Lov om helseregistre og behandling av helseopplysninger (helseregisterloven).

DatoLOV-2001-05-18-24
DepartementHelse- og omsorgsdepartementet
Sist endretLOV-2013-06-21-80 fra 01.01.2014
PublisertI 2001 hefte 6
Ikrafttredelse01.01.2002
Endrer
Kunngjort
KorttittelHelseregisterloven - hlsregl.

Kapitteloversikt:

Loven oppheves ved lov 20 juni 2014 nr. 43 (ikr. fra den tid Kongen bestemmer). - Se også lov 14 apr 2000 nr. 31 om behandling av personopplysninger.

Kapittel 1. Lovens formål, definisjoner og virkeområde

§ 1.Lovens formål

Formålet med denne lov er å bidra til å gi helse- og omsorgstjenesten og helse- og omsorgsforvaltningen informasjon og kunnskap uten å krenke personvernet, slik at tjenestene kan gis på forsvarlig og effektiv måte. Gjennom forskning og statistikk skal loven bidra til informasjon og kunnskap om befolkningens helseforhold, årsaker til nedsatt helse og utvikling av sykdom for administrasjon, kvalitetssikring, planlegging og styring. Loven skal sikre at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på helseopplysninger.

0 Endret ved lover 24 juni 2011 nr. 30 (ikr. 1 jan 2012 iflg. res. 16 des 2011 nr. 1252), 22 juni 2012 nr. 46.
§ 2.Definisjoner

I denne loven forstås med:

1. helseopplysninger: taushetsbelagte opplysninger i henhold til helsepersonelloven § 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson,
2. avidentifiserte helseopplysninger: helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysninger som tidligere ble fjernet,
3. anonyme opplysninger: opplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson,
4. pseudonyme helseopplysninger: helseopplysninger der identitet er kryptert eller skjult på annet vis, men likevel individualisert slik at det lar seg gjøre å følge hver person gjennom helsesystemet uten at identiteten røpes,
5. behandling av helseopplysninger: enhver formålsbestemt bruk av helseopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter,
6. helseregister: registre, fortegnelser, m.v. der helseopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen,
7. behandlingsrettet helseregister: journal- og informasjonssystem eller annet helseregister som har til formål å gi grunnlag for handlinger som har forebyggende, diagnostisk, behandlende, helsebevarende eller rehabiliterende mål i forhold til den enkelte pasient og som utføres av helsepersonell, samt administrasjon av slike handlinger,
8. databehandlingsansvarlig: den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes, hvis ikke databehandlingsansvaret er særskilt angitt i loven eller i forskrift i medhold av loven,
9. databehandler: den som behandler helseopplysninger på vegne av den databehandlingsansvarlige,
10. registrert: den som helseopplysninger kan knyttes til,
11. samtykke: en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av helseopplysninger om seg selv.
§ 3.Saklig virkeområde

Loven gjelder for:

1. behandling av helseopplysninger i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten, som skjer helt eller delvis med elektroniske hjelpemidler for å fremme formål som beskrevet i § 1,
2. annen behandling av helseopplysninger i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten til slike formål, når helseopplysningene inngår eller skal inngå i et helseregister, og
3. Helsearkivregisteret i Norsk helsearkiv.

Loven gjelder både offentlig og privat virksomhet.

Kongen i Statsråd kan i forskrift bestemme at loven helt eller delvis skal gjelde for behandling av helseopplysninger utenfor helse- og omsorgsforvaltningen eller helse- og omsorgstjenesten for å ivareta formål som beskrevet i § 1.

Loven gjelder ikke for behandling av helseopplysninger som reguleres av helseforskningsloven.

0 Endret ved lover 15 juni 2001 nr. 93 (ikr. 1 jan 2002 iflg. res. 14 des 2001 nr. 1417), 20 juni 2008 nr. 44 (ikr. 1 juli 2009 iflg. res. 26 juni 2009 nr. 865), 24 juni 2011 nr. 30 (ikr. 1 jan 2012 iflg. res. 16 des 2011 nr. 1252), 22 juni 2012 nr. 46, 22 juni 2012 nr. 47 (ikr. 22 juni 2012 iflg. res. 22 juni 2012 nr. 578).
§ 4.Geografisk virkeområde

Loven gjelder for databehandlingsansvarlige som er etablert i Norge. Kongen kan i forskrift bestemme at loven helt eller delvis skal gjelde for Svalbard og Jan Mayen, og kan fastsette særlige regler om behandling av helseopplysninger for disse områdene.

Loven gjelder også for databehandlingsansvarlige som er etablert i stater utenfor EØS-området, dersom den databehandlingsansvarlige benytter hjelpemidler i Norge. Dette gjelder likevel ikke dersom hjelpemidlene bare brukes til å overføre helseopplysninger via Norge.

Databehandlingsansvarlige som nevnt i annet ledd, skal ha en representant som er etablert i Norge. Bestemmelsene som gjelder for den databehandlingsansvarlige, gjelder også for representanten.

Kapittel 2. Tillatelse til å behandle helseopplysninger, etablering av helseregistre, innsamling av opplysninger, meldingsplikt m.m.

§ 5.Behandling av helseopplysninger, konsesjonsplikt m.m.

Helseopplysninger kan bare behandles elektronisk når dette er tillatt etter personopplysningsloven §§ 9 og 33, helseforskningsloven eller følger av lov og behandlingen ikke er forbudt ved annet særskilt rettsgrunnlag. Det samme gjelder annen behandling av helseopplysninger, dersom opplysningene inngår eller skal inngå i et helseregister.

Konsesjonsplikt etter personopplysningsloven § 33 gjelder ikke for behandling av helseopplysninger som skjer med hjemmel i forskrift etter §§ 6 til 8 a.

Før helseopplysninger innhentes for behandling etter første ledd, skal samtykke fra den registrerte foreligge, hvis ikke annet er bestemt i eller i medhold av lov.

Pasient- og brukerrettighetsloven §§ 4-3 til 4-7 gjelder tilsvarende for samtykke etter denne lov. Barn mellom 12 og 16 år kan selv treffe beslutning om samtykke, dersom pasienten av grunner som bør respekteres, ikke ønsker at opplysningene gjøres kjent for foreldrene eller andre med foreldreansvar.

0 Endret ved lover 20 juni 2008 nr. 44 (ikr. 1 juli 2009 iflg. res. 26 juni 2009 nr. 865), 24 juni 2011 nr. 30 (ikr. 1 jan 2012 iflg. res. 16 des 2011 nr. 1252), 22 juni 2012 nr. 46, 22 juni 2012 nr. 47 (ikr. 22 juni 2012 iflg. res. 22 juni 2012 nr. 578).
§ 6.Behandlingsrettet helseregister

Behandlingsrettede helseregistre kan føres elektronisk. Det skal fremgå av registeret hvem som har registrert opplysningene. Dette kan gjøres ved hjelp av elektronisk signatur eller tilsvarende sikker dokumentasjon.

Regionale helseforetak og helseforetak, kommune og annen offentlig eller privat virksomhet som tar i bruk behandlingsrettede helseregistre, er databehandlingsansvarlig for opplysningene. Foretaket og kommunen kan delegere databehandlingsansvaret.

Kongen kan i forskrift gi nærmere bestemmelser om behandling av helseopplysninger i behandlingsrettede helseregistre, herunder om godkjenning av programvare og andre forhold som nevnt i § 16 femte ledd.

Kongen kan i forskrift fastsette at opplysninger i behandlingsrettet register skal behandles elektronisk.

0 Endret ved lover 15 juni 2001 nr. 93 (ikr. 1 jan 2002 iflg. res. 14 des 2001 nr. 1417), 24 juni 2011 nr. 30 (ikr. 1 jan 2012 iflg. res. 16 des 2011 nr. 1252), 14 juni 2013 nr. 39 (ikr. 1 juli 2013 iflg. res. 14 juni 2013 nr. 641).
§ 6 a.Virksomhetsovergripende, behandlingsrettede helseregistre

Det kan bare etableres virksomhetsovergripende, behandlingsrettede helseregistre som fremgår av loven her eller annen lov.

Virksomhetsovergripende behandlingsrettede helseregistre kan bare inneholde nærmere bestemte helseopplysninger i et begrenset omfang som er nødvendige og relevante for samarbeid mellom virksomheter om forsvarlige helse- og omsorgstjenester til pasienten eller brukeren. Slike registre kan bare etableres i tillegg til de behandlingsrettede helseregistrene virksomheten etablerer internt i virksomheten, jf. spesialisthelsetjenesteloven § 3-2 og helse- og omsorgstjenesteloven § 5-10, jf. helsepersonelloven §§ 39 og 40. Virksomhetsovergripende, behandlingsrettede helseregistre skal føres elektronisk.

Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om etablering, drift og behandling av helseopplysninger i virksomhetsovergripende behandlingsrettede helseregistre. Virksomhetsovergripende behandlingsrettede helseregistre kan bare etableres uten samtykke fra pasienten eller brukeren dersom dette er nødvendig for å ivareta formålet med registeret. Det kan ikke etableres sentrale behandlingsrettede helseregistre etter denne bestemmelsen.

Forskrift etter tredje ledd skal nærmere angi formålet med behandlingen av helseopplysningene og hvilke opplysninger som skal behandles. Forskriften skal videre angi hvem som er databehandlingsansvarlig for opplysningene, herunder om plassering, tilgang, tilgangskontroll, samt gi pasienten eller brukeren rett til å motsette seg behandling av opplysninger i registeret eller stille krav om samtykke.

0 Tilføyd ved lov 19 juni 2009 nr. 68, endret ved lov 24 juni 2011 nr. 30 (ikr. 1 jan 2012 iflg. res. 16 des 2011 nr. 1252).
§ 6 b.Virksomhetsovergripende, behandlingsrettede helseregistre - helsepersonell med formalisert arbeidsfellesskap

Kongen i statsråd kan i forskrift gi bestemmelser om etablering av virksomhetsovergripende behandlingsrettede helseregistre for bruk av helsepersonell med formalisert arbeidsfellesskap.

Forskriften etter første ledd skal sikre plassering av databehandlingsansvaret, samt angi regler om tilgang og tilgangskontroll. Den databehandlingsansvarlige skal sørge for at journal- og informasjonssystemene i det formaliserte arbeidsfellesskapet er forsvarlige.

Der slike registre opprettes, skal det virksomhetsovergripende, behandlingsrettede registeret føres elektronisk og erstatte det virksomhetsinterne behandlingsrettede registeret. Plikten til å føre journal, jf. helsepersonelloven §§ 39 og 40, gjelder tilsvarende.

0 Tilføyd ved lov 19 juni 2009 nr. 68.
§ 6 c.Registre for saksbehandling og administrering

Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om etablering av registre og behandling av helseopplysninger i registrene til følgende formål:

1. saksbehandling for å avgjøre om det kan treffes vedtak om frikort og refusjon av betalte egenandeler, jf. pasient- og brukerrettighetsloven § 2-6, spesialisthelsetjenesteloven § 5-5 og folketrygdloven kapittel 5
2. administrering og samordning av transport til undersøkelse eller behandling i helse- og omsorgstjenesten, jf. spesialisthelsetjenesteloven § 2-1 a første ledd nr. 6.

Forskriften etter første ledd skal angi hvilke opplysninger som kan behandles i registeret og gi nærmere regler om databehandlingsansvaret for opplysningene, herunder om plassering av ansvar. Forskriften kan inneholde bestemmelser om tilgang til opplysningene, tilgangskontroll mv.

Helseopplysningene kan behandles uten hensyn til samtykke fra den registrerte. Dette gjelder ikke opplysninger om diagnose eller sykdom. Den registrerte kan reservere seg mot at opplysninger om betalte egenandeler automatisk registreres i registeret som etableres i medhold av første ledd nr. 1 og mot utlevering av opplysninger om den registrerte skal betale egenandel.

0 Tilføyd ved lov 18 des 2009 nr. 137 (ikr. 1 jan 2010 iflg. res. 18 des 2009 nr. 1583), endret ved lov 24 juni 2011 nr. 30 (ikr. 1 jan 2012 iflg. res. 16 des 2011 nr. 1252).
§ 6d.Nasjonal kjernejournal

Kongen i Statsråd kan i forskrift gi bestemmelser om etablering av nasjonal kjernejournal.

Nasjonal kjernejournal er et sentralt og virksomhetsovergripende behandlingsrettet helseregister.

Nasjonal kjernejournal skal inneholde et begrenset sett relevante helseopplysninger som er nødvendig for å yte forsvarlig helsehjelp.

Opplysninger kan registreres og på annen måte behandles i nasjonal kjernejournal uten samtykke fra den registrerte. Den registrerte har rett til å reservere seg mot behandling av helseopplysninger i registeret. Reglene om samtykkekompetanse i pasient- og brukerrettighetsloven §§ 4-3 til 4-7 gjelder tilsvarende for retten til å reservere seg.

Helsepersonell med tjenstlig behov ved ytelse av helsehjelp, kan etter samtykke fra den registrerte gis tilgang til nødvendige og relevante helseopplysninger fra nasjonal kjernejournal. Når det er nødvendig for å yte forsvarlig helsehjelp, kan Kongen i Statsråd i forskrift gjøre unntak fra kravet om samtykke. Ved unntak fra samtykke gjelder helsepersonelloven § 45 første ledd første punktum tilsvarende.

Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om etablering av nasjonal kjernejournal, drift og behandling av helseopplysninger, herunder hvilke opplysninger som skal behandles, hvem som er databehandlingsansvarlig, regler om sletting, tilgang og tilgangskontroll, samt pasientens rettigheter.

0 Tilføyd ved lov 22 juni 2012 nr. 46.
§ 7.Regionale og lokale helseregistre

Det kan ikke etableres andre regionale og lokale helseregistre med helseopplysninger enn det som følger av denne eller annen lov.

Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om etablering av av regionale helseregistre og behandling av helseopplysninger i regionale helseregistre for ivaretakelse av oppgaver etter folkehelseloven, smittevernloven, spesialisthelsetjenesteloven og tannhelsetjenesteloven. Navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn kan bare behandles etter samtykke fra den registrerte. Samtykke fra den registrerte er ikke nødvendig, dersom det i forskriften bestemmes at helseopplysningene bare kan behandles i pseudonymisert eller avidentifisert form. Forskriften skal angi formålet med behandlingen av helseopplysningene, hvilke opplysninger som kan behandles, og eventuelt nærmere regler om hvem som skal foreta pseudonymiseringen og prinsipper for hvordan det skal gjøres. Det regionale helseforetaket er databehandlingsansvarlig for opplysningene, med mindre noe annet er bestemt i forskriften. Databehandlingsansvaret kan delegeres.

Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om etablering av lokale helseregistre og behandling av helseopplysninger i lokale helseregistre for ivaretakelse av oppgaver etter folkehelseloven, helse- og omsorgstjenesteloven og smittevernloven. Navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn kan bare behandles etter samtykke fra den registrerte. Samtykke fra den registrerte er ikke nødvendig, dersom det i forskriften bestemmes at helseopplysningene bare kan behandles i pseudonymisert eller avidentifisert form. Forskriften skal angi formålet med behandlingen av helseopplysningene, hvilke opplysninger som kan behandles, og eventuelt nærmere regler om hvem som skal foreta pseudonymiseringen og prinsipper for hvordan det skal gjøres. Kommunen er databehandlingsansvarlig for opplysningene, med mindre noe annet er bestemt i forskriften. Databehandlingsansvaret kan delegeres.

0 Endret ved lover 15 juni 2001 nr. 93 (ikr. 1 jan 2002 iflg. res. 14 des 2001 nr. 1417), 10 juni 2005 nr. 47, 24 juni 2011 nr. 30 (ikr. 1 jan 2012 iflg. res. 16 des 2011 nr. 1252), 22 juni 2012 nr. 46.
§ 8.Sentrale helseregistre

Det kan ikke etableres andre sentrale helseregistre med helseopplysninger enn det som følger av denne eller annen lov.

Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om etablering av av sentrale helseregistre og behandling av helseopplysninger i sentrale helseregistre for ivaretakelse av oppgaver etter apotekloven, folkehelseloven, helse- og omsorgstjenesteloven, tannhelsetjenesteloven, smittevernloven og spesialisthelsetjenesteloven, herunder overordnet styring og planlegging av tjenestene, kvalitetsutvikling, forskning og statistikk. Navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn kan bare behandles etter samtykke fra den registrerte. Samtykke fra den registrerte er ikke nødvendig, dersom det i forskriften bestemmes at helseopplysningene bare kan behandles i pseudonymisert eller avidentifisert form. Forskriften skal eventuelt fastsette nærmere regler om hvem som skal foreta pseudonymiseringen og prinsipper for hvordan det skal gjøres.

I følgende registre kan navn, fødselsnummer og andre direkte personidentifiserende kjennetegn behandles uten samtykke fra den registrerte i den utstrekning det er nødvendig for å nå formålet med registeret:

1. Dødsårsaksregisteret
2. Kreftregisteret
3. Medisinsk fødselsregister
4. Meldingssystem for smittsomme sykdommer
5. Det sentrale tuberkuloseregisteret
6. System for vaksinasjonskontroll (SYSVAK)
7. Forsvarets helseregister
8. Norsk pasientregister
9. Nasjonal database for elektroniske resepter
10. Nasjonalt register over hjerte- og karlidelser.

Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om behandlingen av helseopplysningene i helseregistrene.

Forskriftene etter annet og fjerde ledd skal angi formålet med behandlingen av helseopplysningene og hvilke opplysninger som skal behandles. Forskriften skal videre angi hvem som er databehandlingsansvarlig for opplysningene.

Databehandlingsansvaret kan delegeres. Forskriftene bør også gi bestemmelser om den databehandlingsansvarliges plikt til å gjøre data tilgjengelig for at formålene kan nås.

Kreftregisteret kan inneholde helseopplysninger om personer som har deltatt i undersøkelsesprogram for tidlig diagnose og kontroll for kreftsykdom. Ved negativt funn kan opplysninger om navn, fødselsnummer, adresse, bostedskommune og sivilstand registreres permanent, med mindre den registrerte reserverer seg mot det. Dersom den registrerte har reservert seg, skal opplysningene slettes etter at de er kvalitetssikret og senest seks måneder etter innsamlingen.

0 Endret ved lover 2 juli 2004 nr. 59 (ikr. 1 jan 2005 iflg. res. 10 des 2004 nr. 1614), 10 juni 2005 nr. 47, 16 feb 2007 nr. 7, 15 juni 2007 nr. 32, 9 apr 2010 nr. 14, 24 juni 2011 nr. 30 (ikr. 1 jan 2012 iflg. res. 16 des 2011 nr. 1252), 22 juni 2012 nr. 46, 22 juni 2012 nr. 47 (ikr. 22 juni 2012 iflg. res. 22 juni 2012 nr. 578), 21 juni 2013 nr. 80 (ikr. 1 jan 2014 iflg. res. 23 aug 2013 nr. 1022).
§ 8 a.Helsearkivregisteret m.m.

Kongen i statsråd kan i forskrift gi bestemmelser om etablering av Helsearkivregisteret.

Helsearkivregisteret er et sentralt helseregister med personidentifiserbar pasientdokumentasjon avlevert til Norsk helsearkiv, jf. § 9 og spesialisthelsetjenesteloven § 3-2 a. Opplysningene i Helsearkivregisteret kan behandles uten de registrertes samtykke.

Riksarkivaren er databehandlingsansvarlig for opplysningene i Helsearkivregisteret, jf. arkivlova § 4.

Kongen i statsråd kan i forskrift gi nærmere bestemmelser om etablering av Helsearkivregisteret, behandlingen av helseopplysningene i registeret, formålet med behandlingen og hvilke opplysninger som skal behandles. Bestemmelsene skal videre angi den databehandlingsansvarliges plikt til å gjøre data tilgjengelig.

Kongen i statsråd kan i forskrift gi nærmere bestemmelser om bevaring, kassasjon og avlevering av pasientdokumentasjon for de private virksomhetene i spesialisthelsetjenesten, jf. spesialisthelsetjenesteloven § 3-2 a andre ledd.

0 Tilføyd ved lov 22 juni 2012 nr. 47 (ikr. 22 juni 2012 iflg. res. 22 juni 2012 nr. 578).
§ 9.Særlig om innsamling av helseopplysninger til sentrale, regionale og lokale helseregistre, meldingsplikt mv.

Virksomheter og helsepersonell som tilbyr eller yter tjenester i henhold til apotekloven, helse- og omsorgstjenesteloven, smittevernloven, spesialisthelsetjenesteloven eller tannhelsetjenesteloven, plikter å utlevere eller overføre opplysninger som bestemt i forskrifter etter §§ 6 a, 6 c, 6 d, 7, 8 og 8 a samt etter paragrafen her.

Kongen kan gi forskrifter om innsamling av helseopplysninger etter §§ 6 a, 6 c, 6 d, 7, 8 og 8 a, herunder bestemmelser om hvem som skal gi og motta opplysningene og om frister, formkrav og meldingsskjemaer. Den som mottar opplysningene, skal varsle avsenderen av opplysningene dersom opplysningene er mangelfulle.

0 Endret ved lover 10 juni 2005 nr. 47, 19 juni 2009 nr. 68, 18 des 2009 nr. 137 (ikr. 1 jan 2010 iflg. res. 18 des 2009 nr. 1583), 24 juni 2011 nr. 30 (ikr. 1 jan 2012 iflg. res. 16 des 2011 nr. 1252), 22 juni 2012 nr. 46, 22 juni 2012 nr. 47 (ikr. 22 juni 2012 iflg. res. 22 juni 2012 nr. 578).
§ 10.Særlig om plikt til å innrapportere data til statistikk

Departementet kan i forskrift eller ved enkeltvedtak pålegge regionale helseforetak og helseforetak, fylkeskommuner og kommuner å innrapportere avidentifiserte eller anonyme data til statistikk, herunder gi nærmere regler om bruk av standarder, klassifikasjonssystemer og kodeverk.

0 Endret ved lov 15 juni 2001 nr. 93 (ikr. 1 jan 2002 iflg. res. 14 des 2001 nr. 1417).

Kapittel 3. Alminnelige bestemmelser om behandling av helseopplysninger

§ 11.Krav til formålsbestemthet, saklighet, relevans m.v.

Enhver behandling av helseopplysninger skal ha et uttrykkelig angitt formål som er saklig begrunnet i den databehandlingsansvarliges virksomhet. Den databehandlingsansvarlige skal sørge for at helseopplysningene som behandles, er relevante og nødvendige for formålet med behandlingen av opplysningene.

Helseopplysninger kan bare anvendes til andre formål enn helse- og omsorgstjenester til den enkelte eller administrasjon av slike tjenester når personidentifisering er nødvendig for å fremme disse formålene. Det skal alltid begrunnes hvorfor det er nødvendig å benytte personidentifiserbare opplysninger. Tilsynsmyndigheten kan i medhold av § 31 kreve at den databehandlingsansvarlige legger frem begrunnelsen.

Helseopplysninger kan ikke anvendes til formål som er uforenlig med det opprinnelige formålet med innsamlingen av opplysningene, uten at den registrerte samtykker.

0 Endret ved lov 24 juni 2011 nr. 30 (ikr. 1 jan 2012 iflg. res. 16 des 2011 nr. 1252).
§ 12.Sammenstilling av opplysninger

Helseopplysninger i behandlingsrettet helseregister kan sammenstilles med opplysninger om samme pasient eller bruker i annet behandlingsrettet helseregister, i den grad helseopplysningene kan utleveres etter helsepersonelloven §§ 25, 26 og 45.

Helseopplysninger som behandles i registre som nevnt i § 6 c kan sammenstilles med hverandre i samsvar med formålene med registrene.

Helseopplysninger innsamlet etter § 9 kan sammenstilles etter nærmere bestemmelser fastsatt i forskrift etter §§ 7, 8 og 8 a.

Helseopplysninger som behandles etter første, andre og tredje ledd kan sammenstilles med folkeregisteropplysninger om den registrerte.

Ut over det som følger av denne paragraf, kan helseopplysninger bare sammenstilles når dette er tillatt etter personopplysningsloven §§ 9 og 33.

0 Endret ved lover 18 des 2009 nr. 137 (ikr. 1 jan 2010 iflg. res. 18 des 2009 nr. 1583), 24 juni 2011 nr. 30 (ikr. 1 jan 2012 iflg. res. 16 des 2011 nr. 1252), 22 juni 2012 nr. 47 (ikr. 22 juni 2012 iflg. res. 22 juni 2012 nr. 578).
§ 13.Tilgang til helseopplysninger i den databehandlingsansvarliges og databehandlers institusjon

Bare den databehandlingsansvarlige, databehandlere og den som arbeider under den databehandlingsansvarliges eller databehandlers instruksjonsmyndighet, kan gis tilgang til helseopplysninger. Tilgang kan bare gis i den grad dette er nødvendig for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt.

Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om tilgang til helseopplysninger. Forskriften kan for tilgang til helseopplysninger i behandlingsrettede helseregistre gjøre unntak fra første ledd første punktum.

Tilgang til helseopplysninger i behandlingsrettet helseregister på tvers av virksomheter kan bare gis etter uttrykkelig samtykke fra den registrerte.

Kongen i Statsråd kan i forskrift gjøre unntak fra kravet om uttrykkelig samtykke i tredje ledd, jf. § 2 nr. 11.

Én forespørsel om og tilgang til helseopplysninger i annen virksomhet kan bare omfatte én pasient om gangen.

Den registrerte har rett til innsyn i logg fra behandlingsrettet helseregister om hvem som har hatt tilgang til helseopplysninger om ham eller henne.

0 Endret ved lov 19 juni 2009 nr. 68.
§ 13 a.Forbud mot urettmessig tilegnelse av helseopplysninger

Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger som behandles etter denne loven uten at det er begrunnet i helse- og omsorgstjenester til den enkelte, administrasjon av slike tjenester eller har særskilt hjemmel i lov eller forskrift.

0 Tilføyd ved lov 9 mai 2008 nr. 34 (ikr. 9 mai 2008 iflg. res. 9 mai 2008 nr. 442), endret ved lov 24 juni 2011 nr. 30 (ikr. 1 jan 2012 iflg. res. 16 des 2011 nr. 1252).
§ 14.Utlevering av helseopplysninger

Helseopplysninger kan utleveres eller overføres for sammenstilling som er tillatt etter § 12. Sammenstilte helseopplysninger kan, etter at navn og fødselsnummer er fjernet, utleveres eller overføres til en virksomhet som bestemt av departementet, når formålet er å avidentifisere eller å anonymisere opplysningene.

Helseopplysninger kan dessuten utleveres eller overføres når utlevering eller overføring har hjemmel i eller i medhold av lov, og den som mottar opplysningene har adgang til å behandle dem etter personopplysningsloven.

§ 15.Taushetsplikt

Enhver som behandler helseopplysninger etter denne lov, har taushetsplikt etter forvaltningsloven §§ 13 til 13e og helsepersonelloven.

Taushetsplikten etter første ledd gjelder også pasientens fødested, fødselsdato, personnummer, pseudonym, statsborgerforhold, sivilstand, yrke, bopel og arbeidssted.

Opplysninger til andre forvaltningsorganer etter forvaltningsloven § 13 b nr. 5 og 6 kan bare gis når det er nødvendig for å bidra til løsning av oppgaver etter loven her, eller for å forebygge vesentlig fare for liv eller alvorlig skade for noens helse.

Taushetsplikt er likevel ikke til hinder for utlevering av opplysninger om en pasient eller bruker skal betale egenandel til helsepersonell eller andre som gir helse- og omsorgstjenester eller yter andre tjenester til pasient eller bruker som folketrygden er stønadspliktig for. Taushetsplikt er heller ikke til hinder for utlevering av slike opplysninger til helseforetakene i forbindelse med oppgjør for syketransport.

Opplysninger om en pasients eller brukers navn, transportbehov og om pasienten eller brukeren skal betale egenandel og eventuelt beløpet kan gis til transportør i forbindelse med transport som omfattes av spesialisthelsetjenesteloven § 2-1 a første ledd nr. 6.

0 Endret ved lover 18 des 2009 nr. 137 (ikr. 1 jan 2010 iflg. res. 18 des 2009 nr. 1583), 24 juni 2011 nr. 30 (ikr. 1 jan 2012 iflg. res. 16 des 2011 nr. 1252).
§ 15 a.Opplysninger til kvalitetssikring, administrasjon, planlegging eller styring

Helsepersonelloven § 29 b gjelder tilsvarende for behandling av helseopplysninger etter loven her.

0 Tilføyd ved lov 9 apr 2010 nr. 14, endret ved lov 24 juni 2011 nr. 30 (ikr. 1 jan 2012 iflg. res. 16 des 2011 nr. 1252).
§ 16.Sikring av konfidensialitet, integritet, kvalitet og tilgjengelighet

Den databehandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, kvalitet og tilgjengelighet ved behandling av helseopplysninger.

I registre som er nevnt i § 8 tredje ledd, skal direkte personidentifiserende kjennetegn lagres kryptert. Kravet om at direkte personidentifiserende kjennetegn skal lagres kryptert, gjelder ikke for Nasjonal database for elektroniske resepter.

For å oppnå tilfredsstillende informasjonssikkerhet skal den databehandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den databehandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for tilsynsmyndighetene.

En databehandlingsansvarlig som lar andre få tilgang til helseopplysninger, for eksempel en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første, andre og tredje ledd.

Kongen kan gi forskrift om sikkerhet ved behandling av helseopplysninger etter denne lov. Kongen kan herunder sette nærmere krav til elektronisk signatur, kommunikasjon og langtidslagring, om godkjenning (autorisasjon) av programvare, sertifisering og om bruk av standarder, klassifikasjonssystemer og kodeverk, samt hvilke nasjonale eller internasjonale standardsystemer som skal følges.

0 Endret ved lover 24 juni 2011 nr. 30 (ikr. 1 jan 2012 iflg. res. 16 des 2011 nr. 1252), 22 juni 2012 nr. 47 (ikr. 22 juni 2012 iflg. res. 22 juni 2012 nr. 578), 14 juni 2013 nr. 39 (ikr. 1 juli 2013 iflg. res. 14 juni 2013 nr. 641).
§ 17.Internkontroll

Den databehandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven, herunder sikre helseopplysningenes kvalitet.

Den databehandlingsansvarlige skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den databehandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for tilsynsmyndighetene.

Kongen kan i forskrift gi nærmere regler om internkontroll.

§ 18.Databehandlers rådighet over helseopplysninger

En databehandler kan ikke behandle helseopplysninger på annen måte enn det som er skriftlig avtalt med den databehandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse. I avtalen med den databehandlingsansvarlige skal det også gå frem at databehandleren plikter å gjennomføre slike sikringstiltak som følger av § 16.

§ 19.Frist for å svare på henvendelser m.v.

Den databehandlingsansvarlige skal svare på henvendelser om innsyn eller andre rettigheter etter §§ 21, 22, 26 og 28 uten ugrunnet opphold og senest innen 30 dager fra den dagen henvendelsen kom inn.

Dersom særlige forhold gjør det umulig å svare på henvendelsen innen 30 dager, kan gjennomføringen utsettes inntil det er mulig å gi svar. Den databehandlingsansvarlige skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis.

Kapittel 4. Databehandlingsansvarliges informasjonsplikt og den registrertes innsynsrett

§ 20.Informasjon til allmennheten om behandling av helseopplysninger etter loven §§ 7 og 8

Når helseopplysninger behandles etter forskrift i medhold av §§ 7 og 8, skal den databehandlingsansvarlige av eget tiltak informere allmennheten om hva slags behandling av helseopplysninger som foretas.

§ 21.Rett til generell informasjon om helseregistre og behandling av helseopplysninger

Enhver som ber om det, skal få vite hva slags behandling av helseopplysninger en databehandlingsansvarlig foretar, og kan kreve å få følgende informasjon om en bestemt type behandling av helseopplysninger:

1. navn og adresse på den databehandlingsansvarlige og dennes eventuelle representant,
2. hvem som har det daglige ansvaret for å oppfylle den databehandlingsansvarliges plikter,
3. formålet med behandlingen av helseopplysningene,
4. beskrivelser av hvilke typer helseopplysninger som behandles,
5. hvor opplysningene er hentet fra, og
6. om helseopplysningene vil bli utlevert, og eventuelt hvem som er mottaker.

Informasjonen kan kreves hos den databehandlingsansvarlige eller hos dennes databehandler som nevnt i § 18.

§ 22.Rett til innsyn

Den som ber om det, har rett til innsyn i behandlingsrettet helseregister i den grad dette følger av pasient- og brukerrettighetsloven § 5-1 og helsepersonelloven § 41.

Når helseopplysninger behandles etter §§ 5, 6a, 6c, 6d, 7 og 8, har den registrerte på forespørsel i tillegg til informasjon som nevnt i § 21 første ledd, rett til å få opplyst

1. hvilke helseopplysninger om den registrerte som behandles, og
2. sikkerhetstiltakene ved behandlingen av helseopplysningene så langt innsyn ikke svekker sikkerheten.

Den registrerte kan også kreve at den databehandlingsansvarlige utdyper informasjonen som nevnt i § 21 første ledd i den grad dette er nødvendig for at den registrerte skal kunne vareta egne interesser.

Informasjon etter første og annet ledd kan kreves skriftlig hos den databehandlingsansvarlige eller hos dennes databehandler som nevnt i § 18. Den som blir bedt om å gi innsyn, kan kreve at den registrerte leverer en skriftlig og undertegnet begjæring.

Kongen kan i forskrift gi nærmere bestemmelser om retten til innsyn i behandling av helseopplysninger etter annet og tredje ledd. Dersom særlige grunner gjør det nødvendig, kan Kongen gi forskrift om at den registrerte må betale vederlag til den databehandlingsansvarlige. Vederlaget kan ikke overstige de faktiske kostnadene ved å etterkomme kravet.

0 Endret ved lover 18 des 2009 nr. 137 (ikr. 1 jan 2010 iflg. res. 18 des 2009 nr. 1583), 24 juni 2011 nr. 30 (ikr. 1 jan 2012 iflg. res. 16 des 2011 nr. 1252), 22 juni 2012 nr. 46.
§ 23.Informasjonsplikt når det samles inn opplysninger fra den registrerte

Når det samles inn helseopplysninger fra den registrerte selv, skal den databehandlingsansvarlige av eget tiltak først informere den registrerte om

1. navn og adresse på den databehandlingsansvarlige og dennes eventuelle representant,
2. formålet med behandlingen av helseopplysningene,
3. opplysningene vil bli utlevert, og eventuelt hvem som er mottaker,
4. det er frivillig å gi fra seg helseopplysningene, og
5. annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf § 22, og retten til å kreve retting og sletting, jf §§ 26 og 28.

Varsling er ikke påkrevd dersom det er på det rene at den registrerte allerede kjenner til informasjonen i første ledd.

§ 24.Informasjonsplikt når det samles inn opplysninger fra andre enn den registrerte

En databehandlingsansvarlig som samler inn helseopplysninger fra andre enn den registrerte selv, skal av eget tiltak informere den registrerte om hvilke opplysninger som samles inn og gi informasjon som nevnt i § 23 første ledd så snart opplysningene er innhentet. Dersom formålet med innsamlingen av opplysningene er å gi dem videre til andre, kan den databehandlingsansvarlige vente med å varsle den registrerte til utleveringen skjer.

Den registrerte har ikke krav på varsel etter første ledd dersom

1. innsamlingen eller formidlingen av opplysningene er uttrykkelig fastsatt i lov,
2. varsling er umulig eller uforholdsmessig vanskelig, eller
3. det er på det rene at den registrerte allerede kjenner til informasjonen som varslet skal inneholde.

Når varsling unnlates med hjemmel i annet ledd nr. 2, skal informasjon likevel gis senest når det gjøres en henvendelse til den registrerte på grunnlag av opplysningene.

§ 25.Unntak fra retten til informasjon og innsyn

Det kan nektes innsyn i behandlingsrettet helseregister etter reglene i pasient- og brukerrettighetsloven § 5-1.

Retten til innsyn etter §§ 21 og 22 annet ledd og plikten til å gi informasjon etter §§ 20, 23 og 24, omfatter ikke opplysninger som

1. om de ble kjent, ville kunne skade rikets sikkerhet, landets forsvar eller forholdet til fremmede makter eller internasjonale organisasjoner,
2. det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølging av straffbare handlinger,
3. det må anses utilrådelig at den registrerte får kjennskap til, av hensyn til vedkommendes helse eller forholdet til personer som står vedkommende nær,
4. det i medhold av lov gjelder taushetsplikt for,
5. utelukkende finnes i tekst som er utarbeidet for den interne saksforberedelse og som heller ikke er utlevert til andre,
6. det vil være i strid med åpenbare og grunnleggende private eller offentlige interesser å informere om, herunder hensynet til den registrerte selv.

Opplysninger som den registrerte nektes innsyn i etter første ledd og etter annet ledd nr. 3, har en representant for pasienten rett til innsyn i, med mindre representanten anses uskikket for dette. En lege eller advokat kan ikke nektes innsyn, med mindre særlige grunner taler for dette.

Den som nekter å gi innsyn i medhold av første eller annet ledd, må begrunne dette skriftlig med presis henvisning til unntakshjemmelen.

0 Endret ved lov 24 juni 2011 nr. 30 (ikr. 1 jan 2012 iflg. res. 16 des 2011 nr. 1252).

Kapittel 5. Særlige bestemmelser om retting og sletting av helseopplysninger

§ 26.Retting av mangelfulle helseopplysninger

Dersom det er behandlet helseopplysninger etter §§ 5, 6a, 6c, 6d, 7 og 8 som er uriktige, ufullstendige eller som det ikke er adgang til å behandle, skal den databehandlingsansvarlige av eget tiltak eller på begjæring av den registrerte rette de mangelfulle opplysningene. Den databehandlingsansvarlige skal om mulig sørge for at feilen ikke får betydning for den registrerte. Dersom helseopplysningene er utlevert, skal den den databehandlingsansvarlige varsle mottakere av utleverte opplysninger.

Retting av uriktige eller ufullstendige helseopplysninger som kan ha betydning som dokumentasjon, skal skje ved at opplysningene tydelig markeres og suppleres med korrekte opplysninger.

Dersom tungtveiende personvernhensyn tilsier det, kan Datatilsynet uten hinder av annet ledd bestemme at retting skal skje ved at de mangelfulle helseopplysningene slettes eller sperres. Hvis opplysningene ikke kan kasseres i medhold av arkivloven, skal Riksarkivaren høres før det treffes vedtak om sletting. Vedtaket går foran reglene i arkivloven 4. desember 1992 nr. 126 §§ 9 og 18.

Sletting bør suppleres med registrering av korrekte og fullstendige opplysninger. Dersom dette ikke er mulig, og dokumentet som inneholdt de slettede opplysningene av den grunn gir et åpenbart misvisende bilde, skal hele dokumentet slettes.

For retting og sletting av helseopplysninger i behandlingesrettet helseregister gjelder helsepersonelloven §§ 42 til 44. Første ledd annet og tredje punktum gjelder tilsvarende.

0 Endret ved lov 22 juni 2012 nr. 46.
§ 27.Forbud mot å lagre unødvendige helseopplysninger

Den databehandlingsansvarlige skal ikke lagre helseopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen av helseopplysningene. Hvis ikke helseopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes.

I forskrift etter §§ 6 til 8 a kan det bestemmes at heleopplysninger 1 kan lagres for historiske, statistiske eller vitenskapelige formål, dersom samfunnets interesse i at opplysningene lagres klart overstiger de ulempene den kan medføre for den enkelte. Den databehandlingsansvarlige skal i så fall sørge for at opplysningene ikke oppbevares på måter som gjør det mulig å identifisere den registrerte lenger enn nødvendig.

0 Endret ved lov 22 juni 2012 nr. 47 (ikr. 22 juni 2012 iflg. res. 22 juni 2012 nr. 578).
1 Skal vel være «helseopplysninger».
§ 28.Sletting eller sperring av helseopplysninger som føles belastende for den registrerte

Den registrerte kan kreve at helseopplysninger som behandles etter §§ 5, 7 og 8, skal slettes eller sperres, dersom behandling av opplysningene føles sterkt belastende for den registrerte og det ikke finnes sterke allmenne hensyn som tilsier at opplysningene behandles. Krav om sletting eller sperring av slike opplysninger rettes til den databehandlingsansvarlige for opplysningene.

Datatilsynet kan, etter at Riksarkivaren er hørt, treffe vedtak om at retten til sletting etter første ledd går foran reglene i arkivloven 4. desember 1992 nr. 126 §§ 9 og 18. Hvis dokumentet som inneholdt de slettede opplysningene, gir et åpenbart misvisende bilde etter slettingen, skal hele dokumentet slettes.

Krav om sletting av helseopplysninger i behandlingsrettede helseregistre avgjøres etter helsepersonelloven § 43.

Kapittel 6. Tilsyn, kontroll og sanksjoner

§ 29.Meldeplikt til Datatilsynet

Den databehandlingsansvarlige skal gi melding til Datatilsynet før behandling av helseopplysninger med elektroniske hjelpemidler og før opprettelse av manuelt helseregister.

Meldingen skal gis senest 30 dager før behandlingen av opplysningene tar til. Datatilsynet skal gi den databehandlingsansvarlige kvittering for at melding er mottatt.

Ny melding må gis før behandling av helseopplysninger som går ut over den rammen for behandling av helseopplysninger som er angitt i medhold av § 30. Selv om det ikke har skjedd endringer, skal det gis ny melding tre år etter at forrige melding ble gitt.

Kongen kan gi forskrift om at visse typer behandling av helseopplysninger eller databehandlingsansvarlige er unntatt fra meldeplikt eller er underlagt forenklet meldeplikt.

§ 30.Meldepliktens innhold

Meldingen til Datatilsynet skal opplyse om

1. navn og adresse på den databehandlingsansvarlige og på dennes eventuelle representant og databehandler,
2. når behandlingen av helseopplysningene starter,
3. hvem som har det daglige ansvaret for å oppfylle den databehandlingsansvarliges plikter,
4. formålet med behandlingen av helseopplysningene,
5. oversikt over hvilke typer helseopplysninger som skal behandles,
6. hvor helseopplysningene hentes fra,
7. det rettslige grunnlaget for innsamlingen av helseopplysningene,
8. hvem helseopplysningene vil bli utlevert til, herunder eventuelle mottakere i andre stater, og
9. hvilke sikkerhetstiltak som er knyttet til behandlingen av helseopplysningene.

Kongen kan gi forskrift om hvilke opplysninger meldingene skal inneholde og om gjennomføringen av meldeplikten.

§ 31.Tilsynsmyndighetene

Datatilsynet fører tilsyn med at bestemmelsene i loven blir fulgt og at feil eller mangler blir rettet, jf. personopplysningsloven § 42, med mindre tilsynsoppgavene påligger Statens helsetilsyn eller Fylkesmannen etter helsetilsynsloven.

Tilsynsmyndighetene kan kreve de opplysninger som trengs for at de kan gjennomføre sine oppgaver.

Tilsynsmyndighetene kan som ledd i sin kontroll med at lovens regler etterleves, kreve adgang til steder hvor det finnes helseregistre, helseopplysninger som behandles elektronisk og hjelpemidler for slik behandling av opplysninger. Tilsynsmyndighetene kan gjennomføre de prøver eller kontroller som de finner nødvendig, og kreve bistand fra personalet på stedet i den grad dette må til for å få utført prøvene eller kontrollene.

Retten til å kreve opplysninger eller tilgang til lokaler og hjelpemidler i henhold til annet og tredje ledd gjelder uten hinder av taushetsplikt.

Tilsynsmyndighetene og andre som utfører tjeneste for tilsynsmyndighetene, har taushetsplikt etter § 15. Taushetsplikten omfatter også opplysninger om sikkerhetstiltak.

Kongen kan gi forskrift om unntak fra første til fjerde ledd av hensyn til rikets sikkerhet. Kongen kan også gi forskrift om dekning av utgiftene ved kontroll. Skyldige bidrag til dekning av utgiftene er tvangsgrunnlag for utlegg.

0 Endret ved lover 29 aug 2003 nr. 87 (ikr. 1 sep 2003 iflg. res. 29 aug 2003 nr. 1092), 24 juni 2011 nr. 30 (ikr. 1 jan 2012 iflg. res. 16 des 2011 nr. 1252).
§ 32.Adgang til å gi pålegg

Datatilsynet kan gi pålegg om at behandling av helseopplysninger i strid med bestemmelser i eller i medhold av denne loven skal opphøre, eller stille vilkår som må oppfylles for at behandlingen av helseopplysningene skal være i samsvar med loven. Dersom det i tillegg må antas at behandlingen av helseopplysningene kan ha skadelige følger for pasienter, kan Statens helsetilsyn gi pålegg som nevnt. Når Datatilsynet har gitt et pålegg, skal Statens helsetilsyn informeres om dette. Når Statens helsetilsyn har gitt et pålegg, skal Datatilsynet informeres om dette.

Pålegg etter første ledd skal inneholde en frist for å rette seg etter pålegget.

Avgjørelser som Datatilsynet fatter i medhold av §§ 26, 28, 31, 32 og 33, kan påklages til Personvernnemnda.

§ 33.Tvangsmulkt

Ved pålegg etter § 32 kan Datatilsynet fastsette en tvangsmulkt som løper for hver dag som går etter utløpet av den fristen som er satt for oppfylling av pålegget, inntil pålegget er oppfylt.

Tvangsmulkten løper ikke før klagefristen er ute. Hvis vedtaket påklages, løper ikke tvangsmulkt før klageinstansen har bestemt det.

Datatilsynet kan frafalle påløpt tvangsmulkt.

§ 34.Straff

Den som forsettlig eller grovt uaktsomt overtrer § 13 a, straffes med bøter eller fengsel i inntil tre måneder.

Med bøter eller fengsel inntil ett år eller begge deler straffes den som forsettlig eller grovt uaktsomt

1. behandler helseopplysninger i strid med §§ 16 eller 18,
2. unnlater å gi opplysninger til den registrerte etter §§ 23 eller 24,
3. unnlater å sende melding til Datatilsynet etter § 29,
4. unnlater å gi opplysninger til tilsynsmyndighetene etter § 31, eller
5. unnlater å etterkomme pålegg fra tilsynsmyndighetene etter § 32.

Ved særdeles skjerpende omstendigheter kan fengsel inntil tre år idømmes. Ved avgjørelsen av om det foreligger særdeles skjerpende omstendigheter skal det blant annet legges vekt på faren for stor skade eller ulempe for den registrerte, den tilsiktede vinningen ved overtredelsen, overtredelsens varighet og omfang, utvist skyld, og om den databehandlingsansvarlige tidligere er straffet for å ha overtrådt tilsvarende bestemmelser.

Medvirkning straffes på samme måte.

I forskrift som gis i medhold av loven, kan det fastsettes at den som forsettlig eller grovt uaktsomt overtrer forskriften skal straffes med bøter eller fengsel inntil ett år eller begge deler.

0 Endret ved lov 9 mai 2008 nr. 34 (ikr. 9 mai 2008 iflg. res. 9 mai 2008 nr. 442). Endres ved lov 20 mai 2005 nr. 28 (ikr. fra den tid som fastsettes ved lov) som endret ved lov 19 juni 2009 nr. 74.
§ 35.Erstatning

Den databehandlingsansvarlige skal erstatte skade som er oppstått som følge av at helseopplysninger er behandlet i strid med bestemmelser i eller i medhold av loven, med mindre det godtgjøres at skaden ikke skyldes feil eller forsømmelse på den databehandlingsansvarliges side.

Erstatningen skal svare til det økonomiske tapet som den skadelidte er påført som følge av den ulovlige behandlingen av helseopplysningene. Den databehandlingsansvarlige kan også pålegges å betale slik erstatning for skade av ikke-økonomisk art (oppreisning) som synes rimelig.

Kapittel 7. Forholdet til andre lover. Ikraftsetting

§ 36.Forholdet til lov om behandling av personopplysninger

I den utstrekning ikke annet følger av denne lov, gjelder personopplysningsloven med forskrifter som utfyllende bestemmelser.

§ 37.Ikraftsetting

Loven trer i kraft fra den tid Kongen bestemmer. 1 Kongen kan bestemme at de enkelte bestemmelsene i loven skal tre i kraft til ulik tid.

1 Loven trådte ikr. 1 jan 2002 iflg. res. 18 mai 2001 nr. 502.
§ 38.Endringer i andre lover

- - -