En ny lov om helseregistre og behandling av helseopplysninger (helseregisterloven av 20.6.2014) trådte i kraft fra 1.1.2015. Samtidig fikk vi også en ny lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven). De to lovene avløste den tidligere felles helseregisterloven fra 2001 som regulerte alle typer helseregistre. 

Helseregisterloven regulerer opprettelse og bruk av registre som inneholder personidentifiserbare opplysninger fra helse- og omsorgstjenesten, og som skal gi grunnlag for statistikk, helseanalyser, forskning, kvalitetsforbedring, planlegging, styring og beredskap. Dette er såkalt sekundærbruk fordi opplysningene for en stor del er innsamlet i forbindelse med at det ytes helse og omsorgstjenester til enkeltindivider, men skal brukes til andre formål enn helsehjelp til den enkelte pasient/bruker. Opplysninger man trenger for å yte helse og omsorgstjenester til den enkelte pasient/bruker skal nedtegnes i egne registre som er regulert av pasientjournalloven. For en nærmere beskrivelse av pasientjournalloven vises det til nettsiden som omhandler denne loven.

Helseregisterloven har bestemmelser som skal sikre at personidentifiserbare opplysninger lagres og brukes på en måte som både ivaretar samfunnets interesser og den enkeltes personvern.  Loven har således både bestemmelser om etablering og bruk, taushetsplikt, innsyn og krav til samtykke m.v.

Lovens hovedregel er at registrering i et helseregister krever samtykke fra den opplysningene gjelder, men for enkelte registre har myndighetene bestemt at registering kan skje uten samtykke. Også bruk av opplysningene, til f. eks forskjellige forskningsprosjekter, krever normalt samtykke fra den personen opplysningene gjelder. Helsemyndighetene og Regionale komiteer for medisinsk og helsefaglig forskningsetikk kan i enkelte tilfeller gjøre unntak fra kravet til samtykke.

 

Typer av helseregistre / etablering av nye helseregistre

Det finnes i dag en rekke ulike helseregistre, både lokale, regionale og nasjonale. Etablering av helseregistre krever hjemmel i lovverket og reglene finner man i helseregisterlovens kapittel 2.  Hvilke formelle krav som stilles til etablering og innhold avhenger av type register. Registrene kan opprettes med følgende hjemler:

  • Registre etablert med hjemmel i loven selv, jf. helseregisterloven § 11, er lovbestemte personidentifiserbare nasjonale helseregistre som etableres uten samtykke fra den registrerte
  • Registre etablert med hjemmel i forskrift etter helseregisterloven § 9
  • Registre etablert med hjemmel i forskrift etter helseregisterloven §10
  • Registre kan etableres med konsesjon fra Datatilsynet, jf. helseregisterloven § 7

Helseregisterloven inneholder også generelle vilkår for etablering som er felles for alle registre. Se særlig § 6 (Alminnelige vilkår for å behandle helseopplysninger) og § 8 (Vilkår for etablering av helseregistre ved forskrift).

En viktig begrensning i forhold til personvernet er at graden av personidentifikasjon i helseregistre ikke skal være større enn hva som er nødvendig for det aktuelle formålet, og graden av personidentifikasjon må begrunnes. Etter helseregisterloven § 17 får også alle som behandler personidentifiserbare opplysninger fra registrene taushetsplikt i samsvar med helsepersonelloven §§ 21 flg.

Alle helseregistre må også ha en databehandlingsansvarlig som er ansvarlig for behandlingen av opplysningene i registeret og sikkerheten, se bl.a § 6, 3 ledd a-d og § 21 (Sikring av konfidensialitet, integritet og tilgjengelighet).

 

Lovbestemte personidentifiserbare nasjonale helseregistre (§ 11)

Personidentifiserbare registre der den registrerte verken har rett til samtykke eller reservasjonsrett krever egen hjemmel i selve loven, jf. helseregisterloven § 11. Pr i dag er det etablert 9 slike sentrale nasjonale helseregistre, og det tiende registeret (Kommunalt pasientregister) er lovfestet og under etablering. Alle disse registrene har også egne forskrifter som gir nærmere bestemmelser om innhold og bruk.

I helseregisterlovens § 11 er de lovbestemte helseregistrene listet opp. Disse er Dødsårsaksregisteret, Kreftregisteret, Medisinsk fødselsregister, Meldingssystem for smittsomme sykdommer, System for vaksinekontroll, Forsvarets helseregister, Norsk pasientregister, Nasjonalt register over hjerte- og karlidelser, System for bivirkningsrapportering, og Kommunalt pasientregister.

Selv om registrene er personidentifiserbare skal de ha innebygde systemer som skal ivareta personvernet ved at personopplysninger lagres adskilt fra øvrige opplysninger, at man har krypteringsløsninger, at det er streng tilgangsstyring osv.

 

Helseregistre som opprettes med hjemmel i forskrift (§§ 9-10)

Dette er registre som opprettes med hjemmel i en forskrift, jf helseregisterloven §§ 9 og 10.

Helseregistre som opprettes med hjemmel i forskrift etter helseregisterlovens § 9 må enten være basert på samtykke (§ 9 a) eller være uten personidentifiserende kjennetegn/ kun indirekte identifiserbare opplysninger (§9 b).

Indirekte identifiserbare registre er registre der det finnes en koblingsnøkkel, men hvor databehandlingsansvarlig ikke behandler eller har tilgang til direkte personidentifiserendeopplysninger. Tidligere brukte man begrepene avidentifiserte og pseudonyme opplysninger, men dette er ikke videreført i ny helseregisterlov. Her brukes nå begrepet «indirekte identifiserbart» som er et noe bredere begrep, jf definisjonen i helseregisterloven § 2 b. Eksempler på indirekte identifiserbare registre, jf § 9 b, er register for individbasert helse- og omsorgstatistikk (IPLOS), register over svangerskapsavbrudd (Abortregisteret) og reseptbasert legemiddelregister (Reseptregisteret). Genetisk masseundersøkelse av nyfødte er et eksempel på et personidentifiserbart register basert på samtykke, jf helseregisterloven § 9 a.

Helseregistre som opprettes med hjemmel i forskrift gitt etter § 10 er registre hvor det kan registreres personidentifiserbare opplysninger uten samtykke, men med en reservasjonsrett. Det vil si at det foreligger en adgang for den registrerte til å motsette seg registrering.

Registrene som opprettes med hjemmel i helseregisterloven § 9 og § 10 kan være både lokale, regionale og nasjonale registre. Lokale helseregistre er i hovedsak registre som opprettes i kommunal regi eller av helseforetak, mens regionale registre i hovedsak er opprettet av regionale helseforetak. Disse registrene omfatter både sykdomsregistre, helsetjenesteregistre, kvalitetsregistre og andre registre som ikke har pasientbehandling av individer som sitt primære formål.

 

Helseregistre som opprettes med konsesjon fra Datatilsynet (§ 7)

For de tilfellene der det ikke er aktuelt å hjemle nye registre i lov eller forskrift, kan et helseregister også etableres med konsesjon fra Datatilsynet. Det følger av helseregisterloven § 7. Dette vil for eksempel kunne være aktuelt i forbindelse med forskningsprosjekter, doktorgradsstudier m.v.

 

Medisinske kvalitetsregistre

Medisinske kvalitetsregistre opprettes for å dokumentere behandlingsresultater og gi grunnlag for kvalitetsforbedring og forskning. De etableres normalt etter samtykke fra pasienten som er lovens hovedregel. Eksempler på medisinske kvalitetsregistre er Norsk hjerneslagregister, Nasjonalt hoftebruddregister og Nasjonalt medisinsk kvalitetsregister for barne- og ungdomsdiabetes. Det finnes pr i dag (juni 2016) 52 nasjonale medisinske kvalitetsregistre. Det foreligger ingen nasjonal oversikt over det totale antallet lokale og regionale medisinske kvalitetsregistre.

 

Anonyme registre

Helseregisterlovens virkeområde er begrenset til «behandling av helseopplysninger». «Helseopplysninger» er i loven definert som «taushetsbelagte opplysninger etter helsepersonelloven § 21, og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson». Dette innebærer at helseregisterloven ikke gjelder for registre hvor alle personentydige kjennetegn er fjernet slik at opplysningene ikke lenger kan knyttes til en enkeltperson hverken direkte eller indirekte. Anonyme opplysninger reguleres derfor ikke av loven, og registre med anonyme opplysninger kan opprettes uten begrensninger.

 

Utlevering og bruk av helseregisteropplysninger til forskning

Opplysningene i helseregistrene er taushetsbelagt. Det følger av helseregisterloven § 17. Den viser til reglene om taushetsplikt i helsepersonelloven. For mer informasjon om taushetsplikten etter helsepersonelloven vises det til våre nettsider om dette.

For å kunne utlevere taushetsbelagte opplysninger fra et helseregister til en forsker må det foreligge enten et samtykke fra den som er registrert eller det må foreligge et fritak fra taushetsplikten på annet grunnlag. Slik fritak fra taushetsplikten må være hjemlet i lov eller forskrift. For de lovbestemte registrene hjemlet i helseregisterloven § 11 kan databehandlingsansvarlig, på nærmere bestemte vilkår, levere ut indirekte identifiserbare helseopplysninger til forskning. Det følger av helseregisterlovens § 20.  Dispensasjon fra taushetsplikten kan ellers gis etter helsepersonelloven §§ 29-29c eller etter helseforskningsloven. Dispensasjon fra taushetsplikten etter helseforskningsloven og helsepersonelloven § 29 (forskning) gis fra Den regionale komiteen for medisinsk og helsefaglig forskningsetikk (REK). Dispensasjon etter helsepersonelloven § 29 b (til helseanalyser, kvalitetssikring og administrasjon mv) gis fra Helsedirektoratet.

I tillegg må man ha et behandlingsgrunnlag for å samle inn, registrere og bruke helseopplysninger man får utlevert. Konsesjon fra Datatilsynet er et slikt behandlingsgrunnlag. På Datatilsynets nettsider finner man informasjon om konsesjonsplikt ved forskeres bruk av helseopplysninger.

Se også våre nettsider om helseforskningsloven og helsepersonelloven (rundskriv IS 8/2012 med kommentarer til loven).

 

Sist faglig oppdatert: 30. januar 2017

skriv ut del på facebook del på twitter