Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

2. Juridiske problemstillinger

Ytelse og administrasjon av helse- og omsorgstjenester forutsetter at kommunen behandler helse- og personopplysninger om pasient/ bruker. Dokumentasjon av nødvendige og relevante opplysninger skal bidra til at pasienter og brukere får helse- og omsorgstjenester av god kvalitet, og være til støtte for helsepersonell ved ytelse av helse- og omsorgstjenester.

Ivaretakelse av pasientens/ brukerens personvern er viktig bl.a. ved at journalopplysningene er relevante, korrekte og oppdatert . I tillegg til at teknologien som benyttes har et tilstrekkelig sikkerhetsnivå er viktig for pasient- og brukersikkerheten. 

Det kan være utfordrende å se forholdet mellom personvernregelverket og helselovgivningen. Via Personopplysningsloven er personvernforordningen inkorporert i  norsk rett, og gir samlet de overordnede reglene om behandling av personopplysninger i alle sektorer.

Helselovgivningen, særlig helsepersonelloven, pasientjournalloven og helseregisterloven, utfyller og supplerer reglene i personvernforordningen ved behandling av personopplysninger i helse- og omsorgssektoren. 

Behandlingsgrunnlag

Personopplysninger kan bare behandles når lovgivningen tillater det som betyr at all behandling av personopplysninger skal ha et lovlig grunnlag. I personvernforordningen kalles dette et behandlingsgrunnlag.

Det lovlige grunnlaget kan finnes i andre lover enn personvernforordningen. Behandlingsgrunnlaget skal dekke alle typer behandlinger av helse- og personopplysninger som utføres: innsamling, registrering, lagring, sletting, utlevering, mv. 

Det er flere alternative behandlingsgrunnlag i forordningen. Noen av dem stiller krav om at behandlingen er lovlig som følge av annen lovgivning. Dette kalles supplerende rettsgrunnlag.

Dokumentasjonsplikten i helsepersonelloven, og forsvarlighetskravet som nødvendiggjør dokumentasjonen, utgjør et slikt supplerende rettsgrunnlag for behandling av helseopplysninger om pasient.

I tillegg til dokumentasjonsplikten og forsvarlighetskravet, inneholder helselovgivningen også regler om annen behandling av opplysninger, herunder taushetsplikt og bruk av opplysninger til intern og ekstern kvalitetssikring, forskning mv. 

Utgangspunktet for å kunne dokumentere helse- og personopplysninger i helse- og omsorgstjenesten, er at opplysningene er nødvendige for å kunne yte eller administrere helse- og omsorgstjenester.

Dokumentasjon av opplysninger for andre formål, eller innenfor andre sektorer (f.eks. på skolen eller i barnevernet) må ha et annet behandlingsgrunnlag, enten i sektorlovgivningen eller direkte i personvernforordningen.

Spesielt om bruk av samtykke  

Samtykke er et viktig begrep både ved ytelse av helse- og omsorgstjenester og ved behandling av personopplysninger, og kan utgjøre rettsgrunnlag i begge tilfeller. Samtykke er også et mye brukt begrep ute i tjenesten i forbindelse med bruk av velferdsteknologi.

Dette har vist seg å være en utfordring for mange, og det har vist seg å være lett å blande disse samtykkene da det stilles ulike krav ut fra hvilke samtykke det dreier seg om, noe som kan skape mye usikkerhet. 

Rettsgrunnlag for ytelse av helse- og omsorgstjenester (med eller uten velferdsteknologi) og rettsgrunnlag for å behandle personopplysninger er ulikt regulert. Nedenfor går vi igjennom de viktigste reglene.

Ytelse av helse- og omsorgstjenester

Helse- og omsorgstjenester kan i utgangspunktet bare ytes når tjenestemottakeren samtykker til dette. For helsehjelp følger det av pasient- og brukerrettighetsloven § 4-1, men det gjelder også innenfor omsorgstjenestene basert på ulovfestet rett og alminnelige rettsprinsipper. 

Utgangspunktet er at dette samtykket gis implisitt, dvs. uten at det sies uttrykkelig. Typisk skjer dette ved at pasienten eller brukeren møter opp hos legen eller slipper tjenesteyterne inn i sitt hjem, og før øvrig samarbeider med legen/tjenesteyteren, og dermed gjennom sin atferd viser at han eller hun samtykker til helsehjelpen/tjenestene.

Dette gjelder uavhengig av om tjenestene ytes med eller uten bruk av velferdsteknologi. Det er med andre ord ikke nødvendig med samtykkeerklæringer som må leses og underskrives. 

Selv om samtykket ikke behøver å være uttrykkelig, må det likevel være informert. Med det menes at personen må ha fått tilstrekkelig informasjon om tilbudet/ tjenesten til å vite hva hun eller han "er med på", enten tjenesten ytes med eller uten bruk av velferdsteknologi.

Jo mindre det kan forventes at pasienten eller brukeren vet om den aktuelle helsehjelpen/ tjenesten/ teknologien fra før, jo bedre må det informeres. 

Hvis pasienten/brukeren vurderes å ikke være samtykkekompetent, må det implisitte samtykket erstattes med et annet rettslig grunnlag. Følgende lovhjemler kan da være aktuelle:

  • pasient- og brukerrettighetsloven § 4-6 
  • pasient- og brukerrettighetsloven § 4-6a 
  • pasient- og brukerrettighetsloven kapittel 4a
  • helse- og omsorgstjenesteloven kapittel 9.

Behandlingsgrunnlag for behandling av helse- og personopplysninger

Behandlingsgrunnlaget for behandling av nødvendige og relevante helse- og personopplysninger i helse- og omsorgstjenesten er dokumentasjonsplikten og plikten til å sikre at de tjenestene som tilbys og ytes er forsvarlige. Det gjelder også når tjenestene ytes ved hjelp av velferdsteknologi. 

Hvis en virksomhet benytter samtykke til behandling av helse- og personopplysninger når de yter helse- og omsorgstjenester kan dette skape utfordringer for virksomheten dersom tjenestemottakeren trekker tilbake sitt samtykke.

Etter kravene i personvernforordningen skal opplysningene som virksomheten har samlet inn da slettes, men dersom virksomheten gjør dette fører det til brudd på helselovgivningens krav til dokumentering av ytelsene av helse- og omsorgstjenester. Derfor kan ikke samtykke til behandling av helse- og personopplysninger benyttes i slike tilfeller. 

Samtykke ved behandling av helse- og personopplysninger kan f.eks. være aktuelt i enkelte av kommunens tjenester der dette ikke er tjenester som er hjemlet i lovgivning, som noen forebyggende tjenester. Samtykke er også et aktuelt behandlingsgrunnlag ved forskning og gjenbruk av data. Eksempler på slike kommunale tjenester kan være treningstilbud for eldre, samtalegrupper o.l. 

Hvis behandlingsgrunnlaget skal være samtykke, må samtykke innhentes. Et samtykke til behandling av helse- og personopplysninger må være eksplisitt/ uttrykkelig; dvs. at i motsetning til det som gjelder for samtykke til helse- og omsorgstjenester kan ikke passivitet, stillhet o.l. utgjøre et gyldig samtykke.

Les mer om de ulike behandlingsgrunnlagene i Normen 

Eksempel – Samtykke

Normland kommune skal implementere ny elektronisk medisineringsstøtte. De lurer på om de trenger samtykke fra tjenestemottakerne? 

Det første Normland kommune må spørre seg om er: samtykke til hva? 

  1. Å gi medisiner er en del av helsehjelpen som Normland allerede yter til disse tjenestemottakerne. Rettsgrunnlaget for denne helsehjelpen er (implisitt) samtykke.  Samtykke til helsehjelp er på plass. 

  2. Siden dette er helsehjelp som Normland skal yte må de også dokumentere denne helsehjelpen og sikre at helsehjelpen er forsvarlig. Dette kan Normland gjøre med hjemmel i lov, dvs. at loven gir dem anledning til å behandle tjenestemottakernes personopplysninger. De trenger derfor ikke samtykke for å behandle personopplysningene. 

  3. Leverandøren som har levert utstyret vil gjerne bruke personopplysningene i et prosjekt de har sammen med Normsund høyskole. Normland kommune må vurdere om dette har samme formål som helsehjelpen.
    Det kommer de frem til at det ikke er. De kan ikke bruke dokumentasjonsplikten og helselovgivningens regler om ytelse av helse- og omsorgstjenester for å gi leverandøren og Normsund fylkeskommune  lov til å behandle personopplysningene. Da må de vurdere nytt behandlingsgrunnlag for dette. Det kan være samtykke. Men det er IKKE en del av den ordinære tjenesten elektronisk medisineringsstøtte. 

Normland må huske på at selv om tjenestemottakeren ikke trenger å signere på et samtykkeskjema må hun fremdeles få god informasjon om hvordan personopplysningene hennes behandles. 

Normland kommunes nabokommune, Normvik, deler i et samarbeidsprosjekt at de tidligere innhentet samtykke for behandling av personopplysninger ved all velferdsteknologi. De fikk en vanskelig sak for en stund siden da brukeren trakk sitt samtykke og ville at alle opplysningene om henne skulle slettes. Men sletting var umulig da dette var personopplysninger som måtte journalføres. Normvik var veldig glade for at de hadde lest i en veileder at det som hovedregel ikke var behov for samtykke til behandling av personopplysninger i velferdsteknologi. 

    Inngripende teknologi

    Inngripende teknologi er all sporings-, varslings-, lokaliserings- og overvåkningsteknologi som sender informasjon til en tredjepart om pasientens eller brukerens handlinger, bevegelser, oppholdssted e.l. uten at pasienten eller brukeren selv initierer det. 

    Hvis teknologien er inngripende, må det vurderes hvilket rettsgrunnlag for ytelse av helse- og omsorgstjenester som er det aktuelle, og om det må fattes vedtak.

    Se Velferdsteknologiens ABC hefte C, Lovverk og etikk, PDF (ks.no)

     

    2.1. Behandlingsgrunnlag

    2.2. Journalføring av relevante og nødvendige opplysninger fra velferdsteknologiske løsninger

    2.3. Gjenbruk av data til kvalitetssikring og forskning

    Normen

    Veileder til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

    Siste faglige endring: 17. september 2020