Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

§ 29. Dispensasjon fra taushetsplikt

Helsedirektoratets kommentarer

Helseopplysninger i pasientjournaler mv. er taushetsbelagte, jf. helsepersonelloven §§ 21 flg. Dersom opplysninger i pasientjournaler eller andre behandlingsrettede helseregistre skal tilgjengeliggjøres må enten de registrerte ha samtykket til tilgjengeliggjøringen eller så må tilgjengeliggjøringen være i samsvar med unntak eller dispensasjon fra taushetsplikten. Helsepersonelloven § 29 regulerer vedtak om dispensasjon fra taushetsplikten.

Formålet med bestemmelsen er å fremme helse, forebygge sykdom og skade eller gi bedre helse- og omsorgstjenester ved bruk av helseopplysninger til statistikk, helseanalyser, forskning, utvikling og bruk av klinisk beslutningsstøtteverktøy, kvalitetsforbedring, planlegging, styring eller beredskap.

Et vedtak med hjemmel i denne bestemmelsen vil gi både virksomheter og helsepersonell et unntak fra taushetsplikt, og utgjør et supplerende rettsgrunnlag for behandling av personopplysninger etter personvernforordningen artikkel 6 nr. 3 og gjør unntak fra forbudet mot behandling av særlige kategorier av personopplysninger i tråd med artikkel 9 nr. 2 bokstav j. Det kan fastsettes vilkår for å verne den registrertes grunnleggende rettigheter og interesser, jf. forordningen artikkel 9 nr. 2 bokstav j.

Dispensasjonsadgangen etter helsepersonelloven § 29 omfatter ikke bare opplysninger som allerede er innsamlet til helse- og omsorgstjenesten, men kan etter omstendighetene også omfatte opplysninger som vil bli innsamlet i fremtiden. Lovens vilkår gjelder både søknad om enkeltutleveringer og flere (eller periodiske) utleveringer av opplysninger.

Dispensasjonsmyndigheten kan gi dispensasjon fra taushetsplikten for overføring av helseopplysninger fra pasientjournaler mv. til varige registre. Etter lovens ordlyd er det ikke krav om lagringsbegrensning eller sletting, og det er ikke til hinder for at det gis dispensasjon uten særlige krav om sletting. Dispensasjonsmyndigheten kan imidlertid pålegge særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser. Hvorvidt dispensasjon skal gis, og om det skal gis en konkret og kortere frist for sletting enn det som følger av personvernforordningen artikkel 5, må bero på en helhetsvurdering der det blant annet legges vekt på formålet med registeret og hvor personverninngripende registeret er. Se Helse- og omsorgsdepartementets brev om dispensasjon fra taushetsplikten til varige registre (PDF)

Bestemmelsen inneholder ikke begrensninger i hvem som kan søke om å få dispensasjon fra taushetsplikt.

Hvorvidt opplysninger skal utleveres til forskere eller andre i utlandet, avgjøres etter reglene i helsepersonelloven, helseregisterloven og helseforskningsloven. Adgangen til å overføre helseopplysninger til utlandet reguleres ellers av personvernforordningen. Prinsippet er at personopplysninger bare kan overføres til stater som sikrer en forsvarlig behandling av opplysningene. Reglene er ulike avhengig av om opplysningene overføres til EU/EØS eller til land utenfor EU/EØS (tredjeland). Det gjelder ingen særlige begrensninger med hensyn til å tilgjengeliggjøre opplysninger mellom EU/EØS-stater, utover de alminnelige vilkårene som også gjelder ved tilgjengeliggjøring til virksomheter i Norge. Overføring til tredjestater (utenfor EU/EØS) reguleres blant annet av artiklene 44 til 50 i personvernforordningen.

Bestemmelsen gir ikke hjemmel til å gjøre unntak fra helse- og personvernlovningens regler om informasjon til pasienten. Selv om det treffes vedtak om dispensasjon fra taushetsplikten, er utgangspunktet at pasienten skal informeres om at informasjon blir henholdsvis utlevert og samlet inn, jf. pasient- og brukerrettighetsloven § 3-6 tredje ledd og pasientjournalloven § 18 første ledd.

Deltakende observasjon hvor en forsker ønsker å observere helsepersonells yrkesutøvelse, og dermed også vil kunne få tilgang til taushetsbelagte opplysninger om pasienter, ligger utenfor anvendelsesområdet til helsepersonelloven § 29. Dispensasjon fra taushetsplikt kan ikke anvendes i slike situasjoner, da vilkårene retter seg mot tilgjengeliggjøring av opplysninger fra pasientjournaler og andre behandlingsrettede helseregistre. Deltakende observasjon må som hovedregel gjennomføres på grunnlag av informasjon til og samtykke fra pasienter som berøres. Se Helse- og omsorgsdepartementets brev om dispensasjon fra taushetsplikten ved deltakende observasjon (PDF).

Ved tilgjengeliggjøring av opplysninger fra helseregistre som reguleres av helseregisterloven, gjelder dispensasjonsbestemmelsen i helseregisterloven § 19 e.

For over hva slags helseopplysninger det kan søkes om å få tilgang til, hvor søknadene skal sendes, og hvordan det søkers, se Søknad om dispensasjon fra taushetsplikt - Helsedirektoratet 

Første ledd

Vilkårene for å innvilge en søknad om dispensasjon står i første ledd. Dispensasjonsmyndigheten må vurdere hva søkeren skal bruke opplysningene til, om søkeren har rettslig grunnlag for sin behandling, hvordan informasjonssikkerheten i søkerens virksomhet skal ivaretas mv. Alle vilkårene må være oppfylt. Dersom det bestemmes at opplysningene skal brukes til det aktuelle formålet, vil dataansvarlig i virksomheten som er ansvarlig for opplysningene i deres pasientjournaler og behandlingsrettede helseregistre ha en plikt til å utlevere opplysningene, i henhold til vilkårene.

Bokstav a fastsetter hvilke formål det kan gis dispensasjon for. De opplistede formålene er statistikk, helseanalyser, forskning, utvikling og bruk av klinisk beslutningsstøtteverktøy, kvalitetsforbedring, planlegging, styring eller beredskap.

Statistikk

Opplistingen av formål i § 29 ble fra 1. juli 2021 supplert med statistikk, slik at bestemmelsen korresponderer med formål og virkeområde til helseregisterloven, jf. § 1 og § 3.

Planlegging og styring

Planlegging og styring omfatter også blant annet finansiering.

Forskning

Utviklingsarbeid regnes som medisinsk og helsefaglig forskning og vil dermed omfattes av dispensasjonshjemmelen. Med utviklingsarbeid menes «systematisk virksomhet som anvender eksisterende kunnskap fra forskning og praktisk erfaring som er rettet mot å utvikle nye eller forbedrede produkter, prosesser, systemer og tjenester, og som det er naturlig å karakterisere som forskning», jf. forarbeidene til helseforskningsloven (Ot.prp.nr.74 (2006–2007) punkt 9.3.3.1).

Helseanalyser

Helseanalyser omfatter å beskrive og analysere risikofaktorer og utbredelsen av sykdom og skader i befolkningen og fordelingen av risikofaktorer for sykdom, skade og død i ulike befolkningsgrupper. Kunnskapen fra helseanalyser brukes blant annet i folkehelsearbeidet, som grunnlag for prioriteringer og til planlegging og styring lokalt, regionalt og nasjonalt. Helseanalyser grenser opp mot og overlapper delvis med epidemiologisk forskning, helsetjenesteforskning, behandlingsforskning og studier av kvalitet i helsetjenestene.

Utvikling og bruk av klinisk beslutningsstøtteverktøy

Dispensasjonsadgangen for bruk av helseopplysninger i beslutningsstøtteverktøy basert på kunstig intelligens vil både omfatte utvikling, inkludert trening av systemet, og videre bruk av treningsdataene i systemet etter at det er satt i drift.

Begrepet «beslutningsstøtteverktøy» i denne bestemmelsen er et vidt begrep og omfatter i utgangspunktet alle typer kunnskapsbaserte hjelpemidler eller støttesystemer, som kan gi råd og støtte, og veilede helsepersonell ved ytelse av helsehjelp. Det omfatter utvikling og bruk av systemer som bygger på kunstig fintelling og systemer som bygger på maskinlæring. I begrepet «klinisk» ligger at formålet med utviklingen av verktøyet skal være ytelse av helsehjelp og praktisk medisin.

Begrepet klinisk beslutningsstøtteverktøy kan i tillegg til å være datasystemer som oppsummerer kunnskap, omfatte systemer som gir anbefalinger basert på den kunnskapen systemet har. Slike beslutningsstøtteverktøy er ofte basert på maskinlæring. Det innebærer at algoritmer lærer av samme type opplysninger, eller data, som verktøyets virkeområde, for eksempel tekst eller bilder. Ved hjelp av maskinlæring avdekkes mønstre i opplysningene. Resultatet av læringen eller treningen er beslutningsstøtteverktøyet. Slike beslutningsstøtteverktøy vil trenge store mengder helseopplysninger for å kunne læres opp (trenes) og vedlikeholdes.

Formålet knyttet til beslutningsstøtteverktøy inkluderer både utvikling, herunder utprøving, av slike verktøy og innføring av slike verktøy, i klinikk, og bestemmelsen ikke er ment å forstås snevert. Begrepet innføring skal heller ikke forstås snevert. Innføring er ment å omfatte både selve prosessen med å rulle ut et verktøy i tjenesten, og også en viss periode etter at verktøyet er tatt i bruk. Dette innebærer at bestemmelsen er ment å legge opp til at det kan gis relativt langvarige dispensasjoner knyttet til innføring av et beslutningsstøtteverktøy i helse- og omsorgstjenesten.

Beslutningsstøtteverktøy basert på maskinlæring vil utvikle seg etter hvert som verktøyet analyserer og får tilgang til flere helseopplysninger. Dette innebærer at verktøyet ikke bare vil ha behov for å lære av helseopplysninger som er lagret i for eksempel en pasientjournal på tidspunktet hvor det søkes om en dispensasjon fra taushetsplikten, men at verktøyet også vil ha behov for opplysninger som først vil bli lagret på et senere tidspunkt. Bestemmelsen åpner for dispensasjoner som omfatter opplysninger som går inn i et maskinlærende beslutningsstøtteverktøy, herunder at det gis dispensasjon fra taushetsplikten til å løpende få tilgjengeliggjort opplysninger som omfattes av dispensasjonsvedtaket. Dispensasjonsvedtaket må imidlertid angi rekkevidden av unntaksadgangen, for eksempel typen opplysninger vedtaket omfatter og hvilken tidsperiode vedtaket gjelder.

En dispensasjonssøknad etter bestemmelsen må på en tydelig måte redegjøre for databehovene i de ulike fasene av verktøyets utvikling og videre bruk. En dispensjonsadgang vil i utgangspunktet gis tidsbegrenset, men forutsettes fornyet og endret etter hvert som verktøyet tas i bruk og en vinner erfaring med systemet, risikoforhold etc., selvfølgelig innenfor rammen av kravet til faglig forsvarlighet.

Formålet omfatter ikke bruk av helseopplysninger til merkantile eller rent kommersielle formål.

I bokstav b stilles det vilkår om at mottakeren skal gjøre rede for hvilke egnede tekniske og organisatoriske tiltak som skal settes i verk for å ivareta informasjonssikkerheten, før opplysningene kan tilgjengeliggjøres.

Mottakeren skal ha en dokumentert evne til å håndtere dataene på en sikker måte. Opplysningenes konfidensialitet, integritet og tilgjengelighet er sentrale elementer i informasjonssikkerheten. Kravet om konfidensialitet i behandlingssystemene og tjenestene innebærer at opplysningene må være sikret mot at uvedkommende får kjennskap til dem. Med integritet menes beskyttelse mot utilsiktede endringer av opplysningene. Informasjonsinnholdet skal være korrekt, relevant, oppdatert og fullstendig. Opplysningene skal sikres mot utilsiktede endringer.

Den dataansvarlige som gir fra seg opplysningene har ikke et ansvar for informasjonssikkerheten hos mottakeren. Dette er mottakerens ansvar. Mottakeren vil som dataansvarlig ha plikt til å sørge for informasjonssikkerheten når opplysningene mottas. Kravet om at informasjonssikkerhetstiltakene skal beskrives, vil imidlertid gjøre det mulig å forhindre at opplysninger leveres ut til mottakere som ikke er seriøse. I slike tilfeller skal opplysningene ikke tilgjengeliggjøres fordi det ikke er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn, jf. § fjerde ledd.

I bokstav c stilles det vilkår om at behandlingen av opplysningene skal være av vesentlig interesse for samfunnet.

Dispensasjonsmyndigheten må foreta en konkret helhetsvurdering der en rekke hensyn må veies opp mot hverandre, så som samfunnets nytteverdi av forskningen, etiske hensyn, ulempen for den enkelte og hvor vanskelig det vil være å innhente samtykke.

Andre ledd

Graden av personidentifikasjon skal ikke være større enn nødvendig for det aktuelle formålet, og det presiseres i bestemmelsen at det ikke skal tilgjengeliggjøres flere opplysninger enn det som er nødvendig for formålet. Det følger av kravet om dataminimering i personvernforordningen artikkel 5 at personopplysninger skal være adekvate, relevante og begrenset til det som er nødvendig for formålet de behandles for. Helseopplysninger skal tilgjengeliggjøres anonymt dersom mottakerens formål kan oppnås med slike opplysninger.

Dersom mottakeren må ha personidentifiserbare opplysninger for å oppnå formålet med behandlingen, skal opplysningene i utgangspunktet tilgjengeliggjøres som indirekte identifiserbare opplysninger, det vil si uten navn, fødselsnummer eller andre direkte personentydige kjennetegn. Kun dersom særlige grunner gjør det nødvendig, kan opplysningene tilgjengeliggjøres med personentydige kjennetegn.

Dersom det ikke er nødvendig å behandle direkte personentydige kjennetegn, skal disse fjernes fra datasettet. Tilfeller hvor det kan være nødvendig med personentydige kjennetegn er dersom opplysninger fra et lovbestemt helseregister skal kobles til pasientjournaler. I slike tilfeller kan det være hensiktsmessig at fødselsnummeret brukes som koblingsnøkkel.

Søker må vurdere hvilke variabler eller grupper av variabler det er nødvendig å behandle, slik at muligheten for bakveisidentifisering blir minst mulig. Som eksempel vil opplysninger om kjønn ofte anses som en nødvendig opplysning, selv om det øker risikoen for bakveisidentifikasjon. Når det gjelder opplysning om alder derimot, er det grunn til å tro at opplysninger om fødselsdag og fødselsmåned i mange tilfeller ikke vil være en nødvendig opplysning. I stedet kan man eventuelt gruppere fødselsår, for eksempel i fem eller ti års intervaller, uten at det begrenser muligheten til å nå formålet med behandlingen av opplysningene.

Det er søkeren som må begrunne at opplysningene er nødvendige for det aktuelle formålet.

Tredje ledd

Dispensasjonsmyndigheten kan pålegge søker særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser. Dette kan benyttes etter en konkret vurdering der det anses nødvendig for å sikre de registrertes personvern. For eksempel kan lagringstiden for opplysningene begrenses, med en konkret og kortere frist for sletting enn det som følger av den generelle sletteplikten i forordningen artikkel 5. Andre tiltak kan være krav til lagring av opplysningene eller særlige vilkår for deling av opplysningene med prosjektdeltakere fra land utenfor EU/EØS.

Fjerde ledd

Det skal bare gis dispensasjon dersom tilgjengeliggjøringen er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn.

Tilgjengeliggjøring vil være ubetenkelig blant annet dersom mottakeren har forhåndsgodkjenning fra REK etter helseforskningsloven § 33. I øvrige tilfeller skal dette vilkåret kun være en sikkerhetsventil som gir mulighet for å la være å tilgjengeliggjøre opplysninger dersom dispensasjonsmyndigheten av ulike grunner ikke er trygg på mottakeren eller prosjektet. Hensynene bak taushetsplikten og den registrertes rett til vern mot spredning av opplysninger skal veie tungt i denne vurderingen.

Dette vilkåret kan for eksempel brukes for å unngå at opplysninger leveres ut til mottakere som ikke har løsninger for å ivareta informasjonssikkerheten. Dette betyr likevel ikke at det skal gjøres en full vurdering av de organisatoriske og tekniske tiltakene hos mottakeren. Det vises til at vilkåret kun er en sikkerhetsventil, at vedtak om tilgjengeliggjøring ikke er en forhåndsgodkjenning av mottakerens behandling og at informasjonssikkerheten er mottakerens selvstendige ansvar.

Det er presisert i loven at mottakeren må ha REKs forhåndsgodkjenning ved medisinsk og helsefaglig forskning. Dette betyr at REKs forhåndsgodkjenning må innhentes før det fattes vedtak om tilgjengeliggjøring og opplysningene tilgjengeliggjøres. I noen tilfeller kan det være vanskelig å vurdere om et prosjekt skal regnes som medisinsk og helsefaglig forskning etter helseforskningsloven slik at det krever REKs forhåndsgodkjenning. Det er REK som i konkrete saker skal ta stilling til dette spørsmålet. Dersom den som søker om tilgjengeliggjøring har søkt REK om forhåndsgodkjenning, men fått avvist søknaden fordi REK mener at prosjektet faller utenfor helseforskningsloven, må det legges til grunn at vilkåret om REK-godkjenning ikke er nødvendig å oppfylle. Det kan eventuelt kreves at søkeren fremviser REKs avvisning av søknaden.

Helseforskningsloven gjelder kun for forskning eller norske forskningsinstitusjoner i Norge, jf. § 3. Utenlandske forskningsinstitusjoner vil derfor ikke ha mulighet til å få REK-godkjenning. Samme problemstilling kan også oppstå i prosjekter der norske forskere skal samarbeide med forskere i andre land som også skal bruke opplysningene. I slike situasjoner bør det gjøres en vurdering av søkerens prosjekt i samsvar med vilkåret om at behandlingen skal være ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn. Det kan eventuelt settes vilkår etter helsepersonelloven § 29 tredje ledd om at mottakeren innhenter en ekstern forskningsetisk vurdering, for eksempel fra et organ i eget land som tilsvarer REK.

Femte ledd

Det følger av denne bestemmelsen at mottakeren har taushetsplikt etter helsepersonelloven §§ 21 flg.

Vilkåret er ikke til hinder for at opplysninger overføres til utlandet med hjemmel i helsepersonelloven § 29. Ved overføring til andre land, vil imidlertid ikke de norske taushetspliktreglene gjelde. I slike tilfeller bør det stilles krav, jf. tredje ledd, om at mottakeren har taushetsplikt som gjelder i det landet opplysningene skal behandles. Dersom taushetsplikten ikke kan ivaretas ved tilgjengeliggjøring av helseopplysninger til utlandet, bør dispensasjonssøknaden avvises. Se Helse- og omsorgsdepartementets brev om overføring av pasientopplysninger til utlandet (PDF).

Sjette ledd

Dispensasjonsmyndigheten er i loven lagt til Helse- og omsorgsdepartementet. Av informasjonshensyn presiseres det at myndigheten kan delegeres til et underordnet forvaltningsorgan. Myndigheten kan også legges til den regionale komiteen for medisinsk og helsefaglig forskningsetikk (REK).

Syvende ledd

Myndigheten til å treffe vedtak etter helsepersonelloven § 29 når det gjelder tilgjengeliggjøring av opplysninger til formål knyttet til forskning overføres til den regionale komiteen for medisinsk og helsefaglig forskningsetikk. Det samme gjelder tilgjengeliggjøring til utvikling og bruk av klinisk beslutningsstøtteverktøy som inngår i et forskningsprosjekt, se forskrift om overføring av myndighet til den regionale komiteen for medisinsk og helsefaglig forskningsetikk etter helsepersonelloven § 29 sjette ledd, helseregisterloven § 19e femte ledd og forvaltningsloven § 13d første ledd.

Helsedataservice ved FHI har fått myndighet til å fatte vedtak om dispensasjon fra taushetsplikt for søknader om tilgang til helseopplysninger fra behandlingsrettede helseregistre som skal sammenstilles med opplysninger fra de lovbestemte helseregistrene som er omfattet av løsningen, se forskrift om nasjonal løsning for tilgjengeliggjøring av helsedata § 7.

Myndigheten til å vedta bruk av opplysninger til de øvrige formål er delegert til Helsedirektoratet. Det gjelder også tilgjengeliggjøring til utvikling og bruk av klinisk beslutningsstøtteverktøy som ikke inngår i et forskningsprosjekt, se forskrift om delegering av myndighet fra Helse- og omsorgsdepartementet til Helsedirektoratet.

Siste faglige endring: 26.04.2024 Se tidligere versjoner