2.Frist for å svare på henvendelser om innsyn

Begjæringer om innsyn etter § 5-1 skal besvares uten ugrunnet opphold og senest én måned etter henvendelsen kom inn, jf. personvernforordningen artikkel 12 nr. 3.

Dersom særlige forhold gjør det umulig å svare på henvendelsen innen én måned, kan gjennomføringen utsettes med ytterligere to måneder. Den dataansvarlige skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis. 

§ 6-1 skal lyde:

§ 6-1.Bevaring av helseopplysninger

Opplysninger i Norsk pasientregister skal oppbevares i ubegrenset tid, med mindre annet følger av denne forskriften eller helseregisterloven § 25. 

§ 6-2 første ledd skal lyde:

Avidentifiserte opplysninger samlet inn fra perioden 1997 kan bevares i ubegrenset tid, med mindre annet følger av denne forskriften eller helseregisterloven § 25. 

§ 7-1 første punktum skal lyde:

Det er kun pasienter som behandles etter ikrafttredelse av lov 16. februar 2007 nr. 7 om etablering av Norsk pasientregister som er lovbestemt register som skal registreres i det personidentifiserbare Norsk pasientregister. 

§ 7-2 skal lyde:

§ 7-2.Overtredelsesgebyr, straff og erstatning

Datatilsynet kan ved brudd på forskriften ilegge overtredelsesgebyr etter personvernforordningen artikkel 83 og personopplysningsloven § 26 og § 27, jf. helseregisterloven § 29.

Den som forsettlig eller grovt uaktsomt overtrer bestemmelser fastsatt i denne forskriften § 4-1 straffes med bøter eller fengsel inntil ett år eller begge deler.

Den dataansvarlige og databehandleren skal erstatte skade som er oppstått som følge av at helseopplysninger er behandlet i strid med personvernforordningen, helseregisterloven og denne forskriften, jf. helseregisterloven § 31. 

17. I forskrift 14. desember 2007 nr. 1418 om innsamling og behandling av helseopplysninger i register over svangerskapsavbrudd (abortregisterforskriften) gjøres følgende endringer: 

§ 1-1 annet punktum skal lyde:

Forskriften gir regler for innsamling, lagring, tilgjengeliggjøring og annen behandling av opplysninger i registeret. 

§ 1-5 skal lyde:

§ 1-5.Dataansvarlig

Folkehelseinstituttet er dataansvarlig for Abortregisteret. 

§ 1-6 skal lyde:

§ 1-6.Databehandler

Folkehelseinstituttet kan inngå skriftlig avtale med en databehandler om innsamling og behandling av opplysninger i Abortregisteret, herunder om formålet med registeret, jf. § 1-3, drift og kvalitetssikring av registeret, samt tilgjengeliggjøring av data for brukere. 

§ 2-4 annet ledd annet punktum skal lyde:

Dersom de innsendte opplysningene er ufullstendige eller på annen måte mangelfulle, skal innsender av opplysningene varsles. 

Overskriften til kapittel 3 skal lyde:

§ 3-2.Tilgjengeliggjøring av opplysninger fra Abortregisteret

Folkehelseinstituttet skal etter begrunnet søknad utlevere eller tilgjengeliggjøre på andre måter, avidentifiserte opplysninger fra Abortregisteret dersom mottaker kan godtgjøre at

Folkehelseinstituttet kan stille vilkår ved tilgjengeliggjøring som er nødvendig for å begrense ulempene behandlingen ellers ville ha for de registrerte. Alle opplysninger som gjøres tilgjengelige etter søknad som nevnt i første ledd, skal slettes straks prosjektet er avsluttet. Mottakeren må ikke offentliggjøre resultatet av behandlingen av opplysningene i en slik form at enkeltpersoner kan gjenkjennes. 

§ 3-3 skal lyde:

§ 3-3.Annen behandling av data fra Abortregisteret

Opplysninger fra Abortregisteret kan bare behandles dersom det er adgang til å behandle opplysningene etter denne forskriften, eller på andre grunnlag i samsvar med reglene om taushetsplikt og personvernforordningen artikkel 6 og 9. 

§ 3-4 første punktum skal lyde:

Folkehelseinstituttet kan kreve betaling for tilgjengeliggjøring av data etter § 3-1 andre ledd, § 3-2 og § 3-3. 

§ 3-5 skal lyde:

§ 3-5.Oversikt over tilgjengeliggjøring av opplysninger

Folkehelseinstituttet skal føre oversikt over hvem som får tilgjengeliggjort opplysninger fra Abortregisteret og hjemmelsgrunnlaget for utleveringene. Oversikten skal oppbevares i minst fem år etter at opplysningene er gjort tilgjengelige. 

Overskriften i § 3-6 skal lyde:

§ 3-6.Frister for tilgjengeliggjøring 

§ 3-6 første punktum skal lyde:

Folkehelseinstituttet skal svare på forespørsler om tilgjengeliggjøring av statistikk og opplysninger for bruk i uttrykkelig angitte forskningsprosjekter innen 30 dager fra den dagen forespørselen kom inn. 

§ 4-1 skal lyde:

§ 4-1.Informasjon til den registrerte

Folkehelseinstituttet skal utarbeide informasjonsmateriell og tilrettelegge for at helsepersonell informerer de registrerte om innsending av opplysninger til Abortregisteret, jf. helseregisterloven § 23 og § 24. 

§ 4-2 skal lyde:

§ 4-2.Informasjonssikkerhet

Folkehelseinstituttet skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32 og helseregisterloven § 21. 

§ 4-3 skal lyde:

§ 4-3.Taushetsplikt

Enhver som behandler opplysninger etter denne forskriften, har taushetsplikt etter helseregisterloven § 17. 

§ 4-4 skal lyde:

§ 4-4.Plikt til å sørge for internkontroll

Folkehelseinstituttet skal gjennomføre tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med personvernforordningen, personopplysningsloven og helseregisterloven, jf. forordningen artikkel 24. Tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang det er nødvendig for å etterleve reglene om behandling av helseopplysninger, med særlig vekt på bestemmelser gitt i medhold av helseregisterloven § 21. 

§ 4-5 annet ledd nr. 3 skal lyde:

§ 4-5 annet ledd nr. 7 skal lyde:

§ 5-1 første punktum skal lyde:

Opplysninger i Abortregisteret skal bevares i ubegrenset tid, med mindre annet følger av denne forskriften eller helseregisterloven § 25. 

§ 6-1 skal lyde:

§ 6-1.Tilsyn og erstatning

Datatilsynet fører tilsyn med behandlingen av helseopplysninger i Abortregisteret, jf. helseregisterloven § 26 og § 29. Erstatningsansvar ved brudd på forskriften følger av helseregisterloven § 31. 

18. I forskrift 21. desember 2007 nr. 1610 om behandling av helseopplysninger i nasjonal database for elektroniske resepter (Reseptformidlerforskriften) gjøres følgende endringer: 

§ 1-5 skal lyde:

§ 1-5.Dataansvarlig

Direktoratet for e-helse er dataansvarlig for Reseptformidleren. 

§ 1-6 første punktum skal lyde:

Dataansvarlig kan inngå avtale med en databehandler om behandling av opplysningene på vegne av direktoratet. 

§ 1-6 tredje punktum skal lyde:

Avtalen skal kunne omfatte innsamling, kvalitetssikring, behandling, drift, lagring, samt tilgjengeliggjøring av opplysninger fra Reseptformidleren. 

§ 2-4 første ledd skal lyde:

Melding av opplysninger som nevnt i § 2-1 til § 2-3 skal skje elektronisk på meldingsformat fastsatt av den dataansvarlige. 

§ 2-4 annet ledd første punktum skal lyde:

Alle meldinger som sendes Reseptformidleren, skal være elektronisk signert på den måten den dataansvarlige fastsetter og i henhold til lov om elektronisk signatur. 

§ 2-6 første og annet ledd skal lyde:

Den dataansvarlige skal sikre at opplysningene som blir meldt inn og behandlet i Reseptformidleren er relevante og nødvendige for bruk til formål som nevnt i § 1-2.

Den dataansvarlige skal sikre at opplysninger som lagres i Reseptformidleren er meldt på format fastsatt av direktoratet, herunder at resepter har gyldig elektronisk signatur, jf. § 2-4. 

§ 3-1 skal lyde:

§ 3-1.Tilgjengeliggjøring av resept og reseptopplysninger til apotek og bandasjist

Resepter og reseptopplysninger kan utleveres eller på annen måte gjøres tilgjengelig for apotek innenfor Reseptformidlerens formål, jf. § 1-2.

Resepter og reseptopplysninger om medisinsk forbruksmateriell eller næringsmidler kan utleveres eller på annen måte gjøres tilgjengelig for bandasjist innenfor Reseptformidlerens formål, jf. § 1-2.

Dersom pasienten har valgt tilgjengelig resept, kan opplysninger fra Reseptformidleren utleveres eller på annen måte gjøres tilgjengelig ved at det oppgis fødselsnummer, eller fødselsdato og navn og andre opplysninger som eventuelt er nødvendige for å identifisere den registrerte.

Dersom pasienten har valgt låst resept, kan opplysninger fra Reseptformidleren bare gjøres tilgjengelig ved at referansenummer oppgis. 

§ 3-2 skal lyde:

§ 3-2.Tilgjengeliggjøring av reseptopplysninger til Statens legemiddelverk

Opplysninger i søknad om unntak fra kravet om markedsføringstillatelse jf. § 1-7 nr. 2 kan utleveres eller på annen måte gjøres tilgjengelig for Statens legemiddelverk. 

§ 3-3 skal lyde:

§ 3-3.Tilgjengeliggjøring av reseptoversikt og tilbakekalling av reseptopplysninger

Opplysninger om resepter i Reseptformidleren som rekvirenten selv har rekvirert kan utleveres eller på annen måte gjøres tilgjengelig for rekvirenten.

Rekvirenten kan kalle tilbake resepter denne har rekvirert ved å sende melding om dette til Reseptformidleren.

Opplysninger om en pasients tilgjengelige resepter i registeret kan gjøres tilgjengelige for andre leger, tannleger, jordmødre og helsesøstre med rekvireringsrett enn den som har rekvirert. Slik tilgjengeliggjøring forutsetter pasientens samtykke. Samtykket gjelder for hvert enkelt behandlingsforløp inntil behandlingsforløpet er avsluttet eller til pasienten trekker samtykket tilbake. Samtykke til tilgjengeliggjøring av opplysninger til fastlegen gjelder inntil pasienten trekker det tilbake, bytter fastlege, blir strøket fra fastlegens liste eller trer ut av fastlegeordningen. Samtykke skal dokumenteres i journalen. Innhenting av samtykke skal bekreftes av rekvirent overfor Reseptformidleren før tilgjengeliggjøring kan finne sted.

En lege som har fått gjort tilgjengelig reseptoversikt etter tredje ledd kan kalle tilbake resepter ved å sende melding om dette til Reseptformidleren. Tannleger, jordmødre og helsesøstre med rekvireringsrett som har fått gjort tilgjengelig reseptoversikt etter tredje ledd, kan kalle tilbake resepter utstedt av rekvirent med samme rett til rekvirering, jf. forskrift 27. april 1998 nr. 455 om rekvirering og utlevering av legemidler fra apotek § 2-2 og § 2-5 andre ledd. 

§ 3-4 skal lyde:

§ 3-4.Tilgjengeliggjøring av reseptopplysninger til rekvirent om hva som er utlevert av legemidler, medisinsk forbruksmateriell eller næringsmidler

Opplysninger om hvilke legemidler, medisinsk forbruksmateriell eller næringsmidler som er utlevert til pasient på bakgrunn av en resept kan utleveres eller på annen måte gjøres tilgjengelig fra Reseptformidleren til den som har rekvirert denne resepten. 

§ 3-5 skal lyde:

§ 3-5.Tilgjengeliggjøring av reseptopplysninger til fastlege om hva som er utlevert av legemidler, medisinsk forbruksmateriell eller næringsmidler

Opplysninger om hvilke legemidler, medisinsk forbruksmateriell eller næringsmidler som er utlevert til pasient kan gjøres tilgjengelig fra Reseptformidleren til pasientens fastlege. Slik tilgjengeliggjøring av opplysninger forutsetter pasientens samtykke. Samtykke skal innhentes av fastlegen og dokumenteres i journalen. Innhenting av samtykke skal bekreftes av fastlegen overfor Reseptformidleren før opplysningene kan tilgjengeliggjøres. Samtykket gjelder inntil pasienten trekker det tilbake, bytter fastlege, blir strøket fra fastlegens liste eller trer ut av fastlegeordningen.

Pasienter som har gitt samtykke etter første ledd, kan likevel ved utlevering av legemidler, medisinsk forbruksmateriell eller næringsmidler reservere seg mot at det gis tilbakemelding til fastlege i det enkelte tilfellet. 

§ 3-6 skal lyde:

§ 3-6.Tilgjengeliggjøring av opplysninger til den nasjonale kjernejournalen

Reseptopplysninger skal utleveres eller på annen måte gjøres tilgjengelige fra Reseptformidleren for den nasjonale kjernejournalen. 

§ 4-2 første ledd skal lyde:

Den dataansvarlige og databehandlere skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32 og pasientjournalloven § 22. 

§ 4-2 annet ledd oppheves. 

§ 4-3 skal lyde:

§ 4-3.Særskilt om logging av melding og tilgjengeliggjøring av resepter og reseptopplysninger

Melding og tilgjengeliggjøring av opplysninger skal logges i Reseptformidleren.

Tilgjengeliggjøring av reseptopplysninger til apotek eller bandasjist som ikke er knyttet til en utlevering av legemidler, medisinsk forbruksmateriell eller næringsmidler, skal jevnlig kontrolleres av den dataansvarlige for å avdekke eller avverge urettmessig tilegnelse av taushetsbelagte opplysninger.

Den dataansvarlige har rett til å innhente informasjon fra den som har fått tilgjengeliggjort opplysninger fra Reseptformidleren, om tilgjengeliggjøringer etter annet ledd. 

§ 4-4 skal lyde:

§ 4-4.Plikt til internkontroll

Den dataansvarlige skal gjennomføre tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med personvernforordningen, personopplysningsloven og pasientjournalloven, jf. personvernforordningen artikkel 24 og pasientjournalloven § 23. 

§ 4-5 første ledd første punktum skal lyde:

Internkontrollen innebærer at dataansvarlig skal ha kunnskap om gjeldende regler om behandling av helseopplysninger, og tilstrekkelig og oppdatert dokumentasjon for gjennomføring av rutiner. 

§ 4-5 første ledd nr. 3 skal lyde:

§ 4-5 første ledd nr. 7 skal lyde:

§ 5-2 skal lyde:

§ 5-2.Frist for å svare på henvendelser om innsyn

Krav om innsyn etter § 5-1 skal besvares uten ugrunnet opphold og senest én måned etter henvendelsen kom inn, jf. personvernforordningen artikkel 12 nr. 3. 

Kapittel 7 oppheves. 

19. I forskrift 17. oktober 2008 nr. 1119 til offentleglova (offentlegforskrifta) skal § 7 annet ledd bokstav c lyde:

20. I forskrift 18. desember 2009 nr. 1639 om behandling av helseopplysninger i Egenandelsregisteret (egenandelsregisterforskriften) gjøres følgende endringer: 

§ 4 skal lyde:

§ 4.Dataansvarlig og databehandler

Helsedirektoratet er dataansvarlig for innsamling og øvrig behandling av helseopplysninger i Egenandelsregisteret.

Helsedirektoratet kan inngå avtale med en databehandler om behandling av opplysningene, jf. personvernforordningen artikkel 28. 

§ 6 skal lyde:

§ 6.Reservasjonsrett

Den registrerte kan reservere seg mot at opplysninger etter § 5 første ledd nr. 2–7 automatisk blir registrert i Egenandelsregisteret, og mot tilgjengeliggjøring av opplysninger om den registrerte skal betale egenandel. 

§ 7 annet ledd skal lyde:

Plikten etter første ledd første punktum gjelder også for Helseforetakenes senter for pasientreiser (ANS), som dataansvarlig for Enkeltoppgjørsregisteret og Direkteoppgjørsregisteret, jf. syketransportregisterforskriften § 1 og § 5. 

§ 11 skal lyde:

§ 11.Tilgjengeliggjøring av opplysninger fra Egenandelsregisteret

Helsedirektoratet kan med mindre den registrerte har reservert seg, jf. § 6, uten hinder av taushetsplikten tilgjengeliggjøre opplysninger om en bruker skal betale egenandel. Opplysningene kan gjøres tilgjengelige for andre som gir helsehjelp eller andre tjenester til pasienten som folketrygden er stønadspliktig for. Videre kan opplysningene gjøres tilgjengelige for Helseforetakenes senter for pasientreiser ANS og helseforetakene i forbindelse med oppgjør for syketransport og i forbindelse med oppgjør for behandlingsreiser til utlandet. Opplysninger kan også gjøres tilgjengelige for rehabiliteringsinstitusjoner og opptreningsinstitusjoner som utløser egenandeler omfattet av egenandelstak 2.

Opplysninger etter første ledd kan kun gjøres tilgjengelige for behandlere og tjenesteytere som tilbyr tjenester omfattet av det aktuelle egenandelstaket. 

§ 13 første ledd skal lyde:

Helsedirektoratet skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32. 

§ 13 annet ledd oppheves. 

§ 14 første ledd skal lyde:

Helsedirektoratet skal gjennomføre tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med personvernforordningen, personopplysningsloven og pasientjournalloven, jf. forordningen artikkel 24. Tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang det er nødvendig for å etterleve kravene for behandling av helseopplysninger i og i medhold av personvernforordningen, personopplysningsloven og helseregisterloven. Det skal legges særlig vekt på kravene i forordningen artikkel 24. 

§ 15 nr. 3 skal lyde:

§ 15 nr. 7 skal lyde:

§ 17 oppheves. 

21. I forskrift 18. desember 2009 nr. 1644 om tjenestevirksomhet og administrativt samarbeid mellom myndigheter (tjenesteforskriften) skal § 3 bokstav c lyde:

22. I forskrift 16. desember 2011 nr. 1250 om innsamling og behandling av helseopplysninger i Nasjonalt register over hjerte- og karlidelser (Hjerte- og karregisterforskriften) gjøres følgende endringer: 

§ 1-3 skal lyde:

§ 1-3.Dataansvarlig, databehandler og fagråd

Folkehelseinstituttet er dataansvarlig for innsamling og behandling av helseopplysninger i registeret.

Folkehelseinstituttet kan inngå avtale med en databehandler om behandling av opplysningene på vegne av instituttet. Avtalen skal være skriftlig.

Den dataansvarlige skal opprette fagråd hvor de regionale helseforetakene er representert. Fagrådet skal avgi uttalelse før det fattes beslutninger av betydning for registerets innhold og organisering. 

§ 1-4 første ledd første kolon skal lyde:

Basisregisteret kan, når det er relevant og nødvendig for å fremme registerets formål, uten samtykke fra den registrerte, inneholde opplysninger fra Folkeregisteret, Norsk pasientregister og Dødsårsaksregisteret, om: 

Ny § 1-5 skal lyde:

§ 1-5.(Avidentifiserte opplysninger)

Med avidentifiserte opplysninger forstås i denne forskriften helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysninger som tidligere ble fjernet. 

§ 2-1 første ledd skal lyde:

Helseforetak, annen virksomhet som yter spesialisthelsetjenester og dataansvarlig for Norsk pasientregister og Dødsårsaksregisteret skal melde inn nødvendige helseopplysninger etter § 1-4. 

§ 2-1 tredje ledd skal lyde:

Lovbestemt taushetsplikt er ikke til hinder for at opplysninger etter § 1-4 meldes til Hjerte- og karregisteret, jf. helseregisterloven § 13. 

§ 2-2 annet ledd skal lyde:

Melder skal varsles dersom meldingen er mangelfull, jf. helseregisterloven § 13 andre ledd andre punktum. 

§ 3-1 annet, tredje og fjerde ledd skal lyde:

Opplysninger i registeret kan sammenstilles i statistisk form med opplysninger i Folkeregisteret, sosioøkonomiske data fra registre i Statistisk sentralbyrå og de sentrale helseregistrene, jf. helseregisterloven § 11 andre ledd a til h. Sammenstillingen skal gjøres av Folkehelseinstituttet, ett av de nevnte registre eller en virksomhet departementet bestemmer.

Folkehelseinstituttet skal, etter forespørsel, utlevere eller på annen måte tilgjengeliggjøre statistiske opplysninger etter første og andre ledd.

Statistiske sammenstillinger og opplysninger som offentliggjøres, utleveres eller på annen måte gjøres tilgjengelige etter denne bestemmelsen, skal være anonyme. Helseopplysninger som mottas for fremstilling av statistikk etter andre ledd, skal slettes så snart statistikkfremstillingen er tilfredsstillende gjennomført. 

§ 3-2 første ledd skal lyde:

Opplysninger i Hjerte- og karregisteret kan sammenstilles med opplysninger i registre som nevnt i § 3-1 andre ledd for uttrykkelig angitte formål, innenfor registrenes formål dersom det er ubetenkelig ut fra etiske hensyn og databehandleren (mottakeren) bare skal behandle avidentifiserte opplysninger. 

§ 3-2 tredje, fjerde og femte ledd skal lyde:

Folkehelseinstituttet skal, etter søknad, tilgjengeliggjøre nødvendige og relevante avidentifiserte opplysninger for uttrykkelig angitt formål innenfor registerets formål, jf. § 1-2, dersom det er ubetenkelig ut fra etiske hensyn og databehandleren (mottakeren) kun skal behandle avidentifiserte opplysninger.

Ved spørsmål om tilgjengeliggjøring som beskrevet i tredje ledd til medisinsk og helsefaglig forskning kan Folkehelseinstituttet ved tvil om behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn, forelegge søknaden for en regional komité for medisinsk og helsefaglig forskningsetikk for avgjørelse.

Folkehelseinstituttet kan stille vilkår ved tilgjengeliggjøring som er nødvendige for å begrense ulempene behandlingen ellers ville fått for de registrerte. 

§ 3-3 skal lyde:

§ 3-3.Tilgjengeliggjøring og annen behandling av opplysninger

Tilgjengeliggjøring og annen behandling som forutsetter bruk av personidentifiserende opplysninger kan bare skje dersom det er adgang til å behandle opplysningene etter denne forskriften, etter den registrertes samtykke, etter vedtak om dispensasjon fra taushetsplikten, eller på andre grunnlag i samsvar med reglene om taushetsplikt og personvernforordningen artikkel 6 og 9. 

§ 3-4 skal lyde:

§ 3-4.Frister for tilgjengeliggjøring

Folkehelseinstituttet skal tilgjengeliggjøre data i statistisk form fra registeret i henhold til § 3-1 senest 30 dager etter søknaden ble mottatt.

Folkehelseinstituttet skal tilgjengeliggjøre opplysninger i henhold til § 3-2 andre ledd flg. og § 3-3, innen 60 dager etter søknaden ble mottatt.

Dersom fristen av særlige grunner ikke kan holdes, skal Folkehelseinstituttet gi et foreløpig svar om grunnen til forsinkelsen, om opplysningene kan tilgjengeliggjøres og når. 

§ 4-1 skal lyde:

§ 4-1.Taushetsplikt

Enhver som behandler helseopplysninger etter forskriften, har taushetsplikt etter helseregisterloven § 17. 

§ 4-2 skal lyde:

§ 4-2.Informasjonssikkerhet

Folkehelseinstituttet og databehandlere som Folkehelseinstituttet har inngått avtale med, skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32 og helseregisterloven § 21. 

Overskriften i § 4-3 skal lyde:

§ 4-3.Kryptering og tilgjengeliggjøring av opplysninger 

§ 4-3 annet ledd første punktum skal lyde:

Bare personell som utfører tjenester eller arbeid mot registeret og arbeider under Folkehelseinstituttet eller databehandlers instruksjonsmyndighet, kan gis tilgang til opplysninger i registeret. 

§ 4-4 første ledd første punktum skal lyde:

Folkehelseinstituttet skal gjennomføre tekniske og organisatoriske tiltak for å sike og påvise at behandlingen av opplysningene utføres i samsvar med personvernforordningen, personopplysningloven og helseregisterloven, jf. helseregisterloven § 22. 

§ 4-4 annet ledd bokstav c skal lyde:

§ 4-4 annet ledd bokstav d skal lyde:

§ 4-4 annet ledd bokstav g skal lyde:

§ 4-5 skal lyde:

§ 4-5.Oversikt over tilgjengeliggjøring

Folkehelseinstituttet skal føre oversikt over hvem som får utlevert eller på annen måte tilgjengeliggjort opplysninger fra registeret og hjemmelsgrunnlaget for tilgjengeliggjøringene. Oversikten skal oppbevares i minst fem år etter angitte tidspunkt for prosjektavslutning. 

§ 4-6 skal lyde:

§ 4-6.Bevaring av helseopplysninger

Opplysninger i registeret skal bevares så lenge det er nødvendig for å oppfylle formålet jf. § 1-2, med mindre annet følger av forskriften, helseregisterloven § 25 eller arkivloven. 

§ 5-1 første ledd skal lyde:

Registrerte har rett til informasjon om registeret og innsyn i behandling av helseopplysninger om seg selv i samsvar med helseregisterloven § 24. 

§ 5-2 skal lyde:

§ 5-2.Frist for å svare på henvendelser om innsyn

Begjæringer om innsyn etter § 5-1 skal besvares uten ugrunnet opphold og senest én måned etter at henvendelsen kom inn, jf. personvernforordningen artikkel 12 nr. 3.

Dersom særlige forhold gjør det umulig å svare på henvendelsen innen én måned, kan gjennomføringen utsettes med ytterligere to måneder. Den dataansvarlige skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis. 

§ 5-3 skal lyde:

§ 5-3.Retting og sletting av helseopplysninger

Den registrerte har rett til å kreve retting og sletting av opplysninger etter bestemmelsene i helseregisterloven § 25. 

§ 6-1 første punktum skal lyde:

Datatilsynet fører tilsyn med Hjerte- og karregisteret, jf. helseregisterloven § 26 og personopplysningsloven § 20. 

§ 6-2 skal lyde:

§ 6-2.Overtredelsesgebyr

Datatilsynet kan ved behandling av opplysninger i strid med forskriften ilegge overtredelsesgebyr etter personvernforordningen artikkel 83 og personopplysningsloven §§ 26 og 27, jf. helseregisterloven § 29. 

§ 6-3 oppheves. 

23. I forskrift 31. mai 2013 nr. 563 om nasjonal kjernejournal (kjernejournalforskriften) gjøres følgende endringer: 

§ 2 skal lyde:

§ 2.Dataansvarlig

Direktoratet for e-helse er dataansvarlig for den nasjonale kjernejournalen. 

§ 5 tredje ledd skal lyde:

Opplysningene skal meldes i det formatet og etter de rutinene som er fastsatt av den dataansvarlige. 

§ 5 fjerde ledd første punktum skal lyde:

Den dataansvarlige har ansvar for at bare opplysninger som nevnt i § 4 registreres og behandles i kjernejournalen. 

§ 7 annet ledd skal lyde:

Når det er nødvendig for å yte forsvarlig helsehjelp til pasienten, kan helseopplysninger i den nasjonale kjernejournalen uten pasientens samtykke gjøres tilgjengelig for fastlegen, helsepersonell med legemiddelansvar i sykehjem og i hjemmesykepleien, lege og sykepleier i spesialisthelsetjenesten og den akuttmedisinske kjeden. 

§ 9 tredje ledd skal lyde:

Den dataansvarlige for den nasjonale kjernejournalen kan sette vilkår for tilgang, oppbevare oversikt over utstedte autorisasjoner og føre kontroll med at tilgang skjer i samsvar med reglene for tilgangsstyring. 

§ 11 skal lyde:

§ 11.Forbud mot tilgjengeliggjøring av opplysninger fra den nasjonale kjernejournalen

Opplysninger om den registrerte kan ikke utleveres eller på annen måte tilgjengeliggjøres fra den nasjonale kjernejournalen til arbeidsgivere, forsikringsselskap eller påtalemyndigheten selv om den registrerte samtykker. 

§ 12 første punktum skal lyde:

Den dataansvarlige skal sørge for at alle som gis autorisasjon for tilgang til helseopplysninger i nasjonal kjernejournal, får nødvendig opplæring og informasjon om bruken av autorisasjonen, begrensningene og mulighetene. 

24. I forskrift 12. juni 2015 nr. 646 om helseforetaksfinansierte reseptlegemidler til bruk utenfor sykehus gjøres følgende endringer: 

§ 8 første punktum skal lyde:

Reseptopplysninger jf. § 5 kan utleveres eller gjøres tilgjengelige på andre måter fra apotek til aktuelt helseforetak og behandles på andre måter, når dette er nødvendig for å oppfylle forskriftens formål. 

§ 9 skal lyde:

§ 9.Dataansvarlig

Helseforetakene er dataansvarlige, jf. pasientjournalloven § 2 bokstav e, for behandlingen av opplysningene som innhentes fra apotekene i forbindelse med økonomisk oppgjør. 

25. I forskrift 18. mars 2016 nr. 268 om Norsk helsearkiv og Helsearkivregisteret (helsearkivforskriften) gjøres følgende endringer: 

§ 29 annet punktum skal lyde:

Som ledd i kvalitetskontrollen, kan det gjøres rutinemessige samkjøringer mot Folkeregisteret, Dødsårsaksregisteret og Norsk pasientregister. 

Overskriften til kapittel 6 skal lyde:

§ 31.Tilgjengeliggjøring av helseopplysninger

Helseopplysninger kan utleveres eller på annen måte tilgjengeliggjøres etter søknad dersom det er tillatt etter reglene om taushetsplikt.

Søknaden skal angi grunnlaget for at opplysningene kan tilgjengeliggjøres, se forskriften § 2. Vedtak eller godkjenninger som har betydning for vurderingen, skal vedlegges søknaden.

Opplysninger til bruk i forskning skal tilgjengeliggjøres uten direkte personidentifiserbare kjennetegn eller andre kjennetegn som innebærer at den registrerte ved bruk av enkle hjelpemidler kan identifiseres. Dersom direkte personidentifiserbare kjennetegn er nødvendig for å sammenstille opplysningene med opplysninger i andre registre og sammenstillingen utgjør en hovedverdi for forskningen, kan opplysninger likevel tilgjengeliggjøres med direkte identifiserbare kjennetegn. Det skal vurderes om pårørende først skal informeres og gis adgang til å motsette seg at personidentifiserbare opplysninger etter andre punktum tilgjengeliggjøres. Graden av personidentifikasjon skal ikke være større enn nødvendig for det aktuelle formålet.

Tilgjengeliggjøring av opplysninger etter tredje ledd andre punktum kan bare skje etter godkjenning av Regional komité for medisinsk og helsefaglig forskningsetikk (REK).

Norsk helsearkiv kan fastsette nærmere formkrav for søknad om tilgjengeliggjøring av opplysninger. 

§ 32 skal lyde:

§ 32.Sikkerhets- og forsvarlighetskrav ved tilgjengeliggjøring

Norsk helsearkiv skal sikre at pasientarkivmateriale tilgjengeliggjøres på en slik måte at materialet ikke skades eller utsettes for uforsvarlig slitasje.

Norsk helsearkiv skal forvisse seg om at utlevering eller tilgjengeliggjøring på annen måte av kopier og digitale uttrekk skjer til rett mottaker.

I vedtak om tilgjengeliggjøring etter § 31 kan Norsk helsearkiv sette vilkår om overføringsmetode, oppbevaring av mottatt materiale, og eventuell tilbakelevering eller tilintetgjøring av kopier og uttrekk. 

§ 33 skal lyde:

§ 33.Oversikt over tilgjengeliggjøring

Norsk helsearkiv skal føre oversikt over tilgjengeliggjøring fra Helsearkivregisteret. Oversikten skal omfatte opplysninger om:

26. I forskrift 3. juni 2016 nr. 573 om registre for administrering og samordning av syketransport (syketransportregisterforskriften) gjøres følgende endringer: 

§ 3 tredje punktum skal lyde:

Opplysninger i registeret kan brukes som grunnlag for utarbeidelse av statistikk og til forskning. 

§ 5 skal lyde:

§ 5.Dataansvarlig og databehandler

Helseforetakenes senter for pasientreiser ANS er dataansvarlig for behandling av helseopplysninger i Enkeltoppgjørsregisteret og i Direkteoppgjørsregisteret.

Dataansvarlig kan inngå avtale med databehandler om behandling av opplysningene, jf. personvernforordningen artikkel 28. 

§ 12 skal lyde:

§ 12.

Mottakers ansvar for kvalitetskontroll

Dataansvarlig skal sørge for at helseopplysninger som innsamles og behandles i Enkeltoppgjørsregisteret og i Direkteoppgjørsregisteret er korrekte, relevante og nødvendige for de formål de innsamles for, jf. § 3. 

§ 13 skal lyde:

§ 13.Tilgjengeliggjøring av opplysninger for transportør

Dataansvarlig skal sørge for at følgende opplysninger i Direkteoppgjørsregisteret utleveres til eller gjøres tilgjengelig på andre måter for transportør:

§ 14 første ledd første punktum skal lyde:

Dataansvarlig skal sørge for at det fra Direkteoppgjørsregisteret og Enkeltoppgjørsregisteret blir sendt inn relevante og nødvendige opplysninger til Egenandelsregisteret. 

§ 18 første ledd skal lyde:

Dataansvarlig skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av helseopplysninger etter forskriften, jf. pasientjournalloven § 22. 

§ 18 annet ledd oppheves. 

§ 19 første ledd første punktum skal lyde:

Dataansvarlig skal etablere internkontroll i samsvar med pasientjournalloven § 23. 

§ 19 annet ledd skal lyde:

Databehandler, jf. § 5, skal behandle disse opplysningene i samsvar med de krav og rutiner dataansvarlig har oppstilt. 

§ 20 første ledd første punktum skal lyde:

Internkontroll innebærer at dataansvarlig skal ha kunnskap om gjeldende regler om behandling av helseopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av rutiner, samt ha denne dokumentasjonen tilgjengelig for dem den måtte angå. 

§ 20 nr. 3 skal lyde:

§ 20 nr. 4 skal lyde:

§ 20 nr. 7 skal lyde:

§ 22 oppheves. 

27. I forskrift 28. oktober 2016 nr. 1258 om elektronisk kommunikasjon med domstolene skal § 12 første ledd annet punktum lyde:

Bestemmelsene i personvernforordningen artikkel 32 og 33 gjelder tilsvarende. 

28. I forskrift 25. august 2017 nr. 1292 om kommunalt pasient- og brukerregister (KPR) gjøres følgende endringer: 

§ 1-3 skal lyde:

§ 1-3.Dataansvarlig, databehandler og fagråd

Helsedirektoratet er dataansvarlig for registeret. Behandling av helseopplysninger skal skje i en avgrenset organisatorisk enhet i direktoratet.

Den dataansvarlige kan inngå avtale med databehandlere om behandling av opplysningene på vegne av direktoratet. Avtalene skal være skriftlige.

Den dataansvarlige skal opprette et fagråd hvor minst pasient- og brukerorganisasjonene, de kommunale helse- og omsorgstjenestene og de regionale helseforetakene er representert. Den dataansvarlige skal forelegge saken for fagrådet før det fattes beslutninger av vesentlig betydning for registerets innhold og behandling av opplysninger. 

§ 2-2 annet ledd tredje punktum skal lyde:

Første og andre punktum gjelder ikke tilgjengeliggjøring for sammenstilling etter § 4-2. 

§ 3-2 skal lyde:

§ 3-2.Konkrete opplysninger, rutiner mv.

Den dataansvarlige fastsetter hvilke tjenesteytere og hvilke konkrete opplysninger etter § 2-1 som skal meldes inn. Den dataansvarlige kan også fastsette tidsfrister og krav om bruk av bestemte klassifikasjonssystemer, kodeverk og standardiserte meldingsformater ved innmeldingen. 

§ 3-3 første ledd skal lyde:

Den dataansvarlige skal kvalitetskontrollere helseopplysningene som behandles i registeret. 

§ 3-3 annet ledd første punktum skal lyde:

Som ledd i kvalitetskontrollen kan den dataansvarlige gjennomføre rutinemessige sammenstillinger med tilsvarende opplysninger i lovbestemte registre etter helseregisterloven § 11 og Folkeregisteret. 

§ 3-4 skal lyde:

§ 3-4.Innmelding av pasient- og brukerrapporterte opplysninger

Den dataansvarlige skal legge til rette for at pasientene og brukerne selv kan melde inn person- og helseopplysninger til registeret, jf. § 2-1 første ledd bokstav h. 

Overskriften til kapittel 4 skal lyde: