➦ Gå til opprinnelig kunngjort versjon

Forskrift om Norsk overvåkingssystem for antibiotikabruk og helsetjenesteassosierte infeksjoner (NOIS-registerforskriften)

DatoFOR-2005-06-17-611
DepartementHelse- og omsorgsdepartementet
PublisertI 2005 hefte 9 (Merknader)
Ikrafttredelse01.07.2005
Sist endretFOR-2021-11-19-3235
Gjelder forNorge
HjemmelLOV-2001-05-18-24-§8, LOV-2001-05-18-24-§9, LOV-2001-05-18-24-§16, LOV-2001-05-18-24-§17, LOV-2001-05-18-24-§34, LOV-2014-06-20-42-§33, LOV-2014-06-20-43-§33, LOV-1999-07-02-64-§37, LOV-1994-08-05-55-§2-3, LOV-1994-08-05-55-§3-7, LOV-1994-08-05-55-§4-7, LOV-2014-06-20-43-§8, LOV-2014-06-20-43-§9, LOV-2014-06-20-43-§10, LOV-2014-06-20-43-§11, LOV-2014-06-20-43-§12
Kunngjort21.06.2005
Rettet10.05.2013 (Merknader)
KorttittelNOIS-registerforskriften

Hjemmel: Fastsatt ved kgl.res. 17. juni 2005 med hjemmel i lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger (helseregisterloven) § 8 fjerde ledd, jf. annet ledd, § 9 annet ledd, § 16 fjerde ledd, § 17 tredje ledd og § 34 fjerde ledd, lov 2. juli 1999 nr. 64 om helsepersonell m.v. (helsepersonelloven) § 37 og lov 5. august 1994 nr. 55 om vern mot smittsomme sykdommer § 2-3 fjerde ledd, § 3-7 femte ledd og § 4-7. Fremmet av Helse- og omsorgsdepartementet.
Tilføyd hjemmel: Lov 20. juni 2014 nr. 43 om helseregistre og behandling av helseopplysninger (helseregisterloven) § 8 jf. § 9, § 10, § 11, § 12.
EØS-henvisninger: EØS-avtalen protokoll 31 art. 16 (Beslutning 2119/98/EF).
Endret ved forskrifter 27 april 2012 nr. 497, 17 jan 2013 nr. 61, 18 des 2015 nr. 1588, 15 juni 2018 nr. 876, 23 april 2021 nr. 1269 som endret ved forskrift 12 mai 2021 nr. 1902 (i kraft 1 juni 2021), 19 nov 2021 nr. 3235.

Kapittel 1. Generelle bestemmelser

§ 1-1.Etablering av Norsk overvåkingssystem for antibiotikabruk og helsetjenesteassosierte infeksjoner i sykehjem og spesialisthelsetjenesten

Denne forskriften etablerer et landsomfattende Norsk overvåkingssystem for antibiotikabruk og helsetjenesteassosierte infeksjoner i sykehus, dagkirurgiske klinikker og sykehjem. Forskriften gir regler for innsamling og behandling av helseopplysninger i overvåkingssystemet.

Innsamling og behandling av helseopplysninger i registeret skjer etter nærmere bestemmelser fra Helsedirektoratet.

0Endret ved forskrift 27 april 2012 nr. 497 (i kraft 1 juli 2012).

§ 1-2.Registerets formål

Registeret skal bidra til overvåking av antibiotikabruk og helsetjenesteassosierte infeksjoner hos pasienter i sykehus, dagkirurgiske klinikker og sykehjem gjennom systematisk fortløpende eller periodisk innsamling av data. Rapportering, tolkning og analyse av data fra disse virksomhetene jf. § 1-3 annet ledd, skal legge grunnlaget for å

1.overvåke antibiotikabruk og forekomsten av helsetjenesteassosierte infeksjoner i virksomhetene over tid,
2.oppdage og bidra til oppklaring av utbrudd av helsetjenesteassosierte infeksjoner,
3.evaluere tiltak for rasjonell antibiotikabruk og virkninger av smitteverntiltak i virksomhetene,
4.gi råd til helsepersonell, virksomheter og forvaltning om antibiotikabruk og smitteverntiltak,
5.gi grunnlag for forskning om antibiotikabruk og forskning om helsetjenesteassosierte infeksjoner i sykehus, dagkirurgiske klinikker og sykehjem,
6.bidra med data til europeisk overvåking av antibiotikabruk og helsetjenesteassosierte infeksjoner.

Opplysninger i registeret kan foruten de formål som nevnt ovenfor, behandles til styring, planlegging og kvalitetssikring av helse- og omsorgstjenesten og helse- og omsorgsforvaltningen, samt til utarbeiding av statistikk og til forskning.

0Endret ved forskrifter 27 april 2012 nr. 497 (i kraft 1 juli 2012), 17 jan 2013 nr. 61.

§ 1-3.Innholdet i registeret

Registeret kan inneholde avidentifiserte helseopplysninger om hvorvidt personer som følges opp under og etter et opphold i sykehus, dagkirurgiske klinikker og sykehjem

1.har mottatt antibiotika for forebygging eller behandling
2.har blitt påført en helsetjenesteassosiert infeksjon.

Helsedirektoratet gir nærmere bestemmelser om antibiotikabruk som skal rapporteres, hvilke infeksjoner som skal rapporteres, hvilke sykehus, dagkirurgiske klinikker, sykehjem og pasientgrupper, jf. første ledd som skal inkluderes i registeret og hvilke som skal delta i prevalens- eller insidensundersøkelser.

0Endret ved forskrift 27 april 2012 nr. 497 (i kraft 1 juli 2012).

§ 1-3a.Avidentifiserte opplysninger

Med avidentifiserte opplysninger i denne forskriften forstås helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysninger som tidligere ble fjernet.

0Tilføyd ved forskrift 15 juni 2018 nr. 876 (i kraft 20 juli 2018).

§ 1-4.Forbud mot bruk

Opplysningene i registeret kan ikke anvendes til formål som er uforenelig med formål som nevnt i § 1-2.

0Endret ved forskrift 27 april 2012 nr. 497 (i kraft 1 juli 2012).

§ 1-5.Dataansvarlig

Folkehelseinstituttet er dataansvarlig for registeret.

0Endret ved forskrifter 18 des 2015 nr. 1588 (i kraft 1 jan 2016), 15 juni 2018 nr. 876 (i kraft 20 juli 2018).

§ 1-6.Databehandler

Folkehelseinstituttet kan inngå skriftlig avtale med en databehandler om innsamling og behandling av helseopplysninger i registeret, herunder om overvåking og forskning, jf. § 1-2, drift og kvalitetssikring av registeret, samt tilgjengeliggjøring av data.

0Endret ved forskrifter 27 april 2012 nr. 497 (i kraft 1 juli 2012), 18 des 2015 nr. 1588 (i kraft 1 jan 2016), 15 juni 2018 nr. 876 (i kraft 20 juli 2018).

§ 1-7.Opplysninger i registeret

Registeret kan inneholde følgende opplysninger om personer som tilhører de pasientgrupper som er bestemt inkludert i registeret, jf. § 1-3 annet ledd.

1.avidentifiserte personopplysninger:
a.virksomhetens løpenummer for pasienten,
b.pasientens kjønn,
c.pasientens fødselsår.
2.administrative opplysninger:
a.innleggelsesdato, utskrivingsdato og oppfølgingsdatoer,
b.virksomhet der pasienten var innlagt og avdelingstype,
c.om operasjonen, som operasjonskode, -type, -dato, -klokkeslett og -varighet,
d.bruk av pasientnært utstyr; type og varighet.
3.medisinske opplysninger:
1.om forebyggende antibiotikabruk og antibiotikabruk som ikke relaterer seg til helsetjenesteassosierte infeksjoner, herunder indikasjon, virkestoff(er), dose, varighet og administrasjonsmåte.
2.
a.om antatt disponerende faktorer for helsetjenesteassosierte infeksjoner,
b.om type infeksjon og innsykningsdato,
c.om smittestoffet inkludert antibiotikaresistens,
d.om antibiotikabehandling, varighet og eventuelle følgetilstander,
e.status ved utskrivelse og i oppfølgingsperioden.
0Endret ved forskrift 27 april 2012 nr. 497 (i kraft 1 juli 2012).

§ 1-8.Koding og klassifisering av opplysningene i registeret, krav til dokumentasjon, kvalitetskontroll

Folkehelseinstituttet skal sørge for at helseopplysninger som behandles i registeret, er korrekte, relevante og nødvendige for de formål de innsamles for, jf. § 1-2. Folkehelseinstituttet skal ved enhver registrering i registeret kunne dokumentere hvilke klassifikasjoner eller kodeverk som er benyttet.

Departementet kan gi nærmere bestemmelser om hvilke nasjonale eller internasjonale kodeverk og klassifikasjoner som skal benyttes ved registrering av opplysninger i registeret.

Dersom meldingsskjema er mangelfullt utfylt, skal avsenderen av opplysningene varsles, jf. helseregisterloven § 13 andre ledd andre punktum.

0Endret ved forskrifter 27 april 2012 nr. 497 (i kraft 1 juli 2012), 18 des 2015 nr. 1588 (i kraft 1 jan 2016), 15 juni 2018 nr. 876 (i kraft 20 juli 2018).

Kapittel 2. Melding av helseopplysninger til registeret mv.

§ 2-1.Virksomhetenes deltaking i overvåkingssystemet

Virksomheter som behandler pasienter i pasientgrupper, jf. forskriften § 1-3 annet ledd, skal delta i overvåkingssystemet for antibiotikabruk og helsetjenesteassosierte infeksjoner i sykehjem og spesialisthelsetjenesten dersom ikke dataansvarlig har fritatt dem for deltakelse.

0Endret ved forskrifter 27 april 2012 nr. 497 (i kraft 1 juli 2012), 15 juni 2018 nr. 876 (i kraft 20 juli 2018).

§ 2-2.Helsepersonellets meldingsplikt av opplysninger til registeret

Helsepersonell ved virksomheter som behandler pasienter i pasientgrupper, jf. forskriften § 1-3 annet ledd, skal melde opplysninger som nevnt i § 1-7 til registeret.

0Endret ved forskrift 27 april 2012 nr. 497 (i kraft 1 juli 2012).

§ 2-3.Meldingsskjema, formkrav

Melding av opplysninger som nevnt i § 2-2, skal skje som fastsatt av Helsedirektoratet etter nærmere bestemmelser om form, innhold og frister for melding til registeret.

Helsedirektoratet kan gi pålegg om bruk av standardiserte meldingsformater ved forsendelsen av opplysningene.

0Endret ved forskrift 27 april 2012 nr. 497 (i kraft 1 juli 2012).

§ 2-4.Virksomhetens plikter

Ledelsen ved virksomheter er ansvarlig for registrering av opplysninger som skal meldes til registeret, jf. § 1-7, og har ansvar for at pliktene som nevnt i § 2-1 til § 2-3, oppfylles, og skal sørge for at det finnes rutiner som sikrer dette.

Ledelsen ved virksomhetene skal påse at resultatene av overvåkingen sendes til Folkehelseinstituttet.

0Endret ved forskrift 18 des 2015 nr. 1588 (i kraft 1 jan 2016).

§ 2-5.Rapportering fra registeret

Folkehelseinstituttet skal sørge for regelmessig rapportering om forekomsten av antibiotikabruk og helsetjenesteassosierte infeksjoner til de aktuelle delene av helsetjenesten, jf. § 1-2, gjennom å offentliggjøre årlige oversikter om antibiotikabruk og om forekomst av helsetjenesteassosierte infeksjoner i virksomhetene i landet.

Folkehelseinstituttet skal ivareta rapportering om antibiotikabruk til Verdens helseorganisasjon og forekomst av helsetjenesteassosierte infeksjoner til EU-kommisjonen jf. vedtak 2119/98/EF. Slike opplysninger skal være avidentifiserte.

0Endret ved forskrifter 27 april 2012 nr. 497 (i kraft 1 juli 2012), 18 des 2015 nr. 1588 (i kraft 1 jan 2016).

Kapittel 3. Behandling av helseopplysninger i registeret

§ 3-1.Tilgjengeliggjøring og annen behandling av helseopplysninger

Helseopplysninger i NOIS-registeret skal behandles i samsvar med personvernforordningen, personopplysningsloven og de alminnelige vilkårene i helseregisterloven § 6 og reglene om taushetsplikt i helseregisterloven § 17, jf. helsepersonelloven §§ 21 flg.

Ved tilgjengeliggjøring og sammenstilling av opplysninger i registeret gjelder i tillegg helseregisterloven § 19 til § 19h.

0Endret ved forskrifter 18 des 2015 nr. 1588 (i kraft 1 jan 2016), 15 juni 2018 nr. 876 (i kraft 20 juli 2018), 23 april 2021 nr. 1269 som endret ved forskrift 12 mai 2021 nr. 1902 (i kraft 1 juni 2021).

§ 3-2.Informasjonsstrategi rettet mot brukergrupper

For å fremme bruk av data fra registeret og for å bygge opp informasjon og kunnskap, jf. forskriften § 1-3, skal Folkehelseinstituttet ha en aktiv informasjonsstrategi og -plan rettet mot så vel helse- og omsorgsforvaltningen, helse- og omsorgstjenesten og øvrig forvaltning, som mot forskere innen medisinsk forskning, helse- og omsorgstjenesteforskning og samfunnsforskning.

0Endret ved forskrifter 27 april 2012 nr. 497 (i kraft 1 juli 2012), 17 jan 2013 nr. 61, 18 des 2015 nr. 1588 (i kraft 1 jan 2016), 23 april 2021 nr. 1269 som endret ved forskrift 12 mai 2021 nr. 1902 (i kraft 1 juni 2021, tidligere § 3-3).

Kapittel 4. Informasjonssikkerhet og internkontroll

§ 4-1.Informasjonssikkerhet

Folkehelseinstituttet og databehandleren skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32 og helseregisterloven § 21.

0Endret ved forskrifter 18 des 2015 nr. 1588 (i kraft 1 jan 2016), 15 juni 2018 nr. 876 (i kraft 20 juli 2018).

§ 4-2.Plikt til internkontroll

Folkehelseinstituttet skal gjennomføre tekniske og organisatoriske tiltak for å sikre og påvise at behandling av opplysninger utføres i samsvar med personvernforordningen, personopplysingsloven og helseregisterloven, jf. helseregisterloven § 22. Tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang det er nødvendig for å etterleve reglene om behandling av helseopplysninger, med særlig vekt på bestemmelser gitt i medhold av helseregisterloven § 21.

Databehandleren som behandler helseopplysninger på vegne av Folkehelseinstituttet, skal behandle opplysninger i samsvar med rutiner Folkehelseinstituttet har oppstilt.

0Endret ved forskrifter 18 des 2015 nr. 1588 (i kraft 1 jan 2016), 15 juni 2018 nr. 876 (i kraft 20 juli 2018).

§ 4-3.Internkontrollens innhold

Internkontrollen innebærer at Folkehelseinstituttet skal ha kunnskap om gjeldende regler om behandling av helseopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av rutiner, samt ha denne dokumentasjonen tilgjengelig for dem det måtte angå.

Internkontrollen skal blant annet inneholde:

1.oversikt over hvordan virksomheten er organisert,
2.oversikt over ansvars- og myndighetsforhold,
3.oversikt over de krav i og i medhold av personvernforordningen, personopplysningsloven og helseregisterloven som gjelder for virksomheten,
4.rutiner virksomheten følger for å sikre overholdelse av kravene, herunder rutiner for:
4.1oppfyllelse av krav om at avidentifiserende opplysninger bare behandles når dette er nødvendig for å fremme formålet med behandlingen av opplysningene, og i tråd med gjeldende bestemmelser om taushetsplikt, jf. helseregisterloven § 6 og § 17,
4.2dokumentasjon og kvalitetskontroll av helseopplysningene, jf. forskriften § 1-8,
4.3hvordan virksomheten oppfyller bestemmelsene om tilgjengeliggjøring av opplysninger fra helseregistre, jf. forskriften § 3-1,
5.rutiner virksomheten følger dersom avvik oppstår, og opplysninger om hvem som er ansvarlig,
6.rutiner virksomheten følger for å hindre gjentakelse av avvik, og opplysninger om hvem som er ansvarlig,
7.rutiner for hvordan virksomheten systematisk og regelmessig gjennomgår sin internkontroll for å kontrollere at aktivitetene og resultatene av dem stemmer overens med det system virksomheten har fastlagt, og om det medfører oppfyllelse av personvernforordningen, personopplysningsloven og helseregisterloven,
8.rutiner for hvordan virksomheten sikrer seg at alle aktuelle og kun gjeldende rutiner blir benyttet, og
9.rutiner for hvordan virksomheten sikrer at de ansatte har tilstrekkelig kompetanse til å overholde forskriftens krav.

Skriftlig dokumentasjon skal minst omfatte dokumentasjon av rutiner som nevnt i annet ledd nr. 1 til 8. Tilsynsmyndighetene kan gi pålegg om skriftlig dokumentasjon ut over dette, dersom det anses påkrevd. Tilsynsmyndighetene kan dispensere fra hele eller deler av dette kapittel når særlige forhold foreligger.

0Endret ved forskrifter 18 des 2015 nr. 1588 (i kraft 1 jan 2016), 15 juni 2018 nr. 876 (i kraft 20 juli 2018), 19 nov 2021 nr. 3235.

Kapittel 5. Bevaring av helseopplysninger i registeret

§ 5-1.Bevaring av helseopplysninger

Opplysninger i registeret kan i den utstrekning det er nødvendig for å nå formålet med registeret, bevares i ubegrenset tid, med mindre annet følger av denne forskriften eller helseregisterloven § 25.

0Endret ved forskrift 15 juni 2018 nr. 876 (i kraft 20 juli 2018).

Kapittel 6. Avsluttende bestemmelser

§ 6-1. (Opphevet)

0Opphevet ved forskrift 15 juni 2018 nr. 876 (i kraft 20 juli 2018).

§ 6-2.Ikrafttredelse

Forskriften trer i kraft 1. juli 2005.

  • Merknader til de enkelte paragrafer i forskriften

    Merknadene er en veiledning som utdyper innholdet i de enkelte bestemmelsene i forskriften. Merknadene er i seg selv ikke bindende. Forskriften og merknadene bør leses i sammenheng for å få en best mulig forståelse av forskriftens bestemmelser.

    Til kapittel 1. Generelle bestemmelser

    Til § 1-1 Etablering av Norsk overvåkingssystem for infeksjoner i sykehustjenesten

    Bestemmelsen gir hjemmel for etablering av Norsk overvåkingssystem for infeksjoner i sykehustjenesten (NOIS). Med infeksjoner i sykehustjenesten menes infeksjoner som oppstår som følge av opphold i private eller offentlige sykehus eller dagkirurgiske klinikker. Sykehustjenesten er en del av spesialisthelsetjenesten. Forskriften gir regler for innsamling og behandling av helseopplysninger i registeret.

    Til § 1-2 Innholdet i registeret

    Bestemmelsen angir innholdet i registeret. Registeret kan inneholde avidentifiserte helseopplysninger om personer i Norge som følges opp under og etter et opphold i nærmere bestemte sykehus eller dagkirurgiske klinikker, for å avgjøre om de under oppholdet har fått en infeksjon. NOIS skal ikke være et fullstendig register over alle sykehusinfeksjoner.

    Helsedirektoratet kan i henhold til bestemmelsen gi nærmere bestemmelser om hvilke sykehus og dagkirurgiske klinikker, pasientgrupper og hvilke prosedyrer som skal inkluderes i overvåkingssystemet for infeksjoner i sykehustjenesten. Overvåkingssystemet vil først og fremst være aktuelt for sykehus og større dagkirurgiske klinikker.

    Det legges i første omgang opp til periodiske overvåkingsopplegg der virksomhetene overvåker infeksjoner i visse pasientgrupper i samme periode, for eksempel pasienter som har gjennomgått keisersnitt i et gitt kvartal. Det betyr at dette registeret skiller seg fra ordinære helseregistre der alle pasienter med visse sykdommer blir registrert. I Norsk overvåkingssystem for infeksjoner i sykehustjenesten registreres visse pasientgrupper i visse perioder og så følges pasientene opp under og etter oppholdet for å avgjøre om de har fått en infeksjon eller ikke. På denne måten kan man både måle andelen som får infeksjon og studere forskjeller mellom dem som fikk infeksjon eller ikke fikk slik infeksjon. Resultatene fra overvåkingen kan omsettes til kvalitetsforbedrende tiltak og smittevernrådgivning.

    Et eksempel: «Femten hundre kvinner som gjennomgikk keisersnitt i januar, februar og mars 2006, er registrert. 7% av dem fikk en postoperativ infeksjon. Denne andelen varierte fra 2% i enkelte sykehus til 11% i andre sykehus. Risikoen for infeksjon var dobbelt så stor ved akutte keisersnitt enn ved planlagte keisersnitt. Jo lenger inngrepet varte, jo større var risikoen for infeksjon. Antibiotikaprofylakse under inngrepet halverte risikoen for infeksjon.» På bakgrunn av denne informasjonen kan en umiddelbart iverksette relevante tiltak for å begrense risikoen for infeksjon.

    Alle pasienter som registreres, vil bli fulgt opp under oppholdet i virksomheten. I henhold til kriterier for å definere infeksjonene er det i visse tilfeller nødvendig å følge opp pasienter også etter utskriving fra virksomheten. Dette gjelder uavhengig av om pasienten utskrives til annen institusjon, eventuelt et annet sykehus eller utskrives til eget hjem. Dette gjøres allerede i dag for mange pasienter som en del av den ordinære oppfølgingen av utskrevne pasienter. Det er den enkelte virksomheten som følger opp pasientene.

    Til å begynne med vil den landsomfattende overvåkingsperioden kun vare tre måneder av gangen slik at flest mulig virksomheter kan delta. På sikt vil den nasjonale overvåkingen bli utvidet med hensyn til både lengde av overvåkingsperioden og antallet pasientgrupper.

    Til § 1-3 Registerets formål

    Registeret er primært et helseregister for oversikt over og forskning om infeksjoner i sykehustjenesten. Derfor er god oppslutning om overvåkingen og tidlig bruk av opplysningene viktig. God overvåking er kjennetegnet ved at data fører til handling.

    Mange virksomheter har etablert overvåking av sykehusinfeksjoner i henhold til den nå opphevede forskrift fra 1996 om smittevern i helseinstitusjoner – sykehusinfeksjoner. Fra og med 1. juli 2005 er denne erstattet av forskrift om smittevern i helse- og omsorgstjenesten som viderefører kravet om infeksjonsovervåking internt i virksomheten. Denne overvåkingen fungerer som et verktøy for det praktiske smittevernarbeidet lokalt i virksomheten. Norsk overvåkingssystem for infeksjoner i sykehustjenesten skal ikke erstatte, men utfylle denne overvåkingen. Systemet skal gi en nasjonal tilleggsgevinst utover den som kan oppnås i den enkelte virksomhet. Det gjelder blant annet på følgende områder:

    -Sammenlikning av infeksjonsforekomsten i ulike virksomheter.
    -Forskning om årsaker til sykehusinfeksjoner i et register som inneholder tilstrekkelig mange pasienter.
    -Nasjonal oversikt over forekomst av sykehusinfeksjoner.

    Registeret har positive tilleggseffekter for de enkelte deltakende virksomhetene. Nasjonalt folkehelseinstitutt har utarbeidet en nasjonal mal for overvåkingen med felles kodeverk og registreringsmetoder, og dette vil gjøre det lettere å komme i gang med overvåkingen lokalt. Virksomhetene vil få veiledning om datatekniske løsninger, og de kan sammenlikne seg med andre virksomheter som har utført overvåkingen på tilsvarende måte. I tillegg får forskere ved virksomhetene tilgang til et nasjonalt register for forskning om årsaker til sykehusinfeksjoner.

    Andre ledd angir hvilke andre formål opplysningene i registeret kan brukes til. Det tenkes her særlig på tiltak som styrker helse- og omsorgstjenesten og helseforvaltningen. Også ved bruk av opplysninger fra registeret til statistikk og forskning, som ikke fremgår av første ledd, er det et overordnet krav om at bruken skjer for å fremme helsemessige formål.

    Til § 1-4 Forbud mot bruk

    Bestemmelsen forbyr bruk av opplysninger i registeret til visse formål. Det heter i bestemmelsen at opplysningene i registeret ikke kan anvendes til formål som er uforenlig med formålet som er nevnt i § 1-3. Bestemmelsen følger naturlig av helseregisterloven § 11 tredje ledd. Spørsmålet om bruk av opplysningene er uforenlig med formål som nevnt i § 1-3, må avgjøres konkret.

    Til § 1-5 Databehandlingsansvarlig

    Bestemmelsen fastslår at Nasjonalt folkehelseinstitutt er databehandlingsansvarlig for innsamling og behandling av opplysninger i registeret. Ansvarsplasseringen ivaretar hensynet til en samlet og overordnet styring av landets sentrale epidemiologiske helseregistre og gir Nasjonalt folkehelseinstitutt mulighet for å oppfylle sine plikter i smittevernloven og i henhold til forskrift om smittevern i helse- og omsorgstjenesten.

    Til § 1-6 Databehandler

    I følge bestemmelsen kan Nasjonalt folkehelseinstitutt inngå skriftlig avtale med en databehandler om innsamling og behandling av helseopplysninger i registeret.

    Databehandler er i helseregisterloven § 2 nr. 9 definert som den som behandler helseopplysninger på vegne av den databehandlingsansvarlige. Det følger av helseregisterloven § 18 at en databehandler ikke kan behandle helseopplysninger på annen måte enn det som er skriftlig avtalt med den databehandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til andre for lagring eller bearbeidelse.

    Det følger av helseregisterloven § 29 og § 30 at Datatilsynet skal informeres om navn og adresse til eventuell databehandler, og om hvem som har det daglige ansvaret for å oppfylle den databehandlingsansvarliges plikter etter forskriften.

    Til § 1-7 Opplysninger i registeret

    Registeret inneholder ikke direkte personidentifiserende opplysninger eller andre personentydige data. Registeret inneholder avidentifiserte data.

    Bestemmelsens nr. 1 refererer seg til personlige opplysninger som skal registreres. Dette er bare kjønn og alder samt virksomhetens løpenummer.

    Bestemmelsens nr. 2 refererer seg til administrative opplysninger som for eksempel opplysninger om virksomheten og avdeling der pasienten var innlagt og datoer for innlegging, utskriving og senere oppfølging. Med pasientnært utstyr menes for eksempel respirator og invasive katetre.

    Bestemmelsens nr. 3 refererer seg til medisinske opplysninger. De medisinske opplysningene er viktige for en riktig klassifikasjon av eventuell infeksjon, for vurdering av sikkerheten av diagnosen og for vurdering av følgetilstander av sykdommen. Opplysninger om disponerende og forebyggende faktorer er viktig for å kunne sammenlikne de pasienter som fikk og de som ikke fikk en infeksjon.

    Hvilke opplysninger som nærmere skal meldes og på hvilken måte dette skal skje, framgår av meldingsskjemaet som fastsettes av Helsedirektoratet, jf. § 2-3.

    Til § 1-8 Koding og klassifisering av opplysningene i registeret, krav til dokumentasjon, kvalitetskontroll

    Bestemmelsen omhandler koding og klassifisering av opplysninger i registeret og setter krav til dokumentasjon.

    Det er slått fast i første ledd at Nasjonalt folkehelseinstitutt ved enhver registrering i registeret skal kunne dokumentere hvilke kodeverk eller klassifikasjoner som er brukt. Hensikten med bestemmelsen er å lette tilgjengeligheten på opplysningene i registeret. Opplysningene som sendes inn til registeret, registreres der i kodet form. For at innholdet i registeret og de medisinske opplysninger skal bli tilgjengelig og forståelig for dem som skal bruke opplysningene i konkrete forskningsprosjekter mv., må brukerne vite hva de ulike kodene betyr, dvs. den kodete informasjonen må oversettes til norsk språk eller medisinsk terminologi. Kodeverket publiseres i en nasjonal mal for overvåkingen som må legges til grunn for meldingen. Malen utarbeides av Nasjonalt folkehelseinstitutt.

    Til kapittel 2. Melding av helseopplysninger til registeret mv.

    Til § 2-1 Virksomhetenes deltaking i overvåkingssystemet

    Nærmere bestemte sykehus og dagkirurgiske klinikker, som har pasienter i de gitte gruppene, skal delta i de gjeldende overvåkingsperiodene. Nasjonalt folkehelseinstitutt kan imidlertid unntaksvis unnta visse virksomheter når nytten av deres deltaking anses som liten, for eksempel fordi de ikke utfører visse operasjoner eller prosedyrer.

    Til § 2-2 Helsepersonellets meldingsplikt av opplysninger til registeret

    Det er helsepersonell ved de virksomheter som er omfattet av overvåkingssystemet, som skal melde opplysninger til registeret. Helsepersonellet har plikt til å melde opplysningene uavhengig taushetsplikten jf. helseregisterloven § 9 og helsepersonelloven § 23 nr. 5 og § 37.

    Til § 2-3 Meldingsskjema, formkrav

    Helsedirektoratet fastsetter hvilke skjemaer som skal benyttes og kan bestemme at meldingene skal gis på annen måte enn ved skjema, for eksempel ved elektronisk overføring. Nasjonalt folkehelseinstitutt stiller et datasystem til disposisjon. Som utgangspunkt er det tilstrekkelig at opplysningene om alle pasientene i en overvåkingsperiode oversendes til Nasjonalt folkehelseinstitutt samlet fra virksomheten etter at perioden er over.

    Det heter i annet ledd at Helsedirektoratet kan gi pålegg om bruk av standardiserte meldingsformater ved forsendelsen av opplysningene. Krav om bruk av bestemt meldingsformat kan særlig være aktuelt ved elektronisk meldingsformidling. Meldingsformatet publiseres i den nasjonale malen for overvåkingen, som utarbeides av Nasjonalt folkehelseinstitutt, og som skal legges til grunn for meldingene.

    Til § 2-4 Virksomhetens plikter

    Det følger av bestemmelsen at ledelsen ved virksomheter som er omfattet av overvåkingssystemet, er ansvarlige for at opplysninger registreres og meldes etter § 2-2 og § 2-3, for at pliktene oppfylles, og de skal sørge for at det finnes rutiner og standarder for dette. Virksomheten må ha utarbeidet systemer som sikrer at meldingsskjemaet sendes videre til registeret. Elektronisk formidling av opplysningene forutsetter at tilstrekkelig informasjonssikkerhet er ivaretatt.

    Mottaker av resultatene er Nasjonalt folkehelseinstitutt. Andre som har særlig nytte av registeret, for eksempel de regionale helseforetaks kompetansesentre for sykehushygiene, kan bestille data fra registeret etter bestemmelsene i § 3-1 og § 3-2.

    Til § 2-5 Rapportering fra registeret

    En kjernefunksjon i registeret er den regelmessige tilbakemeldingen om situasjonen vedrørende infeksjoner i sykehustjenesten. Dette er viktig for at smittevernmyndighetene, sykehusene, ledelsen ved private virksomheter og fagmiljøene kan iverksette nødvendige tiltak. Nasjonalt folkehelseinstitutt gir ut en årsrapport. På sikt kan denne publiseringen erstattes av en minst like hyppig oppdatert publisering på Internett.

    Nasjonalt folkehelseinstitutt vil også rapportere tilbake til de meldende virksomheter om deres egen situasjon sammenliknet med et gjennomsnitt av andre virksomheter. Det tas sikte på at denne tilbakemeldingen skal skje på Internett.

    Nasjonalt folkehelseinstitutt er oppnevnt kontaktpunkt for rapportering til Kommisjonen jf. Beslutning 2119/98/EF. Data skal rapporteres fra Nasjonalt folkehelseinstitutt via Hospital in Europe Link for Infection Control through Surveillance (HELICS) til Kommisjonen en gang per år.

    Rapporteringen dreier seg om avidentifiserte opplysninger uten personidentifikasjon som alder i år, kjønn, innleggelsesdato, utskrivingsdato og oppfølgingsdatoer. I tillegg rapporteres operasjonskode, -dato og -varighet, renhetsgrad av inngrepet og ASA klassifikasjon, samt informasjon om infeksjonsstatus. Hvilke data som skal videresendes er spesifisert i mal utarbeidet av HELICS.

    Til kapittel 3. Behandling av helseopplysninger i registeret

    Til § 3-1 Plikt til å utlevere ikke koblede data til forskning mv.

    Første ledd gir en tidsfrist for hvor raskt en bestilling av data fra registeret skal effektueres.

    Bestemmelsen regulerer tilgang til ikke-koblede data fra registeret. Prosjekter som gjør bruk av ikke-koblede data, reguleres på samme måte som prosjekter som gjør bruk av koblede data. Bruk av denne bestemmelsen forutsetter at den eksterne mottakeren ikke har egne data som kan kobles på data som utleveres.

    Til § 3-2 Annen behandling av data fra registeret

    Bestemmelsen åpner for at opplysninger fra registeret etter Datatilsynets tillatelse kan sammenstilles med andre opplysninger om de registrerte personene fra andre kilder. Siden registeret ikke inneholder personentydige data, må virksomheten som skal sammenstille dataene, få persondataene fra virksomhetene. Utlevering av helseopplysninger kan kreve at Helsedirektoratet gir dispensasjon fra taushetsplikten jf. helsepersonelloven § 29 eller at den opplysningene kan knyttes til, samtykker.

    Til § 3-3 Informasjonsstrategi rettet mot brukergrupper

    Bestemmelsen fastslår at Nasjonalt folkehelseinstitutt skal ha en aktiv informasjonsstrategi og -plan rettet mot brukergrupper. Forskriften krever ikke at denne planen skal være skriftlig. Innholdet i kravet går på å ha et bevisst åpent og positivt forhold til å samhandle med ulike forskningsmiljøer og andre brukergrupper. Det er et selvstendig mål at dataene blir brukt i forskningsprosjekter utenfor registeret, til kvalitetsforbedring av pasientbehandlingen i virksomhetene og til planlegging av helse- og omsorgstjenesten. En effektiv bruk av data fra registeret kan best gjennomføres ved at Nasjonalt folkehelseinstitutt informerer helseforetak, helseplanleggere, helseadministratorer, forskere mv. om hvilke muligheter registeret gir til kunnskapsoppbygging og -utvikling.

    Til § 3-4 Kostnader

    Bestemmelsen gir adgang til å kreve betaling for bearbeiding av data fra registeret. Betalingen kan ikke overstige de faktiske utgiftene ved behandlingen av opplysningene.

    Bestemmelsen innebærer ikke at en skal kreve kostnadsdekning av alle datautleveringer fra registeret. Kostnader forbundet med utlevering av statistikk bør kunne dekkes av ordinære driftsmidler. Det samme gjelder behandling og tilrettelegging av opplysninger for en virksomhet, når opplysningene er de som virksomheten eller dens underliggende enheter selv har meldt til registeret. Det kan for eksempel gjelde tilrettelegging og utlevering av opplysninger til et regionalt helseforetak eller et helseforetak.

    Til § 3-5 Oversikt over utleveringer

    Bestemmelsen pålegger den databehandlingsansvarlige for registeret å føre oversikt over hvem som får utlevert opplysninger fra registeret og hjemmelsgrunnlaget for utleveringene.

    Til kapittel 4. Informasjonssikkerhet og internkontroll

    Til § 4-1 Informasjonssikkerhet

    Første ledd viser til helseregisterloven §§ 16 flg. Bestemmelsen pålegger Nasjonalt folkehelseinstitutt og databehandleren å sørge for tilfredsstillende informasjonssikkerhet ved behandling av helseopplysninger. Dette omfatter blant annet et ansvar for å sørge for at tilstrekkelig sikkerhetsfaglig kompetanse er tilgjengelig. I tillegg til ansvar for sikkerheten i egen organisasjon må Nasjonalt folkehelseinstitutt også forsikre seg om at informasjonssikkerheten er tilfredsstillende hos kommunikasjonspartnere og leverandører. Begrepet informasjonssikkerhet omfatter:

    -sikring av konfidensialitet, dvs. beskyttelse mot at uvedkommende får innsyn i opplysningene, herunder sikkerhet for at reglene om taushetsplikt overholdes,
    -sikring av integritet, dvs. beskyttelse mot utilsiktet endring av opplysningene,
    -sikring av tilgjengelighet, dvs. sørge for at tilstrekkelige og relevante opplysninger er til stede,
    -sikring av kvalitet, dvs. sørge for at opplysningene er riktige.

    Tilfredsstillende informasjonssikkerhet skal oppnås ved hjelp av planlagte og systematiske tiltak. Dette innebærer at anerkjente teknikker og standarder for kvalitetsstyring, internkontroll og informasjonssikkerhet skal legges til grunn ved sikkerhetsarbeidet. De tiltak som etableres, skal være både organisatoriske og tekniske. Sikkerhetstiltakene og selve informasjonssystemet skal kunne dokumenteres.

    Annet ledd gjelder ved helt eller delvis elektronisk behandling av helseopplysningene. I slike tilfeller gjelder personopplysningsforskriften § 2-1 til § 2-16. Bestemmelsene er en videreføring av dagens sikkerhetskrav.

    Forsettlig eller grovt uaktsom overtredelse av denne bestemmelsen straffes med hjemmel i § 6-1.

    Til § 4-2 Plikt til internkontroll

    Bestemmelsen pålegger Nasjonalt folkehelseinstitutt en plikt til å innføre og utøve internkontroll i samsvar med helseregisterloven § 17. Tiltakene skal ifølge § 17 annet ledd dokumenteres, og dokumentasjonen skal være tilgjengelig for medarbeidere og tilsynsmyndighetene.

    Databehandlere skal behandle opplysninger i samsvar med rutiner Nasjonalt folkehelseinstitutt har oppstilt.

    Det følger av helseregisterloven § 31 at både Datatilsynet og Statens helsetilsyn skal føre tilsyn med at bestemmelsene i forskriften etterleves.

    Forsettlig eller grovt uaktsom overtredelse av denne bestemmelsen straffes med hjemmel i § 6-1.

    Til § 4-3 Internkontrollens innhold

    Bestemmelsen gir regler om internkontrollens innhold. Formuleringen av bestemmelsen har tatt mønster av internkontrollbestemmelsen i personopplysningsforskriften.

    Forsettlig eller grovt uaktsom overtredelse av denne bestemmelsen straffes med hjemmel i forskriften § 6-1.

    Til kapittel 5. Bevaring av helseopplysninger i registeret

    Til § 5-1 Bevaring av helseopplysninger

    Det går fram av bestemmelsen at opplysninger i registeret skal bevares i ubegrenset tid, med mindre annet følger av helseregisterloven § 26 eller § 28.

    Helseregisterloven § 26 regulerer retting av mangelfulle opplysninger. Bestemmelsen pålegger den databehandlingsansvarlige et ansvar for å rette opplysninger som er uriktige eller ufullstendige. Det samme gjelder dersom det er behandlet helseopplysninger etter forskriften som det ikke er adgang til å behandle. Den databehandlingsansvarlige kan foreta opprettingen av eget tiltak eller etter begjæring fra den registrerte. Den databehandlingsansvarlige skal om mulig sørge for at feilen ikke får betydning for den registrerte. Dersom opplysningene er utlevert, skal den databehandlingsansvarlige varsle mottakere av utleverte opplysninger om dette.

    Helseregisterloven § 28 gir regler om sletting eller sperring av helseopplysninger som føles belastende for den registrerte. Bestemmelsen fastslår at den registrerte kan kreve at helseopplysninger som behandles etter denne forskriften, skal slettes eller sperres, dersom behandling av opplysningene føles sterkt belastende for den registrerte og det ikke finnes sterke allmenne hensyn som tilsier at opplysningene behandles. Krav om sletting eller sperring av slike opplysninger rettes til den databehandlingsansvarlige for opplysningene. Datatilsynet kan, etter at Riksarkivaren er hørt, treffe vedtak om at retten til sletting etter første ledd går foran reglene i arkivloven 4. desember 1992 nr. 126 § 9 og § 18. Hvis dokumentet som inneholdt de slettede opplysningene, gir et åpenbart misvisende bilde etter slettingen, skal hele dokumentet slettes.

    For øvrig vil arkivloven og forskrifter i medhold av arkivloven komme til anvendelse.

    Til kapittel 6. Avsluttende bestemmelser

    Til § 6-1 Straff

    Bestemmelsen er en straffebestemmelse og gir adgang til å idømme straff ved overtredelse av bestemmelsene i § 4-1 til § 4-3.

    Helseregisterloven gir også andre sanksjonsmuligheter ved overtredelse av loven eller forskrift i medhold av loven. Det er adgang til å gi pålegg om opphør av behandling av helseopplysninger eller stille vilkår for behandlingen samt å ilegge tvangsmulkt. Videre kan den registrerte i visse tilfeller kreve erstatning, dersom det er behandlet helseopplysninger i strid med forskriften. Disse bestemmelsene er allmenne og generelle, og gjelder uavhengig av om de er inntatt i forskriften eller ikke. Det vises til helseregisterloven § 32, § 33 og § 35.

    Til § 6-2 Ikrafttredelse

    Bestemmelsen fastslår at denne forskriften trer i kraft 1. juli 2005.

    0Merknader endret ved forskrift 17 jan 2013 nr. 61.