De registrertes rett til informasjon, innsyn, retting, sletting og sperring av helseopplysninger er regulert i personvernforordningen artikkel 12 flg.
Helseregisterloven og forskrift om medisinske kvalitetsregistre presiserer og utfyller forordningens krav.
De registrerte har rett til informasjon i henhold til personvernforordningen artikkel 13 og 14 og helseregisterloven § 24. I forskriften § 3-5 er det gjengitt hva de registrerte minst skal få informasjon om:
a) hvilket kvalitetsregister innsamlingen av helseopplysningene gjelder
b) kvalitetsregisterets formål
c) hvor opplysningene hentes fra
d) hvem som er dataansvarlig
e) hvilke opplysninger som vil bli behandlet
f) hvor lenge helseopplysningene skal lagres
g) om hvordan videre informasjon vil bli gitt
h) om helseopplysninger skal tilgjengeliggjøres, eventuelt hvilke vilkår dataansvarlig stiller for tilgjengeliggjøringen
i) om opplysningene kan sammenstilles med andre registre og hvilke registre de kan sammenstilles med
j) hvordan den registrerte kan trekke tilbake samtykke eller motsette seg behandlingen av helseopplysningene
k) den registrertes rett til innsyn, retting, sletting, sperring mv. etter helseregisterloven §§ 24 flg.
l) at den registrerte kan henvende seg til Datatilsynet eller Statens Helsetilsyn dersom helseopplysningene ikke behandles i samsvar med forskriften eller annet relevant regelverk.
Dersom behandlingen baseres på samtykke skal informasjonen gis før samtykke innhentes. Dette vil som regel være i forbindelse med at det ytes helsehjelp.
Dersom registreringen er unntatt fra samtykke, kan innsamling og registrering av opplysninger starte før dataansvarlig har gitt informasjon til de registrerte. Kravet er da at informasjon skal gis så snart som mulig.
Det er ikke stilt absolutte krav til hvordan og hvor fort informasjonen skal gis. Dataansvarlig må selv vurdere dette ut fra de registrertes behov og registerets innretning, formål og karakter. Informasjonen kan for eksempel gis elektronisk, i brev eller muntlig. Videre informasjonen om behandlingen av opplysningene kan også utformes på ulike måter. Flere kvalitetsregistre har nettsider. Det er viktig at disse oppdateres. Standardiserte elektroniske meldinger eller brev er andre eksempler.
Se forskrift om medisinske kvalitetsregistre § 3-5, høringsnotatet til forskriften s. 48-49 og kgl. resolusjon av 21. juni 2019 side 3.
Etter pasient- og brukerrettighetsloven og helseregisterloven har ikke samtykker gitt på vegne av barn noen tidsbegrensning. Utgangspunktet er derfor at et slikt samtykke fortsatt vil være gyldig når barnet fyller 16 år og får kompetanse til å samtykke på vegne av seg selv. Dette er bekreftet i praksis fra Personvernnemnda i sakene PVN-2013-07 og PVN-2014-21.
Departementet mener på denne bakgrunn at det ikke skal være nødvendig å innhente nytt samtykke når den registrerte fyller 16 år. Du kan lese mer om dette i høringsnotatet til forskrift om medisinske kvalitetsregistre punkt 8.2.
Den som har fylt 16 år har imidlertid rett til å trekke samtykket tilbake. Dataansvarlig for registeret må informere den 16-årige registrerte om behandlingen, samtykket og retten til å trekke samtykket tilbake eller motsette seg behandlingen av opplysninger, jf. forskriften § 3-5 fjerde ledd.
De registrerte har rett til innsyn i opplysninger om seg selv i henhold til personvernforordningen artikkel 15 og helseregisterloven § 24.
Innsynsretten omfatter også hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til den registrertes navn eller fødselsnummer (logg).
Direktoratet for e-helse er i gang med å etablere en innsynsløsning på helsenorge.no for innbygger mot utvalgte helseregistre og kvalitetsregistre.
Helseregisterloven § 25 regulerer den registrertes rett til å kreve at opplysninger rettes, sperres eller slettes. Bestemmelsen gjelder kun helseopplysninger som behandles etter §§ 8 til 11, dvs. for forskriftsregulerte registre.
I praksis vil bestemmelsen kun ha betydning i de tilfeller der opplysningene ikke er basert på samtykke eller reservasjonsrett. I andre tilfeller vil den registrerte kunne trekke tilbake samtykket eller motsette seg behandlingen.
Tilsynsmyndighet etter personvernforordningen er Datatilsynet. Datatilsynet fører også tilsyn med helseregisterloven unntatt for tilsynsoppgaver som påligger Statens Helsetilsyn eller Fylkesmannen etter helsetilsynsloven, jf. helseregisterloven § 26. Dvs. at Datatilsynet fører tilsyn med personvernfaglige spørsmål, mens Helsetilsynet og Fylkesmannen har ansvaret for helsefaglige spørsmål.