Regelverk om deling av helseopplysninger oppsummert
- Behandling av helseopplysninger som er nødvendig for å yte helsehjelp til den enkelte reguleres av pasientjournalloven og helsepersonelloven med forskrifter.
- Virksomheter som yter helsehjelp skal sørge for å ha behandlingsrettede helseregistre til gjennomføring av helsepersonellets dokumentasjonsplikt, jf. pasientjournalloven § 8 og helsepersonelloven § 39. Pasientjournalsystem er et eksempel på et behandlingsrettet helseregister. Virksomheten plikter å utforme og organisere sine behandlingsrettede helseregistre på en slik måte at lovfestede krav kan oppfylles, jf. pasientjournalloven § 7. Eksempler på dette er ivaretakelse av taushetsplikten og tilrettelegging for tilgjengeliggjøring av helseopplysninger der vilkårene for tilgjengeliggjøring er oppfylt.
- Helseopplysninger i behandlingsrettede helseregistre er underlagt lovbestemt taushetsplikt, jf. pasientjournalloven § 15 jf. helsepersonelloven § 21. Det må foreligge lovbestemt unntak fra taushetsplikten for at helseopplysninger kan tilgjengeliggjøres for helsehjelpsformål eller andre formål.
- Helsepersonelloven § 45 er en unntaksbestemmelse som hjemler tilgjengeliggjøring av opplysninger fra en virksomhets pasientjournalsystem. § 45 fastsetter at helsepersonell skal gis opplysninger som er nødvendige og relevante for å kunne yte forsvarlig helsehjelp til pasienten. Pasienter har rett til å reservere seg mot at opplysninger gis til annet helsepersonell. Det skilles ikke mellom tilgjengeliggjøring av opplysninger til eget ansatt helsepersonell eller til helsepersonell ansatt i andre virksomheter.
- Det er virksomheten som er dataansvarlig for det behandlingsrettede helseregisteret som opplysninger tilgjengeliggjøres fra, som plikter å vurdere om vilkårene i helsepersonelloven § 45 er oppfylt, jf. pasientjournalloven § 19.
- Dersom det foreligger lovbestemt unntak fra taushetsplikten, bestemmer den dataansvarlige hvordan opplysningene skal tilgjengeliggjøres, jf. pasientjournalloven § 19 andre ledd.
- Tilgjengeliggjøringen må skje på en måte som ivaretar informasjonssikkerheten, jf. pasientjournalloven § 19 andre ledd andre punktum.
- Etter pasientjournalloven § 22 plikter den dataansvarlige å sørge for at det gjennomføres tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen. Det skal blant annet sørges for tilgangsstyring, logging og etterfølgende kontroll.
EUs personvernforordning
EUs personvernforordning regulerer behandling av personopplysninger om fysiske personer som skjer helt eller delvis automatisert, samt ikke-automatisert behandling dersom opplysningene inngår i et register. Med behandling menes blant annet registrering, lagring og tilgjengeliggjøring.
Etter personvernforordningen artikkel 6 nr. 1 krever slik behandling av personopplysninger et behandlingsgrunnlag. I forordningen artikkel 9 nr. 1 slås det fast at utgangspunktet er at det er forbud mot å behandle særlige kategorier av personopplysninger. Helseopplysninger er særlig kategori av opplysninger. Imidlertid er det fastsatt unntak fra dette forbudet, dersom ett av vilkårene i artikkel 9 nr. 2 er oppfylt.
De aktuelle grunnlagene for å behandle helseopplysninger i behandlingsrettede helseregistre er artikkel 6 nr.1 bokstav c og e og unntaket i artikkel 9 nr. 2 bokstav h som åpner for at helseopplysninger kan behandles når det er nødvendig i forbindelse med ytelse av helsehjelp på grunnlag av nasjonal rett (supplerende rettsgrunnlag). Det er da et vilkår at personellet som behandler opplysningene har taushetsplikt.
Denne fremstillingen er avgrenset til å hovedsakelig omhandle behandling av person- og helseopplysninger som skjer i forbindelse med ytelse av helsehjelp til den enkelte. Supplerende rettsgrunnlag for behandlingsrettede helseregistre i nasjonal rett finnes i pasientjournalloven.
Pasientjournalloven og helsepersonelloven
Pasientjournalloven regulerer all behandling av helseopplysninger som er nødvendig for å yte, administrere og kvalitetssikre helsehjelp til enkeltpersoner. Det følger av pasientjournalloven § 6 at helseopplysninger i behandlingsrettede helseregistre bare kan behandles når det er nødvendig for å kunne gi helsehjelp, eller for administrasjon, internkontroll eller kvalitetssikring av helsehjelpen, og at slike registre må ha hjemmel i lov.
Etter helsepersonelloven § 39 plikter helsepersonellet å dokumentere ytelse av helsehjelp, og det er fastsatt i pasientjournalloven § 8 at virksomheter som yter helsehjelp plikter å sørge for behandlingsrettede helseregistre (pasientjournal) for gjennomføring av helsepersonellets dokumentasjonsplikt.
To eller flere virksomheter kan samarbeide om behandlingsrettede helseregistre jf. pasientjournalloven § 9. Et slikt samarbeid er frivillig og virksomhetene skal da inngå skriftlig avtale, blant annet om hva samarbeidet omfatter. I tillegg kommer de nasjonale e-helseløsningene e-resept og nasjonal kjernejournal. Disse er særskilt regulert i henholdsvis pasientjournalloven §§ 12 og 13 med forskrifter, og disse bestemmelsene er det supplerende rettsgrunnlaget for disse to løsningene.
Etter pasientjournalloven § 10 kan det gis forskrift om etablering av nasjonale behandlingsrettede helseregistre som innen bestemte områder kommer i stedet for virksomhetens «ordinære pasientjournal». I tillegg er det anledning til å gi forskrift om nasjonal datainfrastruktur for digital samhandling, jf. § 10. Det er hittil ikke gitt forskrifter som bare har hjemmel i denne bestemmelsen.
Dataansvarlige og databehandler
Det følger av personvernforordningen at enhver behandling av person- og helseopplysninger må ha én eller flere behandlingsansvarlige. Ved behandling av helseopplysninger etter pasientjournalloven er dataansvarlig synonymt med behandlingsansvarlig etter personvernforordningen, jf. pasientjournalloven § 2 bokstav e. Dataansvarlig er den eller de som bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes.
Med mindre annet er bestemt i lov, forskrift eller vedtak, er det den enkelte virksomhet som er ansvarlig for helsehjelpen som ytes, som også vil være dataansvarlig og må ivareta krav blant annet til personvern og informasjonssikkerhet for det aktuelle behandlingsrettede helseregisteret. Den dataansvarlige kan velge å benytte en ekstern aktør, som etter skriftlig avtale utfører oppgaver på vegne av den dataansvarlige. Denne aktøren er da databehandler etter personvernforordningen artikkel 4 nr. 8.
En databehandler kan bare utføre oppgaver som den dataansvarlige har rettslig grunnlag for å gjøre, og ansvaret vil ligge fast hos den dataansvarlige selv om oppgaver utføres av en databehandler. Den dataansvarlige må derfor ha en reell mulighet til å styre databehandlerens behandling av opplysningene. Databehandleren har allikevel selvstendige plikter, se personvernforordningen artikkel 28.
I helsepersonelloven § 16 oppstilles det et generelt krav til at virksomheter som yter helse- og omsorgstjenester, skal organiseres slik at helsepersonellet blir i stand til å overholde sine lovpålagte plikter.
Etter pasientjournalloven § 7 plikter virksomhetene å utforme og organisere sine behandlingsrettede helseregistre på en slik måte at lovfestede krav kan oppfylles. Dette gjelder blant annet ivaretakelse av taushetsplikten etter pasientjournalloven § 15, jf. helsepersonelloven § 21 flg., og krav til tilgjengeliggjøring av nødvendige og relevante opplysninger for helsepersonell som trenger dem for å yte forsvarlig helsehjelp. Tilgjengeliggjøring forutsetter at vilkårene for unntak fra taushetsplikten er oppfylt.
Nærmere om taushetsplikten
Det følger av helsepersonelloven § 21 at helsepersonell og andre som får kjennskap til opplysninger om noens helsemessige forhold eller andre personlige forhold i kraft av sitt virke, har lovbestemt taushetsplikt (individansvar).
Pasientjournalloven § 15 viser til helsepersonellovens bestemmelser om taushetsplikt, og presiserer at bestemmelsene om taushetsplikt i helsepersonelloven gjelder for all behandling av helseopplysninger etter pasientjournalloven.
Taushetsplikten innebærer ikke bare plikt til å tie, men er også en plikt til aktivt å hindre at andre får kunnskap om opplysningene. Virksomheten som helsepersonellet er ansatt hos plikter å tilrettelegge for at taushetsplikten kan overholdes (virksomhetsansvar). Taushetsplikten gjelder «overfor alle», også annet helsepersonell med taushetsplikt. At mottakende helsepersonell også har en yrkesmessig taushetsplikt, er i seg selv ikke gyldig grunnlag for å dele opplysninger med vedkommende. Det må alltid foreligge et lovbestemt unntak fra taushetsplikten for å dele opplysningene med vedkommende.
Taushetsplikten er å anse som en grunnpilar i helseretten. Den har til formål å ivareta tilliten til helsepersonell og helse- og omsorgstjenesten, slik at innbyggerne kan være trygge på at opplysninger de gir til helsepersonell håndteres med konfidensialitet, og ikke tilflyter uvedkommende. Dersom innbyggerne opplever utrygghet med hensyn til hvordan private og sensitive opplysninger håndteres, vil det kunne medføre at innbyggerne vegrer seg for å oppgi alle relevante opplysninger til behandlende helsepersonell, eller til og med lar være å oppsøke helsehjelp når innbyggerne trenger det. Dette vil kunne ha svært store konsekvenser for pasientsikkerheten.
Nærmere om tilgjengeliggjøring av helseopplysninger
Gode og sammenhengende helsetjenester forutsetter imidlertid at relevante og nødvendige helseopplysninger er tilgjengelige for helsepersonell som har tjenstlig behov for dem. Det følger av pasientjournalloven § 19 at den dataansvarlige skal sørge for at relevante og nødvendige helseopplysninger er tilgjengelige for helsepersonell og annet samarbeidende personell når dette er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til den enkelte.
Tilgjengeliggjøring må imidlertid skje innen rammen av taushetsplikten. Det må derfor foreligge lovbestemt unntak fra taushetsplikten. Det er oppstilt flere slike lovbestemte unntak, hvor det foreligger enten rett eller plikt til å tilgjengeliggjøre helseopplysninger til andre. Disse unntakene fra taushetsplikten setter rammene for når opplysningene kan gjøres tilgjengelige for andre enn de som har registrert dem. Dette innebærer at opplysningene vil kunne gjøres tilgjengelige for flere enn vedkommende som har nedtegnet dem.
Unntakene sier noe om hvilke helseopplysninger som kan gjøres tilgjengelige for andre og i hvilke situasjoner. Et slikt unntak følger av helsepersonelloven § 45 som fastsetter at helsepersonell skal gis opplysninger som er nødvendige og relevante for å kunne yte forsvarlig helsehjelp til pasienten, med mindre pasienten motsetter seg det. Det skal bare tilgjengeliggjøres opplysninger som er relevante og nødvendige for det helsepersonellet som har det tjenstlige behovet i den aktuelle helsehjelpssituasjonen.
Hvorvidt vilkårene for unntak fra taushetsplikten er oppfylt, vil derfor være en skjønnsmessig vurdering i det konkrete tilfellet. Det er helsepersonellet som har nedtegnet opplysningene eller den dataansvarlige for pasientjournalsystemet som kan tilgjengeliggjøre opplysningene. Plikten til å vurdere om vilkårene for å tilgjengeliggjøre opplysninger etter helsepersonelloven § 45 er til stede (vurdere det tjenstlige behovet for tilgang til opplysningene), påhviler derfor disse.
Tilgjengeliggjøring av helseopplysninger kan skje på flere måter, og i henhold til pasientjournalloven § 19 andre ledd, vil det være den dataansvarlige som bestemmer metoden. Eksempler på metoder for tilgjengeliggjøring av opplysninger er at de gis over telefon, via meldingsutveksling eller utskrift som sendes med bud.
Én måte å tilgjengeliggjøre opplysninger på kan være at helsepersonellet gis adgang til selv å slå opp i nærmere angitte opplysninger, og at disse tilgjengeliggjøres forutsatt at oppslaget tilfredsstiller forhåndsdefinerte kriterier. Dette er en vanlig måte å tilgjengeliggjøre relevante og nødvendige helseopplysninger på internt i en virksomhet. Regelverket åpner også for at slik tilgjengeliggjøring kan skje på tvers av virksomhetsgrenser. Helsepersonellet autoriseres, innen rammen av taushetsplikten, for tilgang til opplysninger ut fra den enkeltes tjenstlige behov, og det iverksettes tekniske og organisatoriske tiltak som sikrer at faktisk tilgang er i samsvar med den informasjon som den enkelte er autorisert for.
Krav til informasjonssikkerhet
Uavhengig av metode for tilgjengeliggjøring, vil det etter pasientjournalloven § 19 være den dataansvarlige for journalsystemet som opplysningene tilgjengeliggjøres fra, som er ansvarlig for at tilgjengeliggjøringen skjer på en måte som ivaretar informasjonssikkerheten.
Det følger av pasientjournalloven § 22 at virksomheten plikter å sørge for iverksettelse av tekniske og organisatoriske tiltak som ivaretar informasjonssikkerheten. Iverksettelse av tiltak skal være risikobasert. Blant annet skal virksomheten sørge for tilgangsstyring, logging og etterfølgende kontroll.
Personellet skal ikke tildeles videre tilganger til (autoriseres for) å søke frem opplysninger fra virksomhetens behandlingsrettede helseregistre enn hva som følger av det tjenstlige behovet. Av pasientjournalforskriften § 13 følger blant annet at en autorisasjon skal dokumenteres i virksomhetens oversikt over helsepersonellets autorisasjoner, være tidsbegrenset og vurderes på nytt ved endringer i ansvars- eller ansettelsesforhold.
Det er fastsatt i pasientjournalforskriften § 14 at tilgjengeliggjøring skal logges automatisk hos virksomheten, og det er satt minimumskrav til hva loggen skal inneholde av informasjon. Det skal blant annet logges informasjon om identitet og organisatorisk tilhørighet til den som har hentet fram helseopplysninger, grunnlaget for tilgjengeliggjøringen (det tjenstlige behovet) og tidsperioden for tilgjengeliggjøringen.
Det er de samme regler som gjelder for tilgjengeliggjøring til helsepersonell ansatt i andre virksomheter som til egne ansatte. Når en virksomhet gir ansatte utenfor egen virksomhet tilgang til opplysninger den er dataansvarlig for, vil dette kunne innebære at rettmessigheten av oppslag blir vanskeligere å kontrollere. Dataansvarlig som tilgjengeliggjør opplysninger for helsepersonell i andre virksomheter må derfor forsikre seg om at virksomheten som helsepersonellet er ansatt i har iverksatt et tilfredsstillende system som ivaretar taushetsplikt og kravene til informasjonssikkerhet.