Legalize
Legalize / Norge / Lov

Lov om helseregistre og behandling av helseopplysninger (helseregisterloven)

Type Lov
Publisering 2014-06-20
Status I kraft
Departement Helse- og omsorgsdepartementet
Kilde Lovdata
Endringshistorikk JSON API

Kapittel 1. Generelle bestemmelser

§ 1. Lovens formål

Formålet med loven er å legge til rette for innsamling og annen behandling av helseopplysninger, for å fremme helse, forebygge sykdom og skade og gi bedre helse- og omsorgstjenester. Loven skal sikre at behandlingen foretas på en etisk forsvarlig måte, ivaretar den enkeltes personvern og brukes til individets og samfunnets beste.

§ 2. Definisjoner

I denne loven forstås med:helseopplysninger: personopplysninger om en fysisk persons fysiske eller psykiske helse, medregnet om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand, jf. personvernforordningen artikkel 4 nr. 15behandling av helseopplysninger: enhver operasjon eller rekke av operasjoner som gjøres med helseopplysninger, enten automatisert eller ikke, for eksempel innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring, jf. personvernforordningen artikkel 4 nr. 2helseregister: enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier, og som inneholder helseopplysninger, jf. personvernforordningen artikkel 4 nr. 6dataansvarlig: ansvarlig for behandling av helseopplysninger, jf. personvernforordningen artikkel 4 nr. 7samtykke: enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av helseopplysninger som gjelder vedkommende, jf. personvernforordningen artikkel 4 nr. 11indirekte personidentifiserbare helseopplysninger: helseopplysninger der navn, fødselsnummer og andre personidentifiserende kjennetegn er fjernet, men hvor opplysningene likevel kan knyttes til en enkeltperson.

helseopplysninger: personopplysninger om en fysisk persons fysiske eller psykiske helse, medregnet om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand, jf. personvernforordningen artikkel 4 nr. 15

behandling av helseopplysninger: enhver operasjon eller rekke av operasjoner som gjøres med helseopplysninger, enten automatisert eller ikke, for eksempel innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring, jf. personvernforordningen artikkel 4 nr. 2

helseregister: enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier, og som inneholder helseopplysninger, jf. personvernforordningen artikkel 4 nr. 6

dataansvarlig: ansvarlig for behandling av helseopplysninger, jf. personvernforordningen artikkel 4 nr. 7

samtykke: enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av helseopplysninger som gjelder vedkommende, jf. personvernforordningen artikkel 4 nr. 11

indirekte personidentifiserbare helseopplysninger: helseopplysninger der navn, fødselsnummer og andre personidentifiserende kjennetegn er fjernet, men hvor opplysningene likevel kan knyttes til en enkeltperson.

§ 3. Saklig virkeområde

Loven gjelder for behandling av helseopplysninger til statistikk, helseanalyser, forskning, kvalitetsforbedring, planlegging, styring og beredskap i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten.

For opplysninger som er taushetsbelagte etter helsepersonelloven § 21, og for opplysninger om avdøde personer gjelder bestemmelsene her om behandling av helseopplysninger så langt de passer.

Loven gjelder også tilsvarende for behandling av opplysninger i Helsearkivregisteret i Norsk helsearkiv.

Loven gjelder ikke for behandling av helseopplysninger som reguleres av helseforskningsloven eller pasientjournalloven.

Kongen i statsråd kan i forskrift bestemme at loven helt eller delvis skal gjelde for behandling av helseopplysninger utenfor helse- og omsorgsforvaltningen eller helse- og omsorgstjenesten.

§ 4. Geografisk virkeområde

Loven gjelder for dataansvarlige som er etablert i Norge. Kongen kan i forskrift bestemme at loven helt eller delvis skal gjelde for Svalbard og Jan Mayen, og kan fastsette særlige regler om behandling av helseopplysninger for disse områdene.

§ 5. Forholdet til personvernforordningen og personopplysningsloven

Personvernforordningen og personopplysningsloven gjelder så langt ikke noe annet følger av denne loven.

Kapittel 2. Adgang til å behandle helseopplysninger og å etablere helseregistre

§ 6. Alminnelige vilkår for å behandle helseopplysninger

Helseopplysninger skal behandles i samsvar med prinsippene for behandling i personvernforordningen artikkel 5.

Graden av personidentifikasjon skal ikke være større enn nødvendig for det aktuelle formålet. Graden av personidentifikasjon skal begrunnes. Tilsynsmyndigheten kan kreve at den dataansvarlige legger frem begrunnelsen.

Departementet kan gi forskrift om godkjenning av programvare, sertifisering og om bruk av standarder, klassifikasjonssystemer og kodeverk, samt hvilke nasjonale eller internasjonale standardsystemer som skal følges ved behandling av helseopplysninger etter denne loven.

§ 7. (Opphevet)
§ 8. Vilkår for etablering av helseregistre ved forskrift

Kongen i statsråd kan i forskrift gi nærmere bestemmelser om etablering av helseregistre og behandling av helseopplysninger i registre etter §§ 9, 10 eller 11, når vilkårene i denne bestemmelsen og § 6 er oppfylt.

Den helsefaglige eller samfunnsmessige nytten av registeret må klart overstige personvernulempene.

Registrene skal ivareta oppgaver etter apotekloven, folkehelseloven, helse- og omsorgstjenesteloven, legemiddelloven, smittevernloven, spesialisthelsetjenesteloven og tannhelsetjenesteloven.

Forskriften skal blant annet angiformålet med behandlingen av helseopplysningene,hvilke typer opplysninger som kan behandles,krav til identitetsforvaltning,krav til sikring av opplysningene, oghvem som er dataansvarlig.

formålet med behandlingen av helseopplysningene,

hvilke typer opplysninger som kan behandles,

krav til identitetsforvaltning,

krav til sikring av opplysningene, og

hvem som er dataansvarlig.

§ 9. Registre som er samtykkebaserte eller uten personidentifiserende kjennetegn

Kongen i statsråd kan, i samsvar med vilkår i § 8, gi forskrift om behandling av opplysninger i helseregistre dersomden registrerte samtykker, elleropplysningene behandles uten at den dataansvarlige har tilgang til navn, fødselsnummer eller andre personidentifiserende kjennetegn.

den registrerte samtykker, eller

opplysningene behandles uten at den dataansvarlige har tilgang til navn, fødselsnummer eller andre personidentifiserende kjennetegn.

§ 10. Helseregistre der den registrerte har rett til å motsette seg behandling av helseopplysninger

Kongen i statsråd kan i samsvar med vilkårene i § 8 gi forskrift om behandling av opplysninger i helseregistre der navn, fødselsnummer eller andre personidentifiserende kjennetegn skal kunne behandles uten samtykke fra den registrerte. Slike forskrifter kan gis dersomdet for å oppnå formålet med behandlingen av opplysningene, og av hensyn til registerets kvalitet, ikke kan kreves at samtykke innhentes, ogden registrerte har rett til å motsette seg at helseopplysninger behandles i registeret.

det for å oppnå formålet med behandlingen av opplysningene, og av hensyn til registerets kvalitet, ikke kan kreves at samtykke innhentes, og

den registrerte har rett til å motsette seg at helseopplysninger behandles i registeret.

§ 11. Lovbestemte helseregistre

Kongen i statsråd kan i samsvar med vilkårene i § 8 gi forskrift om behandling av opplysninger i helseregistre der navn, fødselsnummer eller andre personidentifiserende kjennetegn skal kunne behandles uten samtykke fra den registrerte i den utstrekning det er nødvendig for å nå formålet med registeret.

Det kan gis forskrifter om følgende registre:DødsårsaksregisteretKreftregisteretMedisinsk fødselsregisterMeldingssystem for smittsomme sykdommer (MSIS)System for vaksinasjonskontroll (SYSVAK)Forsvarets helseregisterNorsk pasientregisterNasjonalt register over hjerte- og karlidelserSystem for bivirkningsrapporteringKommunalt pasient- og brukerregisterLegemiddelregisteret.

Dødsårsaksregisteret

Kreftregisteret

Medisinsk fødselsregister

Meldingssystem for smittsomme sykdommer (MSIS)

System for vaksinasjonskontroll (SYSVAK)

Forsvarets helseregister

Norsk pasientregister

Nasjonalt register over hjerte- og karlidelser

System for bivirkningsrapportering

Kommunalt pasient- og brukerregister

Legemiddelregisteret.

Kreftregisteret kan inneholde helseopplysninger om personer som har deltatt i undersøkelsesprogram for tidlig diagnose og kontroll for kreftsykdom. Ved negativt funn kan opplysninger om navn, fødselsnummer, adresse, bostedskommune og sivilstand registreres permanent, med mindre den registrerte motsetter seg det. Dersom den registrerte har motsatt seg permanent registrering, skal opplysningene slettes etter at de er kvalitetssikret og senest seks måneder etter innsamlingen. Dette leddet gjelder også funn som er innsamlet før 1. januar 2014.

§ 12. Helsearkivregisteret

Kongen i statsråd kan i forskrift gi bestemmelser om etablering av Helsearkivregisteret.

Helsearkivregisteret er et helseregister med personidentifiserbar pasientdokumentasjon om avdøde pasienter. Opplysningene i Helsearkivregisteret behandles uten de registrertes samtykke.

Nasjonalarkivet er dataansvarlig for opplysningene i Helsearkivregisteret, jf. arkivlova § 4 første ledd.

Kongen i statsråd kan i forskrift gi nærmere bestemmelser om behandlingen av helseopplysningene i registeret og formålet med behandlingen. Forskriften skal angi den dataansvarliges plikt til å gjøre data tilgjengelig.

Kongen i statsråd kan i forskriften gi nærmere bestemmelser om bevaring, kassasjon og avlevering av pasientdokumentasjon for private virksomheter som yter tjenester etter spesialisthelsetjenesteloven.

§ 13. Innmelding av helseopplysninger til helseregistre

Virksomheter og helsepersonell som tilbyr eller yter tjenester som omfattes av apotekloven, folkehelseloven, helse- og omsorgstjenesteloven, legemiddelloven, smittevernloven, spesialisthelsetjenesteloven eller tannhelsetjenesteloven plikter å melde opplysninger som bestemt i forskrifter etter §§ 8 til 12. Innmelding til registre etter §§ 9 bokstav b, 10, 11 og 12 kan skje uten hinder av taushetsplikt.

Kongen kan gi forskrifter om innmelding av helseopplysninger til registre som omfattes av §§ 8 til 12, blant annet om hvem som skal gi og motta opplysningene og om frister, formkrav, bruk av meldingsskjemaer og standarder. Den som mottar opplysningene, skal varsle avsenderen dersom opplysningene er mangelfulle.

§ 14. Innhenting av personopplysninger fra offentlige myndigheter

Dataansvarlige kan uten hinder av taushetsplikten innhente personopplysninger de har tillatelse til å behandle etter §§ 8 til 12, fra Folkeregisteret, Skatteetaten og Arbeids- og velferdsetaten.

§ 15. Hvem som har samtykkekompetanse

Rett til å samtykke til behandling av helseopplysninger harmyndige personer, ogmindreårige etter fylte 16 år.

myndige personer, og

mindreårige etter fylte 16 år.

For samtykke til behandling av opplysninger som gjelder personer under 16 år, gjelder pasient- og brukerrettighetsloven § 4-4 tilsvarende. Dersom barn mellom 12 og 16 år, av grunner som bør respekteres, ikke ønsker at foreldrene, andre med foreldreansvar eller barnevernstjenesten gjøres kjent med opplysninger om barnet, skal dette ivaretas.

For personer uten samtykkekompetanse etter pasient- og brukerrettighetsloven § 4-3 andre ledd, skal nærmeste pårørende etter pasient- og brukerrettighetsloven § 1-3 bokstav b gi samtykke.

For personer som er fratatt rettslig handleevne på det personlige området, gjelder pasient- og brukerrettighetsloven § 4-7 tilsvarende.

Departementet kan i forskrift bestemme at barn mellom 12 og 16 år kan samtykke til behandling av helseopplysninger for nærmere bestemte spesielle formål.

§ 16. Plikt til å innrapportere data til statistikk

Departementet kan i forskrift eller ved enkeltvedtak pålegge regionale helseforetak, helseforetak, fylkeskommuner og kommuner å innrapportere anonyme data eller indirekte personidentifiserbare helseopplysninger, uten hensyn til taushetsplikt, til statistikk. Forskriften kan ha nærmere regler om blant annet bruk av standarder, klassifikasjonssystemer og kodeverk.

Kapittel 3. Alminnelige bestemmelser om behandling av helseopplysninger

§ 17. Taushetsplikt

Enhver som behandler helseopplysninger etter denne loven, har taushetsplikt etter helsepersonelloven §§ 21 flg. Andre som får adgang eller kjennskap til helseopplysninger fra helseregistre, har samme taushetsplikt. For søknader om dispensasjon fra taushetsplikten for tilgjengeliggjøring av opplysninger i helseregistre gjelder § 19 e.

§ 18. Forbud mot urettmessig tilegnelse av taushetsbelagte helseopplysninger

Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger som behandles etter denne loven, uten særskilt hjemmel i lov eller forskrift.

§ 19. Utarbeidelse av statistikk

Dataansvarlige for helseregistre kan utarbeide og offentliggjøre relevant statistikk basert på helseopplysninger i registeret og opplysninger som er sammenstilt etter § 19 c.

Dataansvarlige for helseregistre som er etablert med hjemmel i § 11 skal utarbeide og løpende offentliggjøre relevant statistikk som nevnt i første ledd. Departementet kan gi forskrift om at også andre dataansvarlige skal utarbeide statistikk.

Dataansvarlige for helseregistre skal på forespørsel utarbeide og tilgjengeliggjøre statistikk basert på opplysninger i registeret og opplysninger som er sammenstilt etter § 19 c, dersom statistikken skal brukes til formål som er innenfor registrenes formål.

Utarbeidet statistikk skal være anonym.

§ 19 a. Tilgjengeliggjøring av helseopplysninger

Den dataansvarlige skal etter søknad tilgjengeliggjøre helseopplysninger i helseregistre, inkludert opplysninger som er sammenstilt etter § 19 c, nåropplysningene skal brukes til et uttrykkelig angitt formål som er innenfor registerets formål,mottakeren kan godtgjøre at behandlingen vil ha rettslig grunnlag etter personvernforordningen artikkel 6 og 9,mottakeren kan godtgjøre at behandlingen av opplysningene vil være innenfor rammene av eventuelle samtykker og ikke i strid med eventuelle reservasjoner, ogmottakeren har gjort rede for hvilke egnede tekniske og organisatoriske tiltak som skal settes i verk for å ivareta informasjonssikkerheten.

opplysningene skal brukes til et uttrykkelig angitt formål som er innenfor registerets formål,

mottakeren kan godtgjøre at behandlingen vil ha rettslig grunnlag etter personvernforordningen artikkel 6 og 9,

mottakeren kan godtgjøre at behandlingen av opplysningene vil være innenfor rammene av eventuelle samtykker og ikke i strid med eventuelle reservasjoner, og

mottakeren har gjort rede for hvilke egnede tekniske og organisatoriske tiltak som skal settes i verk for å ivareta informasjonssikkerheten.

Det skal ikke tilgjengeliggjøres flere opplysninger enn det som er nødvendig for formålet. Opplysningene skal tilgjengeliggjøres uten navn, fødselsnummer eller andre personidentifiserende kjennetegn med mindre slike opplysninger av særlige grunner er nødvendige.

Tilgjengeliggjøring kan bare skje når den registrerte har samtykket, tilgjengeliggjøringen omfattes av andre unntak fra taushetsplikten, eller det er gitt dispensasjon.

Den dataansvarlige kan sette som vilkår for tilgjengeliggjøring at mottakeren setter i verk særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.

Opplysningene kan bare tilgjengeliggjøres dersom det er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn. For tilgjengeliggjøring til medisinsk og helsefaglig forskning skal mottakeren ha fått forhåndsgodkjenning fra den regionale komiteen for medisinsk og helsefaglig forskningsetikk, jf. helseforskningsloven § 33.

Dersom det er gitt dispensasjon fra taushetsplikten etter § 19 e, skal opplysningene tilgjengeliggjøres i samsvar med dispensasjonsvedtaket uten at den dataansvarlige skal vurdere om vilkårene i første til femte ledd i bestemmelsen her er oppfylt.

Departementet kan gi forskrift om den dataansvarliges plikt og adgang til å tilgjengeliggjøre opplysninger som er overført til løsningen etter § 20.

§ 19 b. Unntak fra taushetsplikten for indirekte personidentifiserbare helseopplysninger

Taushetsplikten er ikke til hinder for tilgjengeliggjøring av indirekte personidentifiserbare helseopplysninger i registre som er etablert med hjemmel i § 11, dersom hensynet til den registrertes integritet og konfidensialitet er ivaretatt og behandlingen av opplysningene er av vesentlig interesse for samfunnet.

§ 19 c. Sammenstilling

Helseopplysninger i helseregistre etablert med hjemmel i §§ 8 til 12 og demografiske og sosioøkonomiske personopplysninger i Folkeregisteret og andre offentlige registre, kan sammenstilles for å utarbeide statistikk som skal tilgjengeliggjøres etter § 19 eller for å tilgjengeliggjøre opplysninger etter § 19 a. Det skal ikke sammenstilles flere opplysninger enn det som er nødvendig for formålet.

Sammenstillingen skal være i samsvar med eventuelle samtykker eller reservasjoner. Opplysninger i helseregistre etablert med hjemmel i § 9 første ledd bokstav b kan bare sammenstilles dersom sammenstillingen skjer uten at den dataansvarlige har tilgang til navn, fødselsnummer eller andre personidentifiserende kjennetegn.

Sammenstillingen skal gjøres av den dataansvarlige for et av registrene eller en virksomhet som departementet utpeker.

Som ledd i kvalitetskontroll av opplysningene i registeret kan den dataansvarlige også gjennomføre rutinemessige sammenstillinger med tilsvarende opplysninger i helseregistre hjemlet i § 11 og § 12 og i Folkeregisteret.

Dataansvarlige kan tilgjengeliggjøre opplysninger for sammenstilling uten hinder av taushetsplikten.

Kongen i statsråd kan gi forskrift om at opplysningene i registeret som ledd i kvalitetskontroll også kan sammenstilles med opplysninger i originalkilden (pasientjournal mv.).

§ 19 d. Tilgjengeliggjøring for påtalemyndigheten, arbeidsgivere og forsikringsøyemed

Helseopplysningene kan ikke gjøres tilgjengelige for påtalemyndigheten eller til bruk for arbeidsgivere eller forsikringsøyemed selv om den registrerte samtykker.

§ 19 e. Dispensasjon fra taushetsplikten

Lesing av dette dokumentet erstatter ikke den offisielle teksten publisert av Lovdata. Vi påtar oss intet ansvar for eventuelle unøyaktigheter.