Regelverk
Lovgivningen og sentrale begrep
Her finner du en oversikt over lovgivning og sentrale begrep tilknyttet temaet.
Lovgivning
EUs personvernforordning gjelder som norsk lov f.o.m. 20. juli 2018. Alle bestemmelsene i forordningen bygger på de grunnleggende prinsippene i artikkel 5 som er:
- Lovlighet, rettferdighet og åpenhet: Behandlingen må ha rettslig grunnlag (behandlingsgrunnlag), og være forståelig, oversiktlig og forutsigbar for de registrerte. Lovlig behandling av helseopplysninger i medisinske kvalitetsregistre forutsetter behandlingsgrunnlag i artikkel 6 og 9.
- Formålsbegrensning: Ved innsamling skal det være klart hvilke formål opplysningene skal brukes til. Senere behandling må ikke være uforenlig med disse formålene.
- Dataminimering: Behandling, herunder oppbevaring av opplysningene, skal begrenses til det som er nødvendig for å oppfylle formålet. Omtales som forbud mot overskuddsinformasjon.
- Riktighet: Opplysningene skal ajourføres og uriktige opplysninger skal slettes eller oppdateres.
- Lagringsbegrensning: Når det ikke lenger er nødvendig å behandle opplysningene, skal de anonymiseres eller slettes.
- Integritet og konfidensialitet: Opplysningene må sikres mot uautorisert eller ulovlig innsyn.
Andre særlige viktige vilkår i forordningen for å kunne behandle helseopplysninger er artikkel 25 om innebygget personvern, artikkel 32 om sikkerhet ved behandlingen, artikkel 35 om vurdering av personvernkonsekvenser og artikkel 36 om forhåndsdrøfting med Datatilsynet.
I høringsnotatet til forskrift om medisinske kvalitetsregistre er forordningens relevans for kvalitetsregistrene nærmere beskrevet.
Samtidig med gjennomføringen av personvernforordningen fikk vi ny personopplysningslov. Loven inkorporer personvernforordningen til norsk lov og har bestemmelser som supplerer eller gjør unntak fra forordningen i enkelte spørsmål.
Av betydning for helseregistre gir bl.a. personopplysningsloven § 9 lovgrunnlag for behandling av helseopplysninger til forskning og statistiske formål. Vilkåret er at samfunnsinteressene klart overstiger personvernulempene for den enkelte. Bestemmelsen gir alternativt rettsgrunnlag til helselovene for ikke-samtykkebasert behandling av helseopplysninger, men forutsetter da i tillegg unntak/dispensasjon fra taushetsplikt for å kunne behandle opplysningene uten hinder av taushetsplikten.
Du kan lese mer om personopplysningsloven med forordning hos Datatilsynet, og personopplysningslovens relevans for kvalitetsregistre i høringsnotatet til forskrift om medisinske kvalitetsregistre
Helseregisterloven regulerer behandling av helseopplysninger i helseregistre som ikke er behandlingsrettede, men som har som hovedformål å danne grunnlag for statistikk, helseanalyser, forskning, kvalitetsforbedring, planlegging, styring og beredskap (sekundærbruk). Loven gjelder ved innsamling, lagring og annen behandling av helseopplysninger i medisinske kvalitetsregistre.
Helseregisterloven supplerer personvernforordningen og personopplysningsloven. De generelle reglene i personopplysningsloven gjelder så langt ikke annet følger av helseregisterloven.
Adgangen til å gi forskrifter for helseregistre er regulert i §§ 8 til 11, og er oppbygd slik:
- § 8 fastsetter vilkårene for å etablere helseregistre ved forskrift etter helseregisterloven
- § 9 gir hjemmel til å gi forskrift til registre som er samtykkebaserte eller uten direkte personidentifiserende kjennetegn
- § 10 gir hjemmel til å gi forskrift om helseregistre der den registrerte har reservasjonsrett
- § 11 gir hjemmel til å gi forskrift om lovbestemte helseregistre hvor opplysningene kan behandles uten den registrertes samtykke eller reservasjonsrett
Forskriftene gir supplerende rettsgrunnlag til personvernforordningen for de registrene som etableres med hjemmel i disse forskriftene.
Lovbestemte helseregistre etter helseregisterloven § 11 har egne forskrifter for hvert register med bestemmelser for innsamling, lagring, tilgjengeliggjøring mv.
Det er til sammen etablert 17 kvalitetsregistre knyttet til fagområdene i Hjerte- og karregisteret, Kreftregisteret og Medisinsk fødselsregister. Ettersom de er opprettet som en del av de lovbestemte registrene er de regulert av deres forskrifter.
Forskrift om medisinske kvalitetsregistre trådte i kraft 1. september 2019 og omfatter både samtykkebaserte og reservasjonsbaserte registre. Unntak fra samtykkekravet er innført når det er nødvendig av hensyn til registrenes datakvalitet og dekningsgrad.
Forskriften presiserer og utfyller personvernforordningen, og inneholder tilpasset informasjon over hvilke krav som gjelder kvalitetsregistre. Hovedinnholdet i forskriften er:
- Krav til registrenes innhold
- Krav ved etablering av et kvalitetsregister
- Unntak fra taushetsplikt for innmelding av opplysninger og meldeplikt til registre med nasjonal status
- Unntak fra samtykkekravet
- Informasjon til de registrerte
- Utlevering og annen behandling av helseopplysninger, herunder om tilbakerapportering, sammenstilling med andre registre og dekningsgradsanalyser
Forskriften gjelder ikke lovbestemte helseregistrene etter helseregisterloven § 11. Disse har egne forskrifter for hvert register. Forskriften gjelder heller ikke virksomhetsintern kvalitetssikring etter pasientjournalloven § 6 jf. helsepersonelloven § 26 (som ofte betegnes som lokale kvalitetsregistre). I praksis omfatter dermed forskriften i all hovedsak de kvalitetsregistrene som tidligere har blitt etablert etter konsesjon fra Datatilsynet.
I forskriftens høringsnotat og Kgl.res av 21. juni 2019 finner du Helse- og omsorgsdepartementets avklaring av sentrale områder i forskriften og oppsummering av høringen.
Helseforskningsloven gjelder medisinsk og helsefaglig forskning på mennesker, humant biologisk materiale eller helseopplysninger der formålet er å skaffe til veie ny kunnskap om helse og sykdom.
Loven har regler om forskningsbiobanker og krav til oppbevaring og behandling av humant biologisk materiale i forskningsbiobanker (§§ 25 flg.) Kvalitetsregistre som behandler humant biologisk materiale i tilknyttede biobanker må ha tillatelse av fra en av de regionale etiske komiteene for medisinsk og helsefaglig forskningsetikk (REK).
Dersom registeropplysninger skal behandles for medisinsk og helsefaglig forskning, stiller loven krav om forskningsetisk forhåndsvurdering fra REK (helseforskningsloven §§ 9 og 33). Tidligere ga forhåndsgodkjenning fra REK rettslig grunnlag for behandling av personopplysninger. Etter innføringen av personvernforordningen er det fortsatt krav om å søke REK om etisk forhåndsgodkjenning av prosjekter som defineres som medisinsk- og helsefaglig forskning, men forhåndsgodkjenningen gir ikke lenger et behandlingsgrunnlag. Dataansvarlig må selv sørge for at forskningsprosjektet har behandlingsgrunnlag i forordningen og nasjonal rett.
Her finner du mer om framleggingsplikten for REK.
Pasientjournalloven regulerer først og fremst behandling av helseopplysninger i behandlingsrettede helseregistre (pasientjournaler). Pasientjournalloven og helseregisterloven er gjensidig ekskluderende, jf. helseregisterloven § 3. Formålet med opprettelsen og bruken av registeret avgjør da lovvalget.
Ved kvalitetssikring skilles det mellom kvalitetssikring av helsehjelpen til den enkelte pasient og kvalitetssikring av helsehjelpen «som sådan». Kvalitetssikring av helsehjelp til den enkelte pasient omfattes av pasientjournalloven. Det samme gjelder virksomhetsintern kvalitetssikring etter pasientjournalloven § 6 og helsepersonelloven § 26.
Du finner mer om skillet mellom kvalitetssikring etter pasientjournalloven og helseregisterloven i lovforarbeidene i Prop 72. L (2013-2014) i kapittel 15 og 17.3.1.
Helseopplysninger er underlagt taushetsplikt. Det følger av:
- helsepersonelloven § 21
- pasientjournalloven § 15
- helseregisterloven § 17
- helseforskningsloven § 7
Taushetsplikt for personopplysninger følger også av forvaltningsloven §§ 13 flg. og statistikkloven § 2-4.
Personvernforordningen og personopplysningsloven regulerer ikke forholdet til taushetsplikten. Det kreves dermed lovhjemmel, samtykke eller dispensasjon fra taushetsplikt i henhold til øvrig nasjonal lovgivning, dersom taushetsbelagte opplysninger skal innhentes fra eller gjøres tilgjengelig for andre.
Unntak og dispensasjon fra taushetsplikten etter helseregisterloven, helsepersonelloven og helseforskningsloven, gir den dataansvarlige adgang til å tilgjengeliggjøre opplysningene. Videre vil mottakeren ha nødvendig supplerende rettsgrunnlag for sin behandling. Dette er lagt til grunn i personopplysningslovens forarbeider (Prop. 56 LS (2017-2018) punkt 32.3)
Sentrale unntak og dispensasjonsbestemmelser for tilgjengeliggjøring av opplysninger fra kvalitetsregistre er:
- Unntak fra taushetsplikten etter helseregisterloven § 20
Gjelder tilgjengeliggjøring av indirekte identifiserbare helseopplysninger fra lovbestemte helseregistre etablert med hjemmel i helseregisterloven § 11. Det er dataansvarlig for registret som beslutter om opplysningene kan tilgjengeliggjøres eller ikke. - Dispensasjon fra taushetsplikten etter helsepersonelloven § 29
Gjelder tilgjengeliggjøring av helseopplysninger til forskning, og må søkes til den regionale komiteen for medisinsk og helsefaglig forskningsetikk (REK) - Dispensasjon fra taushetsplikten etter helsepersonelloven § 29 b
Gjelder tilgjengeliggjøring av opplysninger til helseanalyser, kvalitetssikring, administrasjon, planlegging eller styring av helse- og omsorgstjenesten, og må søkes til Helsedirektoratet - Dispensasjon fra taushetsplikten etter helseforskningsloven § 35
Gjelder tilgjengeliggjøring av helseopplysninger fra helsepersonell og opplysninger innsamlet i helse- og omsorgstjenesten til bruk i medisinsk- og helsefaglig forskning, og må søkes til den regionale komiteen for medisinsk og helsefaglig forskningsetikk (REK)
Sentrale begrep
Et medisinsk kvalitetsregister er i forskrift om medisinske kvalitetsregistre § 1-2 definert som et «helseregister hvor det løpende dokumenteres resultater fra helsehjelp for en avgrenset pasientgruppe med utgangspunkt i individuelle pasientforløp».
Hovedformålet med registrene er å kvalitetsforbedre helsetjenestene gjennom statistikker, analyser og forskning. Sekundærformålet er planlegging, styring og beredskap i helse- og omsorgstjenesten og i helse- og omsorgsforvaltningen. Dette følger av kvalitetsregisterforskriften § 1-1.
Lokale kvalitetsregistre brukes ofte om virksomhetsintern kvalitetssikring etter helsepersonelloven § 26, som gir adgang for helsepersonell til å gi opplysninger til virksomhetens ledelse for å kvalitetssikre tjenesten.
Regionale kvalitetsregistre dekker en eller flere virksomheter som yter helsetjenester, f. eks. ett eller flere helseforetak.
Nasjonale registre er landsomfattende og kan være etablert med eller uten nasjonal status.
Nasjonal status er en tittel som tildeles av Helsedirektoratet til medisinske kvalitetsregistre etter en vurdering basert på kriterier nedfelt i veilederen «Oppretting og drift av nasjonale medisinske kvalitetsregistre». Pr. i dag har 53 kvalitetsregistre slik status.
Hovedformålet med ordningen er å bidra til å etablere kvalitetsregistre på viktige fagområder og sikre at de oppfyller sentrale kriterier slik at de kan brukes til å kvalitetsforbedre helsetjenesten. Nasjonal status innebærer at det regionale helseforetaket påtar seg ansvar for oppfølging, videreutvikling og drift av registeret.
Personopplysning: Enhver opplysning om en identifisert eller identifiserbar fysisk person, jf. personvernforordningen artikkel 4 nr. 1
Helseopplysninger: Personopplysninger om en fysisk persons fysiske eller psykiske helse, herunder også ytelse av helsetjenester som gir informasjon om personens helsetilstand, jf. personvernforordningen artikkel 4 nr. 15 og helseregisterloven § 2 bokstav a
Anonyme opplysninger: Informasjon som ikke kan identifisere enkeltpersoner, verken direkte eller indirekte. Anonyme opplysninger regnes ikke som personopplysninger. Behandling av slike opplysninger reguleres ikke av helseregisterloven eller personvernforordningen og kan fritt innsamles, registreres, utleveres mv.
Du kan lese mer om anonyme opplysninger i
- Personvernforordningen fortalepunkt 26
- Prop. 63 L (2029-2020) Endringer i helseregisterloven mv, punkt 2.1
- Datatilsynet, Veileder om anonymisering av personopplysninger, 2015
Helseregister: Strukturert samling av personopplysninger som er tilgjengelig etter særskilte kriterier og som inneholder helseopplysninger, jf. personvernforordningen artikkel 4 nr. 6 og helseregisterloven § 2 bokstav c
Tilgjengeliggjøring: Deling av opplysninger; utlevering ved overføring eller at det gis online tilgang til de aktuelle opplysningene i registeret. Dette er betydningen av begrepet etter helseregisterloven og forskrifter gitt i medhold av loven, og som brukes i Prop. 63 L (2019-2020) Endringer i helseregisterloven m.m.
Sammenstilling: Kobling av opplysninger i et register mot andre opplysninger for å tilføre nye opplysninger til registeret, kvalitetskontrollere eksisterende opplysninger eller legge til rette for tilgjengeliggjøring av et datasett med opplysninger fra flere registre til konkrete formål. Begrepet brukes i flere lover og forskrifter uten at det er direkte definert. Se Prop. 63 L (2029-2020) Endringer i helseregisterloven mv.
Behandlingsansvarlig og dataansvarlig: Den som bestemmer formålet og midlene for behandlingen av opplysningene. «Dataansvarlig» brukes i helselovene, men har samme innhold som «behandlingsansvarlig» i forordningen, jf. personvernforordningen artikkel 4 nr. 7 og helseregisterloven § 2 bokstav d
Databehandler: Person eller virksomhet som behandler personopplysninger på vegne av den dataansvarlige, jf. personvernforordningen artikkel 4 nr. 8
Registerforvalter: Dataansvarlig for et helseregister. Brukes i Prop. 63 L (2019-2020) for å skille mellom oppgaver til dataansvarlig for registrene og ny Helsedataservice
Behandlingsgrunnlag: Rettslig grunnlag for å behandle personopplysninger. All behandling av personopplysninger må ha et rettslig grunnlag for å være lov. Hos Datatilsynet finner du en gjennomgang av de ulike behandlingsgrunnlagene i personvernforordningen og når de gjelder.