Dette kapittelet omhandler plikter og krav både etter personvernlovgivningen og helselovgivningen. Det er presisert i kapitteloverskrift der teksten kun gjelder for behandlingsrettet helseregister.
4.2.1 Taushetsplikten
Virksomheten skal sørge for at alt personell som gis tilgang til helse- og personopplysninger og annen informasjon underlagt taushetsplikt, er kjent med sin taushetsplikt.
Virksomheten skal legge til rette for at personellet ivaretar taushetsplikten. Dette bør minst sikres gjennom
- tilgangsstyring, logging og etterfølgende kontroll
- sikring av informasjonssystemer
- rutiner, opplæring og informasjon
- utforming av fysiske lokaler
Brudd på taushetsplikten er et avvik, og er forbundet med både forvaltningsmessige og strafferettslige sanksjoner.
4.2.2 Informasjon til den registrerte
Virksomheten har plikt til å gi informasjon til den registrerte på en kortfattet, åpen, forståelig og lett tilgjengelig måte og med et klart og enkelt språk. Her må det også tas hensyn til krav om universell utforming.
Informasjonen skal gis skriftlig eller på en annen måte, herunder elektronisk dersom det er hensiktsmessig. På anmodning fra den registrerte kan informasjonen gis muntlig, forutsatt at den registrerte identifiserer seg.
Ved innsamling av opplysninger skal den dataansvarlige på en forståelig måte gi den registrerte informasjon om sine rettigheter og hvordan personopplysningene behandles.
4.2.3 Innsyn
Begrepet innsyn brukes i flere sammenhenger. Innsynsrett kan gjelde etter helselovgivningen, etter personvernlovgivningen og etter offentleglova. Innsyn etter offentleglova omtales ikke i Normen.
Virksomheten skal sikre at den registrerte kan få innsyn i opplysninger registrert om seg selv. Dette innsynet gjelder også loggen over hvem, og fra hvilken virksomhet, som har tilegnet seg hvilke opplysninger, og på hvilket tidspunkt.
Virksomheten skal sikre at den registrerte kan få kunnskap om hvilke personopplysninger om seg selv som virksomheten behandler. Dette omfatter også kunnskap om hvem fra andre virksomheter som har tilegnet seg opplysningene.
Virksomheten skal sikre seg at den som gjør sine rettigheter gjeldende, er identifisert.
4.2.3.1 Innsyn i behandlingsrettet helseregister
Pasienten har som utgangspunkt rett til innsyn i alle opplysninger i behandlingsrettet helseregister som omhandler seg selv. Dette gjelder også lydopptak, røntgenbilder, videoopptak etc.
Helsepersonell skal på anmodning gi forklaring på faguttrykk mv. Det skal legges til rette for at samiskspråklige, fremmedspråklige og personer med funksjonshemninger kan utøve innsynsretten. Tiltakene skal dokumenteres.
Utgangspunktet er at alle pasienter over 16 år har selvstendig innsynsrett. Barn mellom 12 og 16 år har selvstendig innsynsrett i en viss grad, idet de har rett til å bli hørt og kan begrense eller nekte innsyn for foreldre elle andre med foreldreansvar for barnet. Barn under 12 år har ikke innsynsrett, men foreldre eller andre med foreldreansvar for barnet har innsynsrett på barnets vegne.
Pasienter kan nektes innsyn i opplysninger i hele eller deler av behandlingsrettet helseregister dersom det er påtrengende nødvendig for å hindre fare for liv eller alvorlig helseskade for pasienten selv, eller innsyn er klart utilrådelig av hensyn til personer som står vedkommende nær. Det skal mye til for at innsyn skal nektes, og det må være en reell fare for konsekvenser av et visst omfang.
Dataansvarlig skal gi innsyn innen 30 dager, uten kostnad for pasienten.
4.2.4 Retting og sletting
Den registrerte har rett til å få uriktige eller ufullstendige opplysninger rettet uten ugrunnet opphold.
Arkivlovgivningen har regler om lagring og oppbevaring. Normen omtaler ikke dette temaet her.
4.2.4.1 Retting og sletting i behandlingsrettet helseregister
Rettingen skal skje ved at oppføringen føres på nytt, eller ved at en datert rettelse tilføyes. Retting skal ikke skje ved at opplysninger slettes.
Dersom opplysningene er feilaktige eller misvisende og føles belastende for den det gjelder, eller de åpenbart ikke er nødvendige for å gi helsehjelp, kan pasienten kreve at opplysningene slettes.
Retting og sletting skal som hovedregel utføres av den som har signert opplysningene. Dersom slik retting eller sletting vanskelig kan gjøres av helsepersonellet som har signert opplysningene, kan retting eller sletting gjøres av helsepersonell utpekt av den dataansvarlige.
Opplysninger som er ført på feil person, skal slettes med mindre allmenne hensyn tilsier at sletting ikke bør foretas.
Se mer i Helsedirektoratets rundskriv til helsepersonelloven
Dataansvarlig skal underrette enhver mottaker som har fått utlevert personopplysninger som i etterkant er rettet eller slettet, om enhver retting eller sletting av personopplysningene. Dataansvarlig skal underrette den registrerte om nevnte mottakere dersom den registrerte anmoder om det.
Dersom krav om retting eller sletting avslås, skal pasienten orienteres om klageadgangen.
Dataansvarlig bør gi elektronisk svar dersom personopplysninger behandles elektronisk.
4.2.5 Tilgjengeliggjøring og utlevering av opplysninger i behandlingsrettet helseregister
4.2.5.1 Retten til å motsette seg tilgjengeliggjøring og utlevering
Pasienten eller brukeren har rett til å motsette seg at opplysninger utleveres eller tilgjengeliggjøres. Dette kan gjelde overføring eller tilgjengeliggjøring av opplysninger både til pasienten selv, til verger og /eller til helsepersonell. Virksomheten har et overordnet ansvar for at pasientens rettighet blir ivaretatt.
Opplysninger kan som hovedregel ikke overføres eller tilgjengeliggjøres dersom det er grunn til å tro at pasienten eller brukeren ville motsette seg det dersom den ble spurt.
Overføring og tilgjengeliggjøring kan likevel skje dersom tungtveiende grunner taler for det.
Pasienten eller brukeren kan ikke motsette seg lovpålagt overføring. Dette gjelder også lovpålagt overføring av opplysninger til sentrale registre.
Virksomheten har derfor et ansvar for å sikre at pasienten gjøres oppmerksom på retten til å motsette seg tilgjengeliggjøring og utlevering. Det kan være hensiktsmessig å inkludere denne informasjonen i annen informasjon pasienten har rett til.
Det skal alltid dokumenteres hvem det er utlevert opplysninger til, og hvilken virksomhet denne tilhører.
4.2.5.2 Tilgjengeliggjøring og utlevering av helseopplysninger mellom virksomheter ved ytelse av helsehjelp
Med mindre pasienten eller brukeren motsetter seg det, skal helsepersonell gi tilgang til nødvendige og relevante helseopplysninger til samarbeidende personell i den grad dette er nødvendig for å kunne gi helsehjelp til pasienten på forsvarlig måte.
Ved utskriving fra helseinstitusjon bør pasienten gis anledning til å opplyse hvem epikrise skal sendes til.
4.2.5.3 Til virksomhetens ledelse og til administrative systemer
Når det er nødvendig for å gi helsehjelp, eller for internkontroll og kvalitetssikring av tjenesten, kan den som yter helsehjelp, gi opplysninger til virksomhetens ledelse. Opplysningene skal være nødvendig og relevant for formålet.
Opplysningene skal så langt som mulig ikke være direkte personidentifiserbare.
Helsepersonell skal gi pasientens fødselsnummer og opplysninger om diagnose, eventuelle hjelpebehov, tjenestetilbud, innskrivnings- og utskrivningsdato samt relevante administrative data til virksomhetsinterne pasientadministrative systemer.
4.2.5.4 Til læring og kvalitetssikring
Når formålet er læring og kvalitetssikring for helsepersonell som tidligere har ytet helsehjelp til pasienten i et konkret behandlingsforløp, men som ikke skal medvirke i den videre helsehjelpsytelsen kan det tilgjengeliggjøres taushetsbelagte helseopplysninger. Dette kan bare skje hvis pasienten ikke motsetter seg det. Dette kan bl.a. omfatte situasjoner der ambulansepersonell har fraktet en pasient til sykehus, personell har behandlet pasient på akuttmottak ved sykehus eller tilsatte ved et sykehjem har medvirket til at pasient blir innlagt på sykehus. Ved å få opplysningene kan behandler vurdere om undersøkelsene, vurderingene og behandlingstiltakene som ble gjort var korrekte. jf. helsepersonelloven § 29 Dispensasjon fra taushetsplikt, bokstav c (www.lovdata.no)
Tilgjengeliggjøring skal begrenses til de opplysninger som er nødvendige og relevante for formålet. I pasientens journal skal det dokumenteres hvilke opplysninger som er tilgjengeliggjort og hvem de er tilgjengeliggjort til.
4.2.6 Oppbevaring av helse- og personopplysninger
Hovedregelen etter personvernforordningen er at personopplysninger skal lagres til formålet er oppfylt. Deretter skal opplysningene slettes eller anonymiseres.
4.2.6.1 Lagringstid ved ytelse av helsehjelp
Helseopplysninger skal oppbevares til det av hensyn til helsehjelpens karakter ikke lenger antas å være bruk for dem. Det samme gjelder opplysninger om hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til pasientens eller brukerens navn eller fødselsnummer (logger).
Hvis ikke opplysningene deretter skal bevares etter arkivloven, helsearkivloven eller annen lovgivning, skal de slettes.
4.2.6.2 Tilintetgjøring av dokumenter i behandlingsrettet helseregister mv. etter digitalisering
Når dokumenter på papir er digitalisert på forsvarlig måte, kan fysiske originaldokumenter tilintetgjøres. Med forsvarlig digitalisert menes at all tekst er lesbar, og at all tekst, alle sider, bilder og figurer er skannet inn. Elektronisk behandlingsrettet helseregister skal gjenspeile originalen.
4.2.6.3 Behandlingsrettet helseregister ved opphør og overdragelse av virksomhet mv.
Ved overdragelse eller opphør av virksomhet kan behandlingsrettet helseregister overføres til en annen virksomhet.
Pasient/bruker kan motsette seg overføring av sin journal og i stedet kreve at registeret overføres til en annen bestemt virksomhet.
Det som ikke skal overføres til et bestemt helsepersonell eller til en bestemt virksomhet, og virksomheten ikke selv skal ta vare på, kan avleveres til offentlig arkivdepot, deponeres i annen oppbevaringsinstitusjon eller leveres til fylkesmannen. Opplysninger som leveres til fylkesmannen, oppbevares i ti år, og kan deretter tilintetgjøres etter samråd med Riksarkivaren eller avleveres til offentlig arkivdepot.
