Et av grunnprinsippene er at behandling av personopplysninger skal behandles på en lovlig, rettferdig og åpen måte overfor den registrerte.
Lovlig behandling av helseopplysninger innebærer at den har et rettslig grunnlag (behandlingsgrunnlag) i personvernforordningen artikkel 6 og artikkel 9. Alternativene i artiklene er delvis overlappende og flere alternativ kan derfor være relevant for samme databehandling.
Behandling av personopplysninger som er basert på samtykke kan ha grunnlag direkte i forordningen. For behandling som ikke er samtykkebasert vil det etter forordningen også være nødvendig med supplerende rettsgrunnlag i norsk rett. Dette kan være lov, forskrift eller lovhjemlet vedtak.
Helseregisterloven og forskrift om medisinske kvalitetsregistre krever som hovedregel samtykke fra den registrerte for å behandle opplysninger i medisinske kvalitetsregistre. Et gyldig samtykke krever at det er frivillig, spesifikt, informert, utvetydig, gitt gjennom en aktiv handling og dokumenterbart. Se helseregisterloven § 2 bokstav e som tilsvarer personvernforordningen artikkel 4 nr. 11.
Samtykkebaserte kvalitetsregistre kan ha behandlingsgrunnlag i forskrift om medisinske kvalitetsregistre eller direkte i personvernforordningen.
Forskrift om medisinske kvalitetsregistre
Behandlingsgrunnlaget for registre som omfattes av forskriften er personvernforordningen artikkel 6 nr. 1 bokstav e (allmenn interesse) og forskriften, jf. § 1-4. Bestemmelsen oppgir ikke konkret behandlingsgrunnlag i artikkel 9, men med utgangspunkt i forskriftens hovedformål og Helse- og omsorgsdepartementets avklaringer i kgl. resolusjon av 21. juni 2019 er det relevante grunnlaget artikkel 9 nr. 2 bokstav j (nødvendig for statistikk og forskningsformål).
Samtykke er ikke registrenes behandlingsgrunnlag, men et tiltak for å sikre den registrertes rettigheter og interesser. Forskriften presiserer de generelle reglene som gjelder for kvalitetsregistre og gir større åpenhet og klarhet om hvilke krav som gjelder.
Direkte i personvernforordningen
Behandling basert på et gyldig samtykke etter forordningen artikkel 4 nr. 11 kan ha behandlingsgrunnlag direkte etter forordningen artikkel 6 nr. 1 bokstav a og artikkel 9 nr. 2 bokstav a.
Direkte behandlingsgrunnlag i forordningen gir dataansvarlig et større ansvar for å vurdere om behandlingen er i tråd med kravene til lovlig behandling.
Ikke samtykkebasert behandling av helseopplysninger i kvalitetsregistre krever behandlingsgrunnlag både i personvernforordningen artikkel 6 og 9 og i supplerende nasjonalt rettsgrunnlag.
Aktuelt nasjonalt rettsgrunnlag er for det første forskrift om medisinske kvalitetsregistre som gir adgang til reservasjonsbaserte registre etter § 3-2. Videre gir helseregisterloven § 11 adgang til å gi forskrifter for lovpålagte helseregistre. Virksomhetsintern kvalitetssikring kan utføres med grunnlag i helsepersonelloven § 26 og pasientjournalloven § 6. I tillegg gir personopplysningsloven § 9 behandlingsgrunnlag for å behandle helseopplysninger til forskning og statistikkformål, forutsatt at det foreligger dispensasjon fra taushetsplikten.
Forskrift om medisinske kvalitetsregistre
Behandlingsgrunnlaget for registre som omfattes av forskriften er personvernforordningen artikkel 6 nr. 1 bokstav e (allmenn interesse) og forskriften, jf. § 1-4. Bestemmelsen oppgir ikke konkret behandlingsgrunnlag i artikkel 9, men med utgangspunkt i forskriftens hovedformål og Helse- og omsorgsdepartementets avklaringer i kgl. resolusjon av 21. juni 2019 er det relevante grunnlaget artikkel 9 nr. 2 bokstav j (nødvendig for statistikk og forskningsformål).
Reservasjonsrett er ikke registrenes behandlingsgrunnlag, men et tiltak for å sikre den registrertes rettigheter og interesser. Forskriften presiserer de generelle reglene som gjelder for kvalitetsregistre og gir større åpenhet og klarhet om hvilke krav som gjelder.
Forskriften § 3-2 gir adgang til unntak fra samtykkekravet når det er nødvendig av hensyn til registerets datakvalitet og dekningsgrad. Av personvernhensyn er det krav om reservasjonsrett for de registrerte, og det er begrenset hvilken virksomhet som kan være dataansvarlig. Dataansvarlig skal rådføre seg med personvernombudet, men det innebærer ikke at ombudet skal gi en godkjennelse. Den dataansvarlige må videre dokumentere at vilkårene er oppfylt og på hvilken måte den registrerte sin rett til informasjon skal oppfylles.
Minstekrav til informasjon følger av forskriften § 3-5. Reell reservasjonsrett forutsetter at den registrerte får informasjon om muligheten for å reservere seg, hvordan en reserverer seg og hva en kan reservere seg mot. Helse- og omsorgsdepartementet har presisert i høringsnotatet til forskriften (punkt 9.7.2) at det ikke er avgjørende om informasjonen som gis er individuell eller kollektiv. Departementet har heller ikke forskriftsfestet hvordan reservasjonsretten skal innrettes, da det kan være ulike behov i forskjellige registre.
Når vilkårene for reservasjon etter forskriften er oppfylt, vil dataansvarlig også ha behandlingsgrunnlag for å holde oversikt over hvem som har reservert seg. Ellers vil ikke reservasjonsretten være reell.
Du finner mer om kravene til reservasjonsrett i høringsnotatet til forskriften og departementets kgl. resolusjon av 21. juni 2019.
Personopplysningsloven § 9 og dispensasjon fra taushetsplikten
Personopplysningsloven § 9 kan gi supplerende rettslig grunnlag til personvernforordningen for å behandle helseopplysninger til forskning og statistiske formål, uten at den registrerte samtykker.
Siden personopplysningsloven og personvernforordningen ikke regulerer forholdet til taushetsplikten, vil det i tillegg måtte foreligge dispensasjon fra taushetsplikt for å ha tilgang til opplysningene. I avveiningen av personvernulemper og samfunnsinteresser kan reservasjonsrett da eventuelt være et tiltak for å redusere personvernulempene og sikre den registrertes rettigheter.
Før kvalitetsregisterforskriften trådte i kraft i september 2019 stilte Helsedirektoratet eksempelvis vilkår om reservasjonsrett i dispensasjon fra taushetsplikt for behandling av opplysninger i Nasjonalt traumeregister og Norsk intensivregister.
Helsepersonelloven § 26 og pasientjournalloven § 6
Helsepersonelloven § 26 sammenholdt med pasientjournalloven § 6, gir hjemmel til å opprette et virksomhetsinternt register for kvalitetssikring av tjenesten. Forutsetningen er at det er bestemt av ledelsen at et slikt register skal opprettes. Som hovedregel skal helseopplysningene gis uten direkte personidentifiserbare kjennetegn, som navn og fødselsnummer. Det er ikke krav om eksplisitt samtykke fra pasienten for at opplysningene skal kunne brukes til intern kvalitetssikring, men den enkelte pasient har reservasjonsrett.
Et virksomhetsinternt kvalitetsregister innebærer at nærmere definerte pasientopplysninger fra flere pasienters journaler kan behandles (sammenstilles og analyseres) for kvalitetssikring av en bestemt type tjeneste eller prosess, innen virksomheten. Dette framgår av lovforarbeidene til pasientjournalloven (Prop 72 L (2013-2014) Kap 15.3.2)
For opprettelse av et virksomhetsinternt kvalitetsregister etter helsepersonelloven § 26 og pasientjournalloven § 6, er det særlig to av de rettslige grunnlagene i personvernforordningen artikkel 6 nr. 1 som er aktuelle. Det ene er at det er nødvendig for å oppfylle en rettslig forpliktelse (art. 6 nr. 1 bokstav c), og det andre er at behandlingen er nødvendig i «allmennhetens interesse» (art. 6 nr. 1 bokstav e).
I artikkel 9 nr. 2 er det aktuelle alternativet at behandlingen er nødvendig i forbindelse med «medisinsk diagnostikk, yting av helse- eller sosialtjenester, behandling eller forvaltning av helse- eller sosialtjenester og -systemer» (art. 9 nr. 2 bokstav h). Opplysningene må da behandles av fagpersoner som er underlagt taushetsplikt etter nasjonal rett, jf. artikkel 9 nr. 3.
Fordi kvalitetssikringen kun kan skje internt i virksomheten, kan det ikke utleveres opplysninger utenfor virksomheten med mindre det finnes et hjemmelsgrunnlag for dette. Virksomheter kan ved et samarbeid om felles behandlingsrettet helseregister (pasientjournal), også samarbeide om kvalitetssikringen av helsehjelpen, jf. helsepersonelloven § 26 annet ledd og pasientjournalloven § 9.
Forskrifter for lovbestemte helseregistre etter helseregisterloven § 11
Helseregisterloven § 11 gir hjemmel til å gi forskrift om behandling av helseopplysninger i helseregistre der navn, fødselsnummer og andre direkte personidentifiserende kjennetegn er registrert. Opplysningene i disse registrene kan behandles uten samtykke eller reservasjonsrett fra den registrerte.
De kvalitetsregistrene som opprettes som en del av de lovbestemte registrene er regulert av deres forskrifter.
Du finner de lovbestemte helseregistrene uttømmende opplistet her i helseregisterloven § 11.