Kapittel 3. Alminnelige bestemmelser om behandling av helseopplysninger

Enhver som behandler helseopplysninger etter denne loven, har taushetsplikt etter helsepersonelloven §§ 21 flg. Andre som får adgang eller kjennskap til helseopplysninger fra helseregistre, har samme taushetsplikt. For søknader om dispensasjon fra taushetsplikten for tilgjengeliggjøring av opplysninger i helseregistre gjelder § 19 e.

Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger som behandles etter denne loven, uten særskilt hjemmel i lov eller forskrift.

Dataansvarlige for helseregistre kan utarbeide og offentliggjøre relevant statistikk basert på helseopplysninger i registeret og opplysninger som er sammenstilt etter § 19 c.

Dataansvarlige for helseregistre som er etablert med hjemmel i § 11 skal utarbeide og løpende offentliggjøre relevant statistikk som nevnt i første ledd. Departementet kan gi forskrift om at også andre dataansvarlige skal utarbeide statistikk.

Dataansvarlige for helseregistre skal på forespørsel utarbeide og tilgjengeliggjøre statistikk basert på opplysninger i registeret og opplysninger som er sammenstilt etter § 19 c, dersom statistikken skal brukes til formål som er innenfor registrenes formål.

Utarbeidet statistikk skal være anonym.

Forskrifter

Den dataansvarlige skal etter søknad tilgjengeliggjøre helseopplysninger i helseregistre, inkludert opplysninger som er sammenstilt etter § 19 c, når

  1. opplysningene skal brukes til et uttrykkelig angitt formål som er innenfor registerets formål,
  2. mottakeren kan godtgjøre at behandlingen vil ha rettslig grunnlag etter personvernforordningen artikkel 6 og 9,
  3. mottakeren kan godtgjøre at behandlingen av opplysningene vil være innenfor rammene av eventuelle samtykker og ikke i strid med eventuelle reservasjoner, og
  4. mottakeren har gjort rede for hvilke egnede tekniske og organisatoriske tiltak som skal settes i verk for å ivareta informasjonssikkerheten.

Det skal ikke tilgjengeliggjøres flere opplysninger enn det som er nødvendig for formålet. Opplysningene skal tilgjengeliggjøres uten navn, fødselsnummer eller andre personidentifiserende kjennetegn med mindre slike opplysninger av særlige grunner er nødvendige.

Tilgjengeliggjøring kan bare skje når den registrerte har samtykket, tilgjengeliggjøringen omfattes av andre unntak fra taushetsplikten, eller det er gitt dispensasjon.

Den dataansvarlige kan sette som vilkår for tilgjengeliggjøring at mottakeren setter i verk særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.

Opplysningene kan bare tilgjengeliggjøres dersom det er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn. For tilgjengeliggjøring til medisinsk og helsefaglig forskning skal mottakeren ha fått forhåndsgodkjenning fra den regionale komiteen for medisinsk og helsefaglig forskningsetikk, jf. helseforskningsloven § 33.

Dersom det er gitt dispensasjon fra taushetsplikten etter § 19 e, skal opplysningene tilgjengeliggjøres i samsvar med dispensasjonsvedtaket uten at den dataansvarlige skal vurdere om vilkårene i første til femte ledd i bestemmelsen her er oppfylt.

Departementet kan gi forskrift om den dataansvarliges plikt og adgang til å tilgjengeliggjøre opplysninger som er overført til løsningen etter § 20.

Taushetsplikten er ikke til hinder for tilgjengeliggjøring av indirekte personidentifiserbare helseopplysninger i registre som er etablert med hjemmel i § 11, dersom hensynet til den registrertes integritet og konfidensialitet er ivaretatt og behandlingen av opplysningene er av vesentlig interesse for samfunnet.

Helseopplysninger i helseregistre etablert med hjemmel i §§ 8 til 12 og demografiske og sosioøkonomiske personopplysninger i Folkeregisteret og andre offentlige registre, kan sammenstilles for å utarbeide statistikk som skal tilgjengeliggjøres etter § 19 eller for å tilgjengeliggjøre opplysninger etter § 19 a. Det skal ikke sammenstilles flere opplysninger enn det som er nødvendig for formålet.

Sammenstillingen skal være i samsvar med eventuelle samtykker eller reservasjoner. Opplysninger i helseregistre etablert med hjemmel i § 9 første ledd bokstav b kan bare sammenstilles dersom sammenstillingen skjer uten at den dataansvarlige har tilgang til navn, fødselsnummer eller andre personidentifiserende kjennetegn.

Sammenstillingen skal gjøres av den dataansvarlige for et av registrene eller en virksomhet som departementet utpeker.

Som ledd i kvalitetskontroll av opplysningene i registeret kan den dataansvarlige også gjennomføre rutinemessige sammenstillinger med tilsvarende opplysninger i helseregistre hjemlet i § 11 og § 12 og i Folkeregisteret.

Dataansvarlige kan tilgjengeliggjøre opplysninger for sammenstilling uten hinder av taushetsplikten.

Kongen i statsråd kan gi forskrift om at opplysningene i registeret som ledd i kvalitetskontroll også kan sammenstilles med opplysninger i originalkilden (pasientjournal mv.).

Forskrifter

Helseopplysningene kan ikke gjøres tilgjengelige for påtalemyndigheten eller til bruk for arbeidsgivere eller forsikringsøyemed selv om den registrerte samtykker.

Departementet kan etter søknad bestemme at helseopplysninger fra helseregistre skal tilgjengeliggjøres uten hinder av taushetsplikt etter § 17, når

  1. opplysningene skal brukes til et uttrykkelig angitt formål som er innenfor registerets formål,
  2. mottakeren har gjort rede for hvilke egnede tekniske og organisatoriske tiltak som skal settes i verk for å ivareta informasjonssikkerheten, og
  3. behandlingen av opplysningene er av vesentlig interesse for samfunnet.

Det skal ikke tilgjengeliggjøres flere opplysninger enn det som er nødvendig for formålet. Opplysningene skal tilgjengeliggjøres uten navn, fødselsnummer eller andre personidentifiserende kjennetegn med mindre slike opplysninger av særlige grunner er nødvendige.

Departementet kan sette som vilkår for tilgjengeliggjøring at mottakeren setter i verk særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.

Det kan bare gis dispensasjon dersom tilgjengeliggjøringen er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn. For tilgjengeliggjøring til medisinsk og helsefaglig forskning skal mottakeren ha fått forhåndsgodkjenning fra den regionale komiteen for medisinsk og helsefaglig forskningsetikk, jf. helseforskningsloven § 33.

Myndigheten etter første ledd kan delegeres til et underordnet forvaltningsorgan eller legges til den regionale komiteen for medisinsk og helsefaglig forskningsetikk.

Forskrifter

Den dataansvarlige skal tilgjengeliggjøre helseopplysninger etter § 19 tredje ledd og § 19 a innen 30 virkedager fra en fullstendig søknad er mottatt. Dersom tilgjengeliggjøringen krever sammenstilling med opplysninger fra flere registre, er fristen 60 virkedager.

Tilgjengeliggjøringen kan utsettes dersom særlige forhold gjør det uforholdsmessig vanskelig å overholde fristen. Den dataansvarlige skal i så fall gi et foreløpig svar med informasjon om grunnen til forsinkelsen og tidspunktet for når tilgjengeliggjøring sannsynligvis vil skje.

Den dataansvarlige kan kreve betaling for tilrettelegging av statistikk og annen behandling av helseopplysninger etter § 19 til § 19 e. Betalingen kan ikke overstige de faktiske utgiftene knyttet til tilgjengeliggjøring av opplysninger fra registeret, inkludert utgifter knyttet til saksbehandling, uttrekk, tilrettelegging, sammenstilling og utarbeiding av statistikk.

Den dataansvarlige skal føre en oversikt over tilgjengeliggjøring av helseopplysninger fra registeret. Oversikten skal vise hvem som har fått opplysningene, og hva som er det rettslige grunnlaget for mottakerens bruk av opplysningene.

Oversikten skal oppbevares i minst ti år etter tilgjengeliggjøringen.

Departementet kan gi forskrift om en nasjonal organisatorisk og teknisk løsning for utarbeidelse av statistikk og for sammenstilling og tilgjengeliggjøring, av helseopplysninger fra helseregistre. Demografiske og sosioøkonomiske personopplysninger i Folkeregisteret og andre offentlige registre kan også inngå i løsningen.

Løsningen skal legges til et organ underordnet departementet. Organet skal ha dataansvaret for mottak, lagring, sammenstilling, tilgjengeliggjøring og annen behandling av helseopplysninger og andre personopplysninger som inngår i løsningen. Oppgaver knyttet til hele eller deler av løsningen kan utføres av en databehandler.

Opplysningene kan mottas, lagres og behandles på andre måter som et ledd i utarbeidelse av statistikk og tilgjengeliggjøring fra plattformen. Utarbeidelse av statistikk, tilgjengeliggjøring og sammenstilling skal skje i samsvar med vilkårene i §§ 19 til 19 h. Overføring av opplysninger til løsningen kan skje uten hinder av taushetsplikt.

Forskriften skal fastsette hvilke datakilder og opplysninger som skal omfattes av løsningen. Forskriften kan også inneholde bestemmelser om

  1. ansvar og oppgaver for organet som løsningen er lagt til
  2. ansvar og oppgaver for dataansvarlige for registrene som omfattes, inkludert plikt til å overføre kvalitetssikrede opplysninger til løsningen og plikt til å tilgjengeliggjøre opplysninger
  3. krav til den organisatoriske og tekniske løsningen for å ivareta informasjonssikkerheten, innbyggertjenester og andre personvernkrav
  4. krav til mottaker av opplysningene om dekning av utgifter knyttet til tilgjengeliggjøring etter § 19 g og utgifter til forvaltning, drift og videreutvikling av løsningen
  5. krav til mottaker av opplysningene om publisering eller retur av analyseresultater.

Forskrifter

Departementet kan gi forskrift om at kommuneleger kan få tilgjengeliggjort opplysninger fra Dødsårsaksregisteret uten hinder av taushetsplikt.

Forskrifter

Den dataansvarlige og databehandleren skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32. Den dataansvarlige og databehandleren skal blant annet sørge for tilgangsstyring, logging og etterfølgende kontroll. I registre som er etablert med hjemmel i §§ 10 eller 11, skal navn, fødselsnummer og andre personidentifiserende kjennetegn lagres kryptert.

Departementet kan i forskrift fastsette nærmere krav til informasjonssikkerhet ved behandling av helseopplysninger.

Forskrifter