§ 1-1.Formål

Forskriften skal sikre at innsamling og annen behandling av helseopplysninger i Kommunalt pasient- og brukerregister foretas på en etisk forsvarlig måte, ivaretar den enkeltes personvern og er til individets og samfunnets beste.

Registeret skal gi sentrale og kommunale myndigheter grunnlag for planlegging, styring, finansiering og evaluering av kommunale helse- og omsorgstjenester.

Helseopplysninger som er samlet inn til formålene angitt i andre ledd skal kunne brukes til kvalitetsforbedring, forebyggende arbeid, beredskap, analyser, forskning og Nasjonal kjernejournal.

§ 1-2.Virkeområde

Forskriften gjelder innsamling og annen behandling av helseopplysninger i Kommunalt pasient- og brukerregister om personer som har søkt, mottar eller har mottatt helse- og omsorgstjenester fra den kommunale helse- og omsorgstjenesten, fra virksomheter som yter tannhelsetjenester og fra private uten driftsavtale med kommune eller fylkeskommune som yter helse- og omsorgstjenester på kommunalt nivå.

§ 1-3.Dataansvarlig, databehandler og fagråd

Folkehelseinstituttet er dataansvarlig for registeret. Behandling av helseopplysninger skal skje i en avgrenset organisatorisk enhet i Folkehelseinstituttet.

Den dataansvarlige kan inngå avtale med databehandlere om behandling av opplysningene på vegne av Folkehelseinstituttet. Avtalene skal være skriftlige.

Den dataansvarlige skal opprette et fagråd hvor minst pasient- og brukerorganisasjonene, de kommunale helse- og omsorgstjenestene og de regionale helseforetakene er representert. Den dataansvarlige skal forelegge saken for fagrådet før det fattes beslutninger av vesentlig betydning for registerets innhold og behandling av opplysninger.

§ 2-1.Opplysningstyper som kan registreres

Når det er nødvendig for registerets formål, jf. § 1-1 andre ledd, kan følgende opplysningstyper registreres:

Opplysningstypene som nevnt i § 2-1 bokstav a til g kan registreres i registeret uten samtykke fra den registrerte.

§ 2-2.Rett til å motsette seg behandling av helseopplysninger

Den registrerte kan motsette seg registrering av helseopplysninger om skolehelsetjenester, helsestasjonstjenester og andre helsefremmende og forebyggende tjenester og svangerskaps- og barselsomsorgstjenester jf. helse- og omsorgstjenesteloven § 3-2 første ledd nr. 1 og 2, og tannhelsetjenester. Dette gjelder likevel ikke opplysninger etter denne forskriften § 2-1 første ledd bokstav a, b og c som er knyttet til disse tjenestene.

Den registrerte kan motsette seg at helseopplysninger gjøres tilgjengelig fra registeret for formål som er nevnt i § 1-1 tredje ledd. Det samme gjelder tilgjengeliggjøring av helseopplysninger sammen med direkte personidentifiserende kjennetegn (fødselsnummer eller annen personidentifikator), jf. § 4-3 og § 4-5. Første og andre punktum gjelder ikke tilgjengeliggjøring for sammenstilling etter § 4-2.

§ 3-1.Plikt til å melde opplysninger til registeret

Virksomheter som yter helse- og omsorgstjenester etter helse- og omsorgstjenesteloven § 3-2, virksomheter som yter tannhelsetjenester og Helsedirektoratet skal sørge for at opplysninger som nevnt i § 2-1 blir meldt inn til registeret i samsvar med kravene etter § 3-2. Virksomhetene skal sørge for at det finnes rutiner som sikrer dette.

Helsedirektoratet kan gi forskrifter om plikt til å melde opplysninger for private tjenesteytere uten driftsavtale med kommune eller fylkeskommune som yter helse- og omsorgstjenester på kommunalt nivå, jf. helsepersonelloven § 37.

Lovbestemt taushetsplikt er ikke til hinder for at opplysningene meldes inn til registeret.

Første og tredje ledd gjelder også for privatfinansierte virksomheter som yter helse- og omsorgstjenester uten driftsavtale med kommune eller fylkeskommune, herunder tannhelsetjenester.

§ 3-2.Konkrete opplysninger, rutiner mv.

Den dataansvarlige fastsetter hvilke tjenesteytere og hvilke konkrete opplysninger etter § 2-1 som skal meldes inn. Den dataansvarlige kan også fastsette tidsfrister og krav om bruk av bestemte klassifikasjonssystemer, kodeverk og standardiserte meldingsformater ved innmeldingen.

§ 3-3.Kvalitetskontroll i registeret og tilbakeføring

Den dataansvarlige skal kvalitetskontrollere helseopplysningene som behandles i registeret.

Kvalitetskontrollerte helseopplysninger skal rutinemessig tilbakeføres til kommunene og andre virksomheter som har meldt inn opplysningene.

Som ledd i kvalitetskontrollen kan helseopplysningene også sammenholdes med opplysninger i originalkilden (pasientjournal mv.). Dette skal skje hos virksomheten som har meldt inn opplysningene. Opplysninger som gjøres tilgjengelig skal være tilstrekkelige og relevante for den kvalitetskontrollen som skal gjennomføres.

§ 3-4.Innmelding av pasient- og brukerrapporterte opplysninger

Den dataansvarlige skal legge til rette for at pasientene og brukerne selv kan melde inn person- og helseopplysninger til registeret, jf. § 2-1 første ledd bokstav h.

§ 4-1.Tilgjengeliggjøring og annen behandling av helseopplysninger

Helseopplysninger i Kommunalt pasient- og brukerregister skal behandles i samsvar med personvernforordningen, personopplysningsloven og de alminnelige vilkårene i helseregisterloven § 6 og reglene om taushetsplikt i helseregisterloven § 17, jf. helsepersonelloven §§ 21 flg.

Ved tilgjengeliggjøring og sammenstilling av opplysninger i registeret gjelder i tillegg helseregisterloven § 19 til § 19h.

§ 4-2.Tilrettelegging og tilgjengeliggjøring for andre registre

Den dataansvarlige kan tilrettelegge og tilgjengeliggjøre tilstrekkelige og relevante opplysninger fra registeret til andre helseregistre som har hjemmel i helseregisterloven § 9, § 10 og § 11 eller annen lov, for etablering, drift og kvalitetsutvikling i samsvar med loven eller forskriften for det aktuelle registeret, og til Nasjonal kjernejournal, jf. pasientjournalloven § 13. Tilrettelegging skal ikke føre til at Kommunalt pasient- og brukerregister tilføres flere opplysninger enn det som følger av § 2-1.

Har den registrerte motsatt seg at helseopplysninger gjøres tilgjengelig fra registeret sammen med direkte personidentifiserende kjennetegn (fødselsnummer eller annen personidentifikator), jf. § 2-2 gjelder dette også for tilgjengeliggjøring etter første ledd, med mindre annet følger av samtykke eller er bestemt med hjemmel i lov.

Ved tilgjengeliggjøring etter denne bestemmelsen gjelder fristene i helseregisterloven § 19f.

§ 4-3.Bevaring av helseopplysninger

Helseopplysninger i registeret kan oppbevares i ubegrenset tid med mindre annet følger av helseregisterloven § 25 eller annen lovgivning. Den registrerte kan kreve at opplysningene om en selv slettes etter 30 år og senest 10 år etter ens død.

§ 5-1.Informasjonssikkerhet

Den dataansvarlige og databehandlere som den dataansvarlige har inngått avtale med, skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32 og helseregisterloven § 21.

§ 5-2.Kryptering og tilgang til opplysninger

Fødselsnummer og andre direkte personidentifiserende kjennetegn skal separeres og lagres kryptert og adskilt fra andre registeropplysninger.

Bare autorisert personell som utfører tjenester eller arbeid mot registeret og arbeider under den dataansvarliges eller databehandlers instruksjonsmyndighet, kan gis tilgang til identifiserende opplysninger i registeret. Tilgangen kan ikke være mer omfattende enn det som er nødvendig for vedkommendes arbeid.

Bare spesielt autoriserte personer som har behov for det i arbeidet, skal ha tilgang til ukrypterte helseopplysninger med direkte personidentifiserende kjennetegn (fødselsnumre eller annen personidentifikasjon).

§ 6-1.IPLOS-registeret

Pseudonyme IPLOS-opplysninger fra 2006 til 2017 kan bevares i ubegrenset tid, med mindre annet følger av denne forskriften eller helseregisterloven § 25. De pseudonyme opplysningene kan brukes i samsvar med forskrift 17. februar 2006 nr. 204 om pseudonymt register for individbasert helse- og omsorgsstatikk (IPLOS-forskriften).

IPLOS-opplysninger fra 2006 til 2017 kan sammenstilles med opplysninger i Kommunalt pasient- og brukerregister for utarbeidelse av statistikk, jf. IPLOS-forskriften § 5-3.

§ 7-1.Ikrafttreden

Forskriften trer i kraft 1. desember 2017.