Forskrift om innsamling og behandling av helseopplysninger i Nasjonalt vaksinasjonsregister (SYSVAK-registerforskriften)

DatoFOR-2003-06-20-739
DepartementHelse- og omsorgsdepartementet
PublisertI 2003 hefte 9 (merknader)
Ikrafttredelse01.07.2003, 01.01.2011
Sist endretFOR-2016-06-17-768 fra 01.07.2016
EndrerFOR-2000-12-21-1370
Gjelder forNorge
HjemmelLOV-2014-06-20-43-§11, LOV-2014-06-20-43-§13, LOV-2014-06-20-43-§21, LOV-2014-06-20-43-§22, LOV-2014-06-20-43-§24, LOV-1994-08-05-55-§2-3, LOV-1994-08-05-55-§3-8 LOV-1967-02-10-§13d
Kunngjort24.06.2003
Rettet01.07.2016 (forskriftens hjemmel)
KorttittelSYSVAK-registerforskriften

Kapitteloversikt:

Hjemmel: Fastsatt ved kgl.res. 20. juni 2003 med hjemmel lov av 20. juni 2014 nr. 43 om helseregistre og behandling av helseopplysninger (helseregisterloven) § 11 første ledd jf. annet ledd, § 13 annet ledd, § 21 femte ledd, § 22 tredje ledd og § 24 fjerde ledd og lov av 5. august 1994 nr. 55 om vern mot smittsomme sykdommer (smittevernloven) § 2-3 fjerde ledd og § 3-8 femte ledd. Fremmet av Helsedepartementet (nå Helse- og omsorgsdepartementet).
Tilføyd hjemmel: Lov 10. februar 1967 om behandlingsmåten i forvaltningssaker (forvaltningsloven) § 13d tredje ledd.
Endringer: Endret ved forskrifter 2 sep 2005 nr. 1010, 7 des 2007 nr. 1389, 26 juni 2009 nr. 868, 2 okt 2009 nr. 1227, 16 okt 2009 nr. 1276, 18 des 2009 nr. 1839, 18 nov 2010 nr. 1469, 16 des 2011 nr. 1250, 16 des 2011 nr. 1396, 22 juni 2012 nr. 586, 17 jan 2013 nr. 61, 23 mai 2014 nr. 667 som endret ved forskrift 27 mai 2014 nr. 676, 18 des 2015 nr. 1588, 17 juni 2016 nr. 768.
Rettelser: 11.07.2003 (merknader tilføyd), 10.05.2013 (merknader endret), 12.09.2013 (fotnotehenvisning § 2-1), 01.07.2016 (forskriftens hjemmel).

Kapittel 1. Generelle bestemmelser

§ 1-1.(Etablering av System for vaksinasjonskontroll, SYSVAK)

Denne forskriften etablerer et landsomfattende System for vaksinasjonskontroll (SYSVAK) for mennesker. Forskriften gir regler for innsamling og behandling av helseopplysninger i registeret.

Innsamling og behandling av helseopplysninger i vaksinasjonsregisteret kan skje manuelt og ved hjelp av elektroniske hjelpemidler.

§ 1-2.(Innholdet i SYSVAK-registeret)

SYSVAK-registeret inneholder personidentifiserbare opplysninger om vaksinasjoner av personer.

Følgende vaksinasjoner kan registreres uten samtykke:

a)Vaksinasjoner som er omfattet av barnevaksinasjonsprogrammet og opphentingsprogram knyttet til dette, jf. forskrift 2. oktober 2009 nr. 1229 om nasjonalt vaksinasjonsprogram § 4 og § 4a,
b)Vaksinasjon mot pandemisk influensa, jf. forskrift 2. oktober 2009 nr. 1229 om nasjonalt vaksinasjonsprogram § 5 annet ledd.

Vaksinasjon mot humant papillomavirus (HPV) utenfor Barnevaksinasjonsprogrammet kan registreres, dersom den vaksinerte ikke reserverer seg mot registrering.

Andre vaksinasjoner av personer kan registreres, dersom den vaksinerte samtykker til registrering.

0Endret ved forskrifter 2 okt 2009 nr. 1227 (i kraft 5 okt 2009), 17 juni 2016 nr. 768 (i kraft 1 juli 2016).
§ 1-3.(Registerets formål)

Formålet med SYSVAK er å:

1.innsamle opplysninger til vaksinasjonsregisteret og innenfor forskriftens rammer behandle dem for å:
-holde oversikt over vaksinasjonsstatus hos den enkelte,
-holde oversikt over eventuelle bivirkninger etter vaksinasjon eller mistanke om slike,
-fremskaffe informasjon til sentrale og lokale helsemyndigheter som grunnlag for å sikre en tilfredsstillende vaksinasjonsdekning i befolkningen,
-gi norske myndigheter grunnlag for å bidra til internasjonal statistikk på nærmere avgrensede områder.
2.drive, fremme og legge grunnlag for forskning med sikte på å utvikle og fremme kvaliteten på vaksinene som tilbys.

Opplysninger i SYSVAK kan foruten de formål som nevnt i første ledd, behandles til styring, planlegging og kvalitetssikring av helse- og omsorgstjenesten og helseforvaltningen samt til utarbeiding av statistikk og til forskning.

0Endret ved forskrift 2 okt 2009 nr. 1227 (i kraft 5 okt 2009), 17 jan 2013 nr. 61.
§ 1-4.(Forbud mot bruk)

Opplysningene i SYSVAK kan ikke anvendes til formål som er uforenlig med formål som nevnt i § 1-3.

Opplysninger om enkeltindivider som er fremkommet ved behandling av helseopplysninger etter forskriften, kan ikke brukes i forsikringsøyemed selv om den registrerte samtykker.

§ 1-5.(Databehandlingsansvarlig)

Folkehelseinstituttet er databehandlingsansvarlig for innsamling og behandling av helseopplysninger i SYSVAK.

0Endret ved forskrift 18 des 2015 nr. 1588 (i kraft 1 jan 2016).
§ 1-6.(Databehandler)

Folkehelseinstituttet kan inngå skriftlig avtale med en databehandler om innsamling og behandling av opplysninger i SYSVAK, herunder om overvåkning og forskning, jf. § 1-3, drift og kvalitetssikring av registeret, samt utlevering av data til brukere.

0Endret ved forskrift 18 des 2015 nr. 1588 (i kraft 1 jan 2016).
§ 1-7.(Opplysninger om vaksinasjoner i SYSVAK-registeret)

Vaksinasjonsregisteret (SYSVAK) kan inneholde følgende opplysninger om personer som nevnt i § 1-2 i den utstrekning det er nødvendig for å nå formålet med registeret:

1.personopplysninger:
1.1navn og fødselsnummer,
1.2adresse og bostedskommune,
2.administrative opplysninger:
2.1institusjon/virksomhet der helsehjelp tilbys og ytes
3.medisinske opplysninger:
3.1data om vaksinasjonen, herunder dato og typekode,
3.2Medisinske kontraindikasjoner som årsak til manglende gjennomføring av hele eller deler av vaksinasjonsprogrammet,
3.3Andre årsaker til manglende gjennomføring av hele eller deler av vaksinasjonsprogrammet,
3.4eventuelle bivirkninger etter vaksinasjon eller mistanke om slike.

Registeret kan inneholde personopplysninger om den eller de som har den daglige omsorgen for barnet, dersom barnet ikke er tildelt eget fødselsnummer.

Registreringen kan inneholde annen personentydig identifikasjon for personer uten norsk fødselsnummer. Tidligere vaksinasjonsstatus som ikke er registrert i SYSVAK, skal etterregistreres.

0Endret ved forskrift 2 okt 2009 nr. 1227 (i kraft 5 okt 2009).
§ 1-8.(Koding og klassifisering av opplysningene i SYSVAK, krav til dokumentasjon)

Folkehelseinstituttet skal ved enhver registrering i registeret kunne dokumentere hvilke kodeverk og klassifikasjoner som er benyttet.

Departementet kan gi nærmere bestemmelser om hvilke nasjonale eller internasjonale kodeverk og klassifikasjoner som skal benyttes ved registrering av opplysninger i SYSVAK.

0Endret ved forskrift 18 des 2015 nr. 1588 (i kraft 1 jan 2016).

Kapittel 2. Melding av helseopplysninger til SYSVAK, kvalitetskontroll mv.

§ 2-1.(Helsepersonells dokumentasjons- og meldeplikt)

Helsepersonell som gir vaksinasjoner i henhold til barnevaksinasjonsprogrammet, opphentingsprogram knyttet til dette eller mot pandemisk influensa, skal uten hensyn til taushetsplikt registrere og melde opplysninger som nevnt i forskriften § 1-7 til Vaksinasjonsregisteret (SYSVAK).

Helsepersonell som gir vaksinasjon mot humant papillomavirus (HPV), jf. § 1-2 tredje ledd, skal uten hensyn til taushetsplikt registrere og melde opplysninger som nevnt i forskriften § 1-7 til SYSVAK-registeret, så fremt ikke den vaksinerte har reservert seg mot slik registrering.

Helsepersonell som gir andre vaksiner, jf. § 1-2 fjerde ledd, skal uten hensyn til taushetsplikt registrere og melde opplysninger etter § 1-7 til SYSVAK-registeret, så fremt den vaksinerte har samtykket til slik registrering.

Bivirkninger eller mistanke om bivirkninger etter vaksinasjon skal meldes til Vaksinasjonsregisteret (SYSVAK), Folkehelseinstituttet, i tilfeller som nevnt i forskrift 18. desember 2009 nr. 1839 om legemidler (legemiddelforskriften) § 10-6. Folkehelseinstituttet behandler slike meldinger på vegne av Statens legemiddelverk for oppfyllelse av meldeplikten etter legemiddelforskriften. Hendelser som kan utgjøre kontraindikasjon mot gjentatt bruk av samme vaksine, skal meldes på samme måte.

Helsepersonell skal ved vaksinasjon opplyse om registrering av vaksinasjonsstatus i SYSVAK-registeret, herunder om registrering er obligatorisk, forutsetter samtykke eller om den vaksinerte har reservasjonsrett.

Melding sendes SYSVAK-registeret senest en uke etter at vaksinasjon er gjennomført. Melding om bivirkning eller mistanke om bivirkning skal meldes så snart den blir kjent for helsepersonellet.

0Endret ved forskrifter 2 okt 2009 nr. 1227 (i kraft 5 okt 2009), 16 okt 2009 nr. 1276, 18 des 2009 nr. 1839 (i kraft 12 jan 2010), 18 nov 2010 nr. 1469 (i kraft 1 jan 2011), 18 des 2015 nr. 1588 (i kraft 1 jan 2016), 17 juni 2016 nr. 768 (i kraft 1 juli 2016).
§ 2-2.(Meldingsskjema, formkrav)

Melding om opplysninger som nevnt i § 2-1, skal skje på skjema eller på annen måte fastsatt av departementet.

Departementet kan gi pålegg om bruk av bestemte klassifikasjoner og kodeverk ved registrering av opplysningene, samt pålegg om bruk av standardiserte meldingsformater ved forsendelsen av opplysningene.

§ 2-3.(Virksomhetens plikter)

Helseinstitusjon, helsesenter og annen virksomhet som er ansvarlig for registrering av opplysninger som skal meldes til SYSVAK, jf. § 1-7, har ansvar for at pliktene som nevnt i § 2-1 og § 2-2 oppfylles, og skal sørge for at det finnes rutiner som sikrer dette jf. § 4-2 og § 4-3.

§ 2-4.(Innhenting av tilleggsopplysninger)

Folkehelseinstituttet kan, dersom det er nødvendig, innhente tilleggsopplysninger ved melding om bivirkning etter vaksinasjon eller mistanke om bivirkning for å få klarlagt hva bivirkningene består i og nærmere informasjon om vaksinasjonen og det produkt som har vært brukt.

0Endret ved forskrifter 2 okt 2009 nr. 1227 (i kraft 5 okt 2009), 18 des 2015 nr. 1588 (i kraft 1 jan 2016).
§ 2-5.(Mottakers ansvar for kvalitetskontroll)

Folkehelseinstituttet skal sørge for at helseopplysninger som behandles i SYSVAK, er korrekte, relevante og nødvendige for de formål de innsamles for, jf. § 1-3. Som ledd i kvalitetskontrollen kan det gjøres rutinemessige samkjøringer mot Det sentrale folkeregister, Norsk pasientregister og MSIS.

Dersom meldingsskjema er mangelfullt utfylt, skal avsenderen av skjema varsles, jf. helseregisterloven § 13 annet ledd annet punktum. Ved fortsatt mangelfull utfylling av skjema skal Fylkesmannen varsles.

0Endret ved forskrifter 7 des 2007 nr. 1389 (i kraft 15 april 2009), 16 des 2011 nr. 1396 (i kraft 1 jan 2012), 22 juni 2012 nr. 586 (i kraft 1 juli 2012), 23 mai 2014 nr. 667 som endret ved forskrift 27 mai 2014 nr. 676 (i kraft 1 juli 2014), 18 des 2015 nr. 1588 (i kraft 1 jan 2016), 17 juni 2016 nr. 768 (i kraft 1 juli 2016).

Kapittel 3. Behandling av helseopplysninger i SYSVAK

§ 3-1.(Sammenstilling av opplysninger for fremstilling av statistikk)

Opplysninger i SYSVAK kan sammenstilles (kobles) med opplysninger i Kreftregisteret, Dødsårsaksregisteret, Meldingssystemet for smittsomme sykdommer (MSIS), Medisinsk fødselsregister, Reseptregisteret, Forsvarets helseregister, Norsk pasientregister og Hjerte- og karregisteret, dersom det gjøres av den databehandlingsansvarlige for ett av de nevnte registrene eller en virksomhet departementet bestemmer, og resultatet av sammenstillingen fremkommer i anonymisert form.

Den databehandlingsansvarlige skal normalt effektuere forespørsler om statistiske opplysninger fra forvaltningen og forskere innen 60 dager fra den dagen bestillingen kom inn. Dersom særlige forhold gjør det umulig å effektuere forespørselen innen fristen, kan effektueringen utsettes inntil det er mulig å oppfylle den. Den databehandlingsansvarlige skal i så fall gi et foreløpig svar med opplysninger om forespørselen kan effektueres, om grunnen til forsinkelsen og sannsynlig tidspunkt for når bestillingen kan effektueres.

Helseopplysninger som mottas for fremstilling av statistikk etter første ledd, skal slettes så snart statistikkfremstillingen er tilfredsstillende gjennomført.

0Endret ved forskrifter 2 sep 2005 nr. 1010 (i kraft 24 april 2006), 7 des 2007 nr. 1389 (i kraft 15 april 2009), 16 des 2011 nr. 1250 (i kraft 1 jan 2012), 23 mai 2014 nr. 667 som endret ved forskrift 27 mai 2014 nr. 676 (i kraft 1 juli 2014).
§ 3-2.(Sammenstilling av opplysninger i SYSVAK med opplysninger i andre registre for forskning mv.)

Folkehelseinstituttet kan sammenstille opplysninger i registeret med opplysninger i helseregistre som nevnt i § 3-1 første ledd, med unntak av Forsvarets helseregister, for uttrykkelig angitte formål innen registerets formål, jf. forskriften § 1-3, dersom det er ubetenkelig ut fra etiske hensyn og databehandleren (forskeren) bare skal behandle avidentifiserte opplysninger.

Sammenstilte helseopplysninger kan ikke lagres før navn, fødselsdag og personnummer er slettet eller kryptert. Direkte personidentifiserende opplysninger (navn og fødselsnummer) som mottas for behandlingen, skal slettes så snart sammenstillingen (koblingen) er tilfredsstillende gjennomført.

Alle opplysninger som inngår i behandlingen etter første og annet ledd, skal slettes ved prosjektavslutning.

0Endret ved forskrifter 2 sep 2005 nr. 1010 (i kraft 24 april 2006), 18 des 2015 nr. 1588 (i kraft 1 jan 2016).
§ 3-3.(Utlevering av sammenstilte datafiler til forskning mv.)

Avidentifiserte opplysninger som nevnt i § 3-2 første ledd skal etter søknad gjøres tilgjengelig for og utleveres til forskning, eventuelt annet uttrykkelig angitt formål innenfor registerets formål, jf. forskriften § 1-3, dersom:

-mottakeren bare skal behandle avidentifiserte opplysninger,
-behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn, og
-sammenstillingen og tilretteleggingen av dataene gjøres av databehandlingsansvarlig for et av de registrene hvis opplysninger behandles, eller i en virksomhet departementet bestemmer.

Forskriften § 3-2 annet ledd gjelder tilsvarende.

Ved spørsmål om utlevering som beskrevet i første ledd til medisinsk og helsefaglig forskning kan registeret, i tilfeller der det etter registerets vurdering er tvil om behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn, forelegge spørsmålet om utlevering skal skje for en regional komité for medisinsk og helsefaglig forskningsetikk for avgjørelse. Vedtak fattet av regional komité for medisinsk og helsefaglig forskningsetikk kan påklages til Den nasjonale forskningsetiske komité for medisin og helsefag.

Søknad om utlevering av opplysninger som beskrevet i første ledd til medisinsk og helsefaglig forskning skal inneholde opplysninger om forskningsansvarlig og prosjektleder, jf. helseforskningsloven § 6.

Den databehandlingsansvarlige skal utlevere eller overføre nødvendige og relevante data til den ansvarlige for det angitte prosjektet innen 60 dager fra den dagen søknaden kom inn. Rettsgrunnlaget for behandlingen av opplysningene skal fremgå av søknaden, jf. første ledd.

Dersom særlige forhold gjør det umulig å effektuere søknaden innen den angitte fristen, kan effektueringen utsettes inntil det er mulig å oppfylle den. Den databehandlingsansvarlige skal i så fall gi et foreløpig svar med opplysninger om forespørselen kan effektueres, om grunnen til forsinkelsen og sannsynlig tidspunkt for når søknaden kan effektueres.

Alle opplysninger som inngår i behandlingen etter denne paragrafen, skal slettes eller tilbakeleveres ved prosjektavslutning.

0Endret ved forskrift 26 juni 2009 nr. 868 (i kraft 1 juli 2009).
§ 3-4.(Plikt til å utlevere ikke koblede data til forskning mv.)

Folkehelseinstituttet skal etter forespørsel fra forvaltningen og forskere utlevere statistiske opplysninger fra SYSVAK innen 30 dager fra den dagen forespørselen kom inn.

Folkehelseinstituttet skal etter søknad utlevere avidentifiserte opplysninger fra SYSVAK dersom

-opplysningene skal brukes til et uttrykkelig angitt formål innenfor registerets formål,
-mottakeren bare skal behandle avidentifiserte opplysninger og
-behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn.

Ved spørsmål om utlevering som beskrevet i annet ledd til medisinsk og helsefaglig forskning kan registeret, i tilfeller der det etter registerets vurdering er tvil om behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn, forelegge spørsmålet om utlevering skal skje for en regional komité for medisinsk og helsefaglig forskningsetikk for avgjørelse. Vedtak fattet av regional komité for medisinsk og helsefaglig forskningsetikk kan påklages til Den nasjonale forskningsetiske komité for medisin og helsefag.

Søknad om utlevering av opplysninger som beskrevet i første ledd til medisinsk og helsefaglig forskning skal inneholde opplysninger om forskningsansvarlig og prosjektleder, jf. helseforskningsloven § 6.

Folkehelseinstituttet skal utlevere eller overføre nødvendige og relevante data til den databehandlingsansvarlige for det angitte prosjektet innen 30 dager fra den dagen søknaden kom inn. Rettsgrunnlaget for behandlingen av opplysningene skal fremgå av søknaden.

Forskriften § 3-3 sjette og syvende ledd gjelder tilsvarende.

0Endret ved forskrifter 26 juni 2009 nr. 868 (i kraft 1 juli 2009), 18 des 2015 nr. 1588 (i kraft 1 jan 2016).
§ 3-5.(Utlevering og annen behandling av opplysninger i SYSVAK)

Personidentifiserbare opplysninger fra SYSVAK kan, med mindre annet følger av denne forskriften, bare behandles (sammenstilles, utleveres etc.) etter tillatelse fra Datatilsynet og i samsvar med de alminnelige regler om taushetsplikt.

For utlevering av personidentifiserbare opplysninger til medisinsk og helsefaglig forskning erstattes konsesjonsplikt og krav om dispensasjon fra taushetsplikt av forhåndsgodkjenning fra en regional komité for medisinsk og helsefaglig forskningsetikk, jf. helseforskningsloven § 33 og § 9.

Helsedirektoratet skal svare på forespørsler om utlevering av personidentifiserende opplysninger for bruk i uttrykkelig angitte forskningsprosjekter innen 30 dager fra den dagen forespørselen kom inn. Dersom særlige forhold gjør det umulig å svare på forespørselen innen den angitte fristen, kan svaret utsettes inntil det er mulig å gi svar. Helsedirektoratet skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis.

0Endret ved forskrift 26 juni 2009 nr. 868 (i kraft 1 juli 2009).
§ 3-6.(Informasjonsstrategi rettet mot brukergrupper)

For å fremme bruk av data fra SYSVAK og for å bygge opp informasjon og kunnskap, jf. forskriften § 1-3, skal Folkehelseinstituttet ha en aktiv informasjonsstrategi og -plan rettet mot så vel helse- og omsorgstjenesten, helseforvaltningen og øvrig forvaltning, som mot forskere innen medisinsk forskning, helse- og omsorgstjenesteforskning og samfunnsforskning.

0Endret ved forskrifter 17 jan 2013 nr. 61, 18 des 2015 nr. 1588 (i kraft 1 jan 2016).
§ 3-7.(Kostnader)

Folkehelseinstituttet kan kreve betaling for behandling og tilrettelegging av opplysninger etter § 3-1 til § 3-5. Betalingen skal ikke overstige de faktiske utgiftene ved slik behandling og tilrettelegging av opplysningene.

0Endret ved forskrift 18 des 2015 nr. 1588 (i kraft 1 jan 2016).
§ 3-8.(Oversikt over utleveringer)

Folkehelseinstituttet skal føre oversikt over hvem som får utlevert opplysninger fra SYSVAK og hjemmelsgrunnlaget for utleveringene. Opplysningene skal oppbevares i minst fem år etter at utlevering har funnet sted.

0Endret ved forskrift 18 des 2015 nr. 1588 (i kraft 1 jan 2016).

Kapittel 4. Taushetsplikt, informasjonssikkerhet og internkontroll

§ 4-1.(Taushetsplikt)

Enhver som behandler helseopplysninger etter denne forskriften, har taushetsplikt etter forvaltningsloven § 13 til § 13e, samt etter helsepersonelloven.

Taushetsplikten etter første ledd gjelder også pasientens fødested, fødselsdato, personnummer, statsborgerforhold, sivilstand, yrke, bopel og arbeidssted eller andre personentydige opplysninger jf. forskriften § 1-7 annet ledd.

Opplysninger til andre forvaltningsorganer etter forvaltningsloven § 13b nr. 5 og 6 kan bare gis når det er nødvendig for å bidra til løsning av oppgaver etter forskriften her, eller for å forebygge vesentlig fare for liv eller alvorlig skade for noens helse.

§ 4-2.(Informasjonssikkerhet)

Folkehelseinstituttet og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, kvalitet og tilgjengelighet ved behandling av helseopplysninger etter forskriften, jf. helseregisterloven § 21 og § 22.

Der behandling av helseopplysningene skjer helt eller delvis med elektroniske hjelpemidler, gjelder bestemmelsene om informasjonssikkerhet i forskrift til personopplysningsloven § 2-1 til § 2-16.

0Endret ved forskrifter 18 des 2015 nr. 1588 (i kraft 1 jan 2016), 17 juni 2016 nr. 768 (i kraft 1 juli 2016).
§ 4-3.(Plikt til internkontroll)

Folkehelseinstituttet skal etablere internkontroll i samsvar med helseregisterloven § 22. De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang som er nødvendig for å etterleve krav gitt i eller i medhold av helseregisterloven, med særlig vekt på bestemmelser gitt i medhold av helseregisterloven § 21.

Databehandlere som behandler helseopplysninger på vegne av Folkehelseinstituttet, skal behandle opplysninger i samsvar med rutiner Folkehelseinstituttet har oppstilt.

0Endret ved forskrifter 18 des 2015 nr. 1588 (i kraft 1 jan 2016), 17 juni 2016 nr. 768 (i kraft 1 juli 2016).
§ 4-4.(Internkontrollens innhold)

Internkontrollen innebærer at den databehandlingsansvarlige skal ha kunnskap om gjeldende regler om behandling av helseopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av rutiner, samt ha denne dokumentasjonen tilgjengelig for dem den måtte angå.

Internkontrollen skal blant annet inneholde:

1.oversikt over hvordan virksomheten er organisert,
2.oversikt over ansvars- og myndighetsforhold,
3.oversikt over de krav i og i medhold av helseregisterloven som gjelder for virksomheten,
4.rutiner virksomheten følger for å sikre overholdelse av kravene, herunder rutiner for:
4.1.oppfyllelse av krav om at personidentifiserende opplysninger bare behandles når dette er nødvendig for å fremme formålet med behandlingen av opplysningene, og i tråd med gjeldende bestemmelser om taushetsplikt, jf. helseregisterloven § 6 og § 17,
4.2.dokumentasjon og kvalitetskontroll av helseopplysningene, jf. forskriften § 1-8 og § 2-5,
4.3.oppfyllelse av begjæringer om informasjon og innsyn, jf. helseregisterloven § 24, samt forskriften § 5-1,
4.4.hvordan virksomheten oppfyller bestemmelsene om tilgang til helseregistre, jf. § 3-1, § 3-3, § 3-4 og § 3-5,
5.rutiner virksomheten følger dersom avvik oppstår, og opplysninger om hvem som er ansvarlig,
6.rutiner virksomheten følger for å hindre gjentakelse av avvik, og opplysninger om hvem som er ansvarlig,
7.rutiner for hvordan virksomheten systematisk og regelmessig gjennomgår sin internkontroll for å kontrollere at aktivitetene og resultatene av dem stemmer overens med det system virksomheten har fastlagt, og om det medfører oppfyllelse av helseregisterlovgivningen,
8.rutiner for hvordan virksomheten sikrer seg at alle aktuelle og kun gjeldende rutiner blir benyttet, og
9.rutiner for hvordan virksomheten sikrer at de ansatte har tilstrekkelig kompetanse til å overholde forskriftens krav.

Skriftlig dokumentasjon skal minst omfatte dokumentasjon av rutiner som nevnt i annet ledd nr. 1 til 8. Tilsynsmyndighetene kan gi pålegg om skriftlig dokumentasjon ut over dette, dersom det anses påkrevet. Tilsynsmyndighetene kan dispensere fra hele eller deler av dette kapittel når særlige forhold foreligger.

0Endret ved forskrift 17 juni 2016 nr. 768 (i kraft 1 juli 2016).

Kapittel 5. Den registrertes rett til informasjon og innsyn

§ 5-1.(Den registrertes rett til informasjon og innsyn)

Registrerte har rett til informasjon om SYSVAK og innsyn i behandling av helseopplysninger om seg selv i samsvar med helseregisterloven § 24. Informasjonen skal gis i en forståelig form.

0Endret ved forskrift 17 juni 2016 nr. 768 (i kraft 1 juli 2016).
§ 5-2.(Informasjon og innsyn når den registrerte er mindreårig)

Foreldre eller andre med foreldreansvar har rett til innsyn etter regler tilsvarende dem i pasient- og brukerrettighetsloven § 3-4.

0Endret ved forskrift 17 jan 2013 nr. 61.
§ 5-3.(Frist for å svare på henvendelser om innsyn)

Begjæringer om innsyn etter § 5-1 skal besvares uten ugrunnet opphold og senest innen 30 dager fra den dagen henvendelsen kom inn.

Dersom særlige forhold gjør det umulig å svare på henvendelsen innen 30 dager, kan gjennomføringen utsettes inntil det er mulig å gi svar. Den databehandlingsansvarlige skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis.

0Endret ved forskrift 17 juni 2016 nr. 768 (i kraft 1 juli 2016).

Kapittel 6. Bevaring av helseopplysninger i SYSVAK

§ 6-1.(Bevaring av helseopplysninger)

Opplysninger i SYSVAK skal oppbevares i ubegrenset tid, med mindre annet følger av denne forskriften eller helseregisterloven § 25.

0Endret ved forskrift 17 juni 2016 nr. 768 (i kraft 1 juli 2016).

Kapittel 7. Straff

§ 7-1.(Straff)

Den som forsettlig eller grovt uaktsomt overtrer bestemmelser fastsatt i denne forskriften § 2-1, § 2-3, § 4-2 til § 4-4, straffes med bøter eller fengsel inntil ett år eller begge deler.

Medvirkning straffes på samme måte.

Kapittel 8. Avsluttende bestemmelser

§ 8-1.(Ikraftsetting)

Forskriften trer i kraft 1. juli 2003. Fra samme tidspunkt oppheves forskrift av 21. desember 2000 nr. 1370 om meldinger til system for vaksinasjonskontroll.

0Endret ved forskrifter 16 okt 2009 nr. 1276, 18 nov 2010 nr. 1469 (i kraft 1 jan 2011).

Merknader til de enkelte kapitler og paragrafer i forskriften

Merknadene er en veiledning som utdyper innholdet i de enkelte bestemmelsene i forskriften. Merknadene er i seg selv ikke bindende. Forskriften og veiledningen bør leses i sammenheng for å få en best mulig forståelse av forskriftens bestemmelser.

Til § 1-1 Etablering av SYSVAK

Forskriften omhandler System for vaksinasjonskontroll hos mennesker, og ikke hos dyr.

Bestemmelsen gir hjemmel for etablering av SYSVAK, og gir regler for innsamling og behandling av helseopplysninger i registeret. Hjemmelsgrunnlaget er helseregisterloven § 8 fjerde ledd, jf. tredje ledd.

Det heter i § 1-1 annet ledd at innsamling og behandling av helseopplysninger i SYSVAK kan skje manuelt og ved hjelp av elektroniske hjelpemidler. Forutsetningen for bruk av elektroniske hjelpemidler er at tilstrekkelig informasjonssikkerhet kan opprettholdes ved bruk av slike hjelpemidler. Tilstrekkelig informasjonssikkerhet henspiller på integritet, konfidensialitet, tilgjengelighet og kvalitet. Kravet til konfidensialitet innebærer at bestemmelsene om taushetsplikt må kunne overholdes. Taushetsplikt innebærer ikke bare en passiv plikt til å tie, men er også en aktiv plikt til å hindre uvedkommende i å få tilgang til taushetsbelagt informasjon. Dersom bestemmelsene om taushetsplikt ikke kan overholdes ved bruk av elektroniske hjelpemidler, kan slike hjelpemidler ikke benyttes.

Til § 1-2 Innholdet i SYSVAK

Bestemmelsen angir innholdet i SYSVAK. Registeret kan omfatte opplysninger om alle vaksinasjoner som foretas i henhold til det nasjonale programmet for vaksinering mot smittsomme sykdommer jf. smittevernloven § 3-8. Dette er Barnevaksinasjonsprogrammet som tilbys alle førskolebarn og barn i grunnskolealder på helsestasjonen og i skolehelsetjenesten. Barnevaksinasjonsprogrammet er nærmere regulert i forskrift av 3. april 2003 nr. 450 om kommunens helsefremmende og forebyggende arbeid i helsestasjons- og skolehelsetjenesten som trer i kraft 1. juli 2003.

Barnevaksinasjonsprogrammet gjelder grunnvaksinasjon og påfyllingsdoser, og består pr. 1. juli 2003 av vaksiner mot følgende sykdommer:

-difteri, tetanus (stivkrampe) og kikhoste (DTP),
-poliomyelitt,
-haemophilus influenzae type B-infeksjonssykdommer (Hib),
-meslinger, kusma og røde hunder (MMR) og
-tuberkulose (BCG).

Registeret kan også omfatte opplysninger om personer som er omfattet av Barnevaksinasjonsprogrammet, men som av ulike årsaker ikke er vaksinert eller ikke har fullført programmet. I henhold til forskriften § 1-7 kan registeret på dette punkt inneholde opplysninger om den manglende vaksineringen skyldes medisinske kontraindikasjoner eller andre årsaker (uten å spesifisere årsakene nærmere).

Både vaksinasjoner som omfattes av Barnevaksinasjonsprogrammet og andre vaksinasjoner gitt til de samme personene kan inngå i SYSVAK. Se merknaden til § 1-7.

Til § 1-3 SYSVAKs formål

Bestemmelsen angir formålene med SYSVAK. Formålene som nevnt i bestemmelsens første ledd, tar dels sikte på å dekke formål som tidligere fremgikk av forskrift 21. desember 2000 nr. 1370 om meldinger til system for vaksinasjonskontroll, og er dels en utvidelse i forhold til tidligere regelverk. I bestemmelsen presiseres det at ett av formålene er å holde oversikt over eventuelle komplikasjoner eller bivirkninger etter vaksinasjon eller mistanke om slike. Eventuelle komplikasjoner eller bivirkninger var også tidligere meldingspliktige, men nytt er at også mistanke om komplikasjoner nå skal meldes. Det er viktig at den norske befolkningen har tiltro til de vaksiner som tilbys, og helsemyndighetene er avhengige av at immuniteten blant befolkningen holdes så høy at bakterier/virus ikke får anledning til å sirkulere. For å sikre dette vil helsemyndighetene også ha oversikt over eventuelle mistenkte vaksinekomplikasjoner eller bivirkninger. Det presiseres også i bestemmelsens første ledd at et av formålene er å drive, fremme og legge grunnlag for forskning for å fremme kvaliteten på vaksinene, samt å bidra til internasjonal statistikk.

Annet ledd angir hvilke andre formål opplysningene i SYSVAK kan brukes til. Det tenkes her særlig på tiltak som kan styrke helse- og omsorgstjenesten og helse- og omsorgsforvaltningen. Også ved bruk av opplysninger fra SYSVAK til statistikk og forskning, som ikke fremgår av første ledd, er det et overordnet krav at bruken skjer for å fremme helsemessige formål.

Til § 1-4 Forbud mot bruk

Bestemmelsen forbyr bruk av opplysninger i SYSVAK til visse formål.

Det heter i første ledd at opplysningene i SYSVAK ikke kan anvendes til formål som er uforenelig med formålet til SYSVAK, slik dette er nevnt i § 1-3. Bestemmelsen følger naturlig av helseregisterloven § 11 tredje ledd. Spørsmålet om bruk av opplysningene er uforenlig med formål som nevnt i § 1-3, må avgjøres konkret.

I annet ledd følger det at opplysninger om enkeltindivider som er fremkommet ved behandling av helseopplysninger etter forskriften, ikke kan brukes i forsikringsøyemed selv om den registrerte samtykker.

Til § 1-5 Databehandlingsansvarlig

Bestemmelsen fastslår at Nasjonalt folkehelseinstitutt er databehandlingsansvarlig for innsamling og behandling av opplysninger i SYSVAK. Ansvarsplasseringen ivaretar samtidig hensynet til en samlet og overordnet styring av landets sentrale epidemiologiske helseregistre.

Til § 1-6 Databehandler

I følge bestemmelsen kan Nasjonalt folkehelseinstitutt inngå skriftlig avtale med en databehandler om innsamling og behandling av helseopplysninger i SYSVAK.

Databehandler er i helseregisterloven § 2 nr. 9 definert som den som behandler helseopplysninger på vegne av den databehandlingsansvarlige. Det følger av helseregisterloven § 18 at en databehandler ikke kan behandle helseopplysninger på annen måte enn det som er skriftlig avtalt med den databehandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til andre for lagring eller bearbeidelse.

Det følger av helseregisterloven § 29 og § 30 at Datatilsynet skal informeres om navn og adresse til eventuell databehandler, og om hvem som har det daglige ansvaret for å oppfylle den databehandlingsansvarliges plikter etter forskriften.

Til § 1-7 Opplysninger om vaksinasjoner i SYSVAK

Det følger av helseregisterloven § 8 tredje ledd at SYSVAK kan inneholde personidentifiserbare opplysninger uten at den registrerte har samtykket, i den utstrekning det er nødvendig for å nå formålet med registeret. Forskriften § 1-7 spesifiserer hvilke typer opplysninger som kan registeres og behandles i SYSVAK uten samtykke fra den registrerte eller dennes pårørende.

Bestemmelsens nr. 1 refererer seg til personlige opplysninger som skal registreres, herunder navn og fødselsnummer. Bestemmelsens nr. 2 refererer seg til administrative opplysninger som navn på institusjon/virksomhet der helsehjelp tilbys og ytes. Bestemmelsens nr. 3 refererer seg til medisinske opplysninger. Eksempler på slike data ved siden av dato og typekode er dosestørrelse og batch nummer på vaksinen. Dersom vedkommende ikke har gjennomført hele eller deler av Barnevaksinasjonsprogrammet, skal dette registreres i SYSVAK. Det skilles mellom medisinske kontraindikasjoner og andre årsaker til at hele eller deler av vaksinasjonsprogrammet ikke er fulgt. Av personvernhensyn skal det ikke registreres nærmere hvilke årsaker som er grunnen til manglende vaksinering. Begrunnelsen for å registrere om det er medisinske årsaker eller andre årsaker til manglende vaksinering er å få kunnskap om årsakene til eventuell manglende vaksinering, og å kartlegge behovet for tiltak for å høyne vaksinasjonsdekningen i Norge.

Andre vaksiner som personer som er omfattet av Barnevaksinasjonsprogrammet får kan også meldes og registreres i SYSVAK. Begrunnelsen for dette er at myndighetene skal holde oversikt over vaksinasjonsstatus hos den enkelte jf. forskriften § 1-3 nr. 1. Det er også viktig at vaksinasjonskortet, som blir utstedt på bakgrunn av data fra SYSVAK, blir så fullstendig som mulig. Dagens ordning videreføres derfor på dette punkt. Private klinikker som setter reisevaksiner på barn, blir oppfordret til å gi beskjed til helsestasjonen om hvilke vaksiner som er gitt slik at personellet på helsestasjonen kan sende melding til SYSVAK. I andre tilfeller sier foreldrene fra til helsestasjonen/skolen. I de kommunene der det fortsatt er kommunale vaksinasjonsklinikker, melder disse inn til SYSVAK.

I henhold til bestemmelsen skal eventuelle komplikasjoner etter vaksinasjon meldes. Det er viktig ved melding om vaksinasjonskomplikasjon å få detaljert klarlagt hva komplikasjonen består i, måten vaksinen har vært gitt på og nærmere om produktet som har vært brukt. Dette gjaldt også tidligere. Det nye er at også mistanke om komplikasjon skal meldes. Dersom det er grunn til å tro at det kan foreligge årsakssammenheng mellom vaksinen og en bestemt sykdom eller sykdomstilstand, skal tilfellet meldes og fremgå av SYSVAK. Bestemmelsen er gitt for å sikre at helsemyndighetene får en bedre oversikt også over mistenkte vaksinasjonskomplikasjoner. Se merknad til forskriften § 1-3.

Registeret kan inneholde annen identifikasjon for personer uten norsk fødselsnummer. Eksempel på annen identifikasjon er passnummer. I de tilfeller hvor barn ikke har fullstendig personnummer, skal det opplyses enten om mors/omsorgspersons fødselsnummer eller mors/omsorgspersons fødselsdato sammen med dennes for- og etternavn.

Til § 1-8 Koding og klassifisering av opplysningene i SYSVAK, krav til dokumentasjon

Bestemmelsen omhandler koding og klassifisering av opplysninger i SYSVAK og setter krav til dokumentasjon.

Det slås fast i første ledd at Nasjonalt folkehelseinstitutt ved enhver registrering i SYSVAK skal kunne dokumentere hvilke kodeverk eller klassifikasjoner som er brukt. Hensikten med bestemmelsen er å lette tilgjengeligheten på opplysningene i SYSVAK. Opplysningene som sendes inn til SYSVAK, registreres der i kodet form. For at innholdet i registeret og de medisinske opplysninger skal bli tilgjengelig og forståelig for dem som skal bruke opplysningene i konkrete forskningsprosjekter mv., må brukerne vite hva de ulike kodene betyr, dvs. den kodete informasjonen må oversettes til norsk språk eller medisinsk terminologi.

Til § 2-1 Helsepersonells dokumentasjons- og meldeplikt til SYSVAK

Helsepersonell som gir vaksine, yter helsehjelp, jf. helsepersonelloven § 3 tredje ledd, og plikter etter helsepersonelloven § 39 å føre journal i samsvar med helsepersonelloven § 40 og forskrift om pasientjournal. I tillegg følger det av helseregisterloven § 9 annet ledd jf. denne forskriften § 2-1 at helsepersonellet har plikt til å melde opplysninger som nevnt i § 1-7 til SYSVAK.

Taushetsplikten etter helsepersonelloven og forvaltningsloven er ikke til hinder for at opplysningene meldes til SYSVAK.

Det følger av bestemmelsen annet ledd at helsepersonellet har informasjonsplikt om at vaksinasjonsstatus vil bli registeret i SYSVAK, og at den vaksinerte ikke kan reservere seg mot registrering. Slik informasjonsplikt følger også av helsepersonelloven og lov om pasient- og brukerrettigheter.

Det går fram av bestemmelsens tredje ledd at melding om vaksinasjon skal meldes til SYSVAK senest en uke etter at vaksinasjonen er gjennomført. Bivirkninger og komplikasjoner som opptrer i umiddelbar sammenheng med gjennomføringen av vaksinasjonen, skal meldes innen en uke. Bivirkninger og komplikasjoner eller mistanke om slike som kommer i ettertid, skal i henhold til siste punktum meldes så snart den blir kjent for helsepersonellet. Melding til SYSVAK vil i slike tilfeller skje i to omganger; først ved selve vaksineringen og deretter ved eventuelle bivirkninger og komplikasjoner eller mistanke om slike som opptrer i ettertid.

Til § 2-2 Meldingsskjema, formkrav mv.

Det følger av bestemmelsen at opplysninger til SYSVAK skal meldes på skjema eller på annen måte fastsatt av departementet.

Det heter i annet ledd at departementet kan sette krav om bruk av bestemte klassifikasjoner og kodeverk ved registrering av opplysningene, og gi pålegg om bruk av standardiserte meldingsformater ved forsendelsen av opplysningene. Krav om bruk av bestemt meldingsformat kan særlig være aktuelt ved elektronisk meldingsformidling.

Til § 2-3 Virksomhetens plikter

Det følger av bestemmelsen at helseinstitusjon og annen virksomhet som er ansvarlig for opplysninger som skal registreres og meldes etter § 2-1, jf. § 2-2, har ansvar for at pliktene oppfylles, og skal sørge for at det finnes rutiner som sikrer dette. I praksis vil det være slik at helsepersonell som vaksinerer, som en del av dokumentasjonsplikten jf. helsepersonelloven § 39, fyller ut skjema elektronisk eller på papir. Virksomheter som yter vaksinasjon, plikter i følge helseregisterloven § 9 å utlevere og overføre opplysninger i samsvar med SYSVAK-registerforskriften. Virksomheten må ha utarbeidet systemer som sikrer at skjemaet sendes videre til SYSVAK, slik at helsepersonellet får overholdt sine plikter jf. helsepersonelloven § 16. Elektronisk formidling av opplysningene forutsetter at tilstrekkelig informasjonssikkerhet er ivaretatt, blant annet at personidentifiserende kjennetegn (navn og fødselsnummer) og andre helseopplysninger er kryptert under forsendelsen.

Til § 2-4 Innhenting av tilleggsopplysninger

Bestemmelsen er gitt for å sikre at Nasjonalt folkehelseinstitutt kan innhente nødvendig tilleggsinformasjon, der vaksinereaksjoner har ført til legekontakt eller sykehusinnleggelse for å få klarhet i hendelsesforløpet.

Til § 2-5 Mottakers ansvar for kvalitetskontroll

Bestemmelsen fastslår at Nasjonalt folkehelseinstitutt som databehandlingsansvarlig for SYSVAK skal sørge for at helseopplysninger som registreres i registeret, er korrekte, relevante og nødvendige for de formål de innsamles for, jf. § 1-3. Annet punktum fastslår at som ledd i kvalitetskontrollen kan det gjøres rutinemessige samkjøringer mot Det sentrale folkeregister. En slik kvalitetskontroll har også blitt gjort tidligere. Bestemmelsen er således en forskriftsfastsettelse av etablert praksis.

Annet ledd i forskriften fastslår at dersom meldingsskjema er mangelfullt utfylt, skal avsenderen av skjema varsles. Bestemmelsen er en presisering av helseregisterloven § 9 annet ledd annet punktum. Mangelfullt utfylt skjema omfatter også ikke utfylt skjema. Ved fortsatt mangelfull utfylling av skjema skal Fylkesmannen varsles. Dersom det må gjøres gjentatte purringer (mer enn to), anses dette å være mangelfull utfylling av skjema.

Til § 3-1 Sammenstilling av opplysninger for fremstilling av statistikk

Bestemmelsen gir rettsgrunnlag for utarbeidelse av statistikk. Et vilkår er at statistikkfremstillingen gjøres av den databehandlingsansvarlige for ett av de nevnte registrene eller i en virksomhet departementet bestemmer. Databehandlingsansvarlig for de nevnte registrene er Nasjonalt folkehelseinstitutt og institusjonen Kreftregisteret.

En sammenstilling av opplysninger etter § 3-1 eller produksjon av statistikk innebærer at det er statistikk eller tabelldata som etterspørres. Etterspørreren kan være en kommune, en fylkeskommune eller en region som skal bruke dataene i planleggingsøyemed, eller etterspørreren kan være en forsker. Hvorvidt tabelldataene eller statistikken er tilstrekkelig anonymisert, må vurderes i hvert enkelt tilfelle. Ved publisering av tabeller på lokalt og regionalt nivå har det i praksis vært lagt til grunn 4 eller 5 enheter. Det innebærer at en ikke sammenstiller materiale hvor færre enn 4 eller 5 personer inngår.

Annet ledd gir en tidsfrist for hvor raskt en bestilling på statistiske data skal effektueres. Bestemmelsen er en oppfølging av NOU 1997:26 Tilgang til helseregistre. Det er departementets ønske at dataene i sentrale helseregistre skal brukes mer aktivt for planleggingsformål.

Tredje ledd fastslår at helseopplysninger som mottas for fremstilling av statistikk etter første ledd, skal slettes så snart sammenstillingen er tilfredsstillende gjennomført. Bestemmelsen følger naturlig av helseregisterloven § 27 første ledd om at helseopplysninger ikke skal lagres lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen av helseopplysningene.

Til § 3-2 Sammenstilling av opplysninger fra SYSVAK med opplysninger i andre registre for forskning mv.

Bestemmelsen gir regler for forskning på sammenstilte helseopplysninger internt i SYSVAK, dvs. der opplysninger i SYSVAK er sammenstilt med opplysninger i andre sentrale helseregistre som er oppregnet i paragrafen ovenfor. Hjemmelen for utlevering av helseopplysninger fra de nevnte helseregistrene til SYSVAK i sammenstillingsøyemed er helseregisterloven § 14 første punktum, jf. § 12 annet punktum.

Behandling av opplysninger i henhold til denne bestemmelsen krever ikke konsesjon fra Datatilsynet, men det skal sendes melding til Datatilsynet, jf. helseregisterloven § 29.

Første ledd oppstiller tre vilkår for at en behandling (sammenstilling/kobling og tilrettelegging) av opplysninger for bruk i et bestemt forskningsprosjekt skal kunne skje etter denne bestemmelsen.

Det >ene vilkåret er at prosjektet har et uttrykkelig angitt formål innenfor registerets formål, jf. § 1-3.

Det andre vilkåret er at databehandleren (forskeren, prosjektansvarlig etc.) bare skal behandle eller forske på avidentifiserte opplysninger. Den behandlingsansvarlige for SYSVAK må sørge for og vil være ansvarlig for selve prosessen med å sammenstille og å kvalitetssikre og tilrettelegge dataene. Først etter denne prosessen vil dataene være avidentifisert. Denne prosessen må foregå i nært samarbeid mellom sammenstilleren/kvalitetskontrolløren og forskeren.

Det tredje vilkåret er at sammenstillingen blir vurdert som ubetenkelig ut fra etiske hensyn. Ubetenkelig kan for eksempel referere til om et forskningsprosjekt blir vurdert som berettiget og forsvarlig. Det er den databehandlingsansvarlige for SYSVAK som er ansvarlig for at behandlingen av opplysningene er ubetenkelig.

I annet ledd første punktum heter det at sammenstilte helseopplysninger ikke kan lagres før navn, fødselsdag og personnummer er slettet eller kryptert. Bestemmelsen forbyr den databehandlingsansvarlige å lagre koblede opplysninger på navn og fødselsnummer. I annet ledd annet punktum heter det at direkte identifiserende opplysninger, dvs. navn og fødselsnummer som mottas for behandlingen, skal slettes så snart sammenstillingen er tilfredsstillende gjennomført. Bestemmelsen vil hindre at det lagres kopier av direkte identifiserende helseopplysninger utenfor databasen i SYSVAK.

I tredje ledd heter det at alle opplysninger som inngår i behandlingen etter første og annet ledd, skal slettes ved prosjektavslutning. Kravet om sletting av alle direkte og indirekte personidentifiserende opplysninger refererer seg både til de avidentifiserte opplysningene som forskeren og eventuelt andre har behandlet, jf. første ledd, og til de helseopplysningene som eventuelt er kryptert, jf. annet ledd.

Til § 3-3 Utlevering av sammenstilte datafiler til forskning mv.

Første ledd gir eksterne forskere og eventuelt andre som har oppgaver innen helsetjenesten og helseforvaltningen, adgang til sammenstilte og tilrettelagte avidentifiserte opplysninger fra flere sentrale helseregistre, dersom opplysningene skal brukes til et uttrykkelig angitt formål innenfor registerets formål, jf. forskriften § 1-3. Helseregistre som kan sammenstilles i dette øyemed, er positivt oppregnet i forskriften § 3-1. Bestemmelsen er en oppfølging av NOU 1997:26 Tilgang til helseregistre, og gir økt tilgang til registerdata.

Det er tre kumulative vilkår som må være tilstede for at sammenstilling og utlevering av data til et uttrykkelig angitt formål kan skje.

For det første er det et vilkår at mottakeren bare skal behandle avidentifiserte data. Avidentifiserte data er definert som helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysninger som tidligere ble fjernet. Oppfyllelse av dette vilkåret forutsetter at mottakeren (for eksempel forskeren) som skal behandle opplysningene, ikke selv sitter inne med egne opplysninger eller individdata som skal kobles til og behandles sammen med de utleverte opplysningene.

Sammenstillings- og tilretteleggingsinstansen vil forestå selve prosessen med å sammenstille og å kvalitetssikre dataene. Først etter denne prosessen vil dataene være avidentifisert. Denne prosessen må foregå i nært samarbeid mellom sammenstilleren/kvalitetskontrolløren og forskeren. Dataene skal ikke utleveres til eksterne forskere før de er tilstrekkelig avidentifisert. Hvorvidt dataene er avidentifisert eller ikke, må vurderes konkret i forhold til hvert enkelt prosjekt.

Mottakeren av de avidentifiserte opplysningene skal sende melding til Datatilsynet etter helseregisterloven § 29.

Dersom mottakeren har egne data, og ber om å få koblet data fra et eller flere av de nevnte helseregistrene til data (identiteter) mottakeren selv sitter inne med, gjelder forskriften § 3-5.

Utlevering av avidentifiserte data til forskere, eventuelt andre berettigede mottakere - slik avidentifiserte data defineres i helseregisterloven - anses ikke å være i strid med helsepersonellovens eller forvaltningslovens bestemmelser om taushetsplikt. Det skal således ikke søkes om dispensasjon fra taushetsplikten. De avidentifiserte dataene vil ikke være anonyme fordi opplysningene vil kunne tilbakeføres indirekte, dvs. sammenstillings- og tilretteleggingsinstansen vil kunne tilbakeføre opplysningene. Mottakeren skal ikke kunne tilbakeføre opplysningene.

Dersom en står foran et forskningsprosjekt hvor behovet for data er stort og forutsetter bruk av mange variabler, herunder data som kjønn, fødselsmåned, år etc., og opplysningene kan tilbakeføres til et bestemt individ, vil forskriften § 3-3 ikke være det rette hjemmelsgrunnlaget. I slike tilfeller vil forskriften § 3-5 være det rette hjemmelsgrunnlag.

Det andre vilkåret er at behandlingen av opplysningene blir vurdert som ubetenkelig ut fra etiske hensyn. Ubetenkelig henspiller blant annet på om forskningsprosjektet er berettiget og forsvarlig. Det er den ansvarlige for prosjektet som er ansvarlig for at behandlingen av opplysningene og bruken av dem er ubetenkelig. Dersom regional etisk komite vurderer et prosjekt som positivt, kan databehandlingsansvarlig ikke avslå å utlevere avidentifiserte data med den begrunnelse at prosjektet ikke er forsvarlig eller berettiget.

Det tredje vilkåret er at sammenstillingen og tilretteleggingen av dataene gjøres av databehandlingsansvarlig for et av de registrene hvis opplysninger behandles (sammenstilles). En virksomhet som departementet eventuelt bestemmer skal sammenstille og tilrettelegge data for eksterne forskere, vil være databehandler for Nasjonalt folkehelseinstitutt, og det må inngås skriftlig avtale etter helseregisterloven § 18, jf. forskriften § 1-6.

Annet ledd viser til forskriften § 3-2 annet ledd. Det følger av denne bestemmelsen at virksomheten ikke kan lagre de sammenstilte helseopplysninger før navn, fødselsdag og personnummer er slettet eller kryptert. Videre forutsettes det at direkte personidentifiserende opplysninger (navn og fødselsnummer) som mottas for behandlingen, skal slettes så snart sammenstillingen er tilfredsstillende gjennomført.

Tredje ledd sier at den databehandlingsansvarlige skal utlevere eller overføre nødvendige og relevante data til den ansvarlige for det angitte prosjektet innen 60 dager fra den dagen søknaden kom inn. Rettsgrunnlaget for den angitte behandlingen av opplysningene skal fremgå av søknaden, som nevnt i første ledd. Dersom departementet beslutter at en bestemt virksomhet skal sammenstille og tilrettelegge forskningsdata for eksterne mottakere, må frister og prosedyrer for hvordan dette skal skje nedfelles i en skriftlig avtale mellom institusjonen Nasjonalt folkehelseinstitutt og vedkommende virksomhet, slik at tidsfristen på 60 dager overholdes.

En forutsetning for at fristen på 60 dager kan overholdes er at det foreligger en presis søknad. Departementet er kjent med at søknadene om forskningsdata kan være ufullstendige, og at det må gås flere runder før innholdet i en søknad er tilstrekkelig detaljert slik at data kan leveres. I sistnevnte tilfeller vil det være vanskelig å levere data innen en frist på 60 dager. I slike tilfeller kan leveringen av data utsettes, inntil det er mulig å oppfylle den. Dette følger av fjerde ledd. Den databehandlingsansvarlige skal i så fall gi søkeren et foreløpig svar om grunnen til forsinkelsen. Dersom grunnen til at data vanskelig kan leveres, er at søknaden er ufullstendig, skal dette avhjelpes ved kommunikasjon, råd og veiledning fra registerets side. Det skal foreligge spesielle og midlertidige forhold ved registret for å kunne påberope seg en utsatt levering etter fjerde ledd. Lengre saksbehandlingstid enn 60 dager skal ikke være rutine. Kravet om å overholde fristen må imidlertid ikke gå på bekostning av kvalitet.

Til § 3-4 Plikt til å utlevere ikke koblede data til forskning mv.

Bestemmelsen regulerer tilgang til ikke-koblede data fra SYSVAK. Prosjekter som gjør bruk av ikke-koblede data, reguleres på samme måte som prosjekter som gjør bruk av koblede data. Bruk av denne bestemmelsen forutsetter at den eksterne mottakeren ikke har egne data som kan kobles på data som utleveres.

Til § 3-5 Utlevering og annen behandling av opplysninger i SYSVAK

Bestemmelsen regulerer utlevering og annen behandling av opplysninger i SYSVAK enn det som følger av bestemmelsene foran. Første ledd krever at slik behandling har konsesjon fra Datatilsynet og skjer i samsvar med de alminnelige regler om taushetsplikt, dvs. reglene om taushetsplikt i forvaltningsloven og helsepersonelloven, jf. forskriften § 4-1.

Vilkårene for utlevering av opplysninger fra SYSVAK til forskningsformål er at Helsedirektoratet har bestemt at opplysningene kan brukes til det formulerte formålet uten hensyn til taushetsplikt, og at mottaker av opplysningene har tillatelse fra Datatilsynet til å behandle opplysningene til angitte formål. Forskning på identifiserbart humant materiale eller identifiserbare data skal også fremlegges for en regional forskningsetisk komite for medisin til vurdering.

Forskningsprosjekter som innebærer en kobling av data fra SYSVAK med forskerens egne data, reguleres også av denne bestemmelsen.

Det følger av annet ledd første punktum at Helsedirektoratet skal svare på forespørsler om utlevering av personidentifiserende opplysninger for bruk i uttrykkelig angitte forskningsprosjekter innen 30 dager fra den dagen forespørselen kom inn. Tidsfristen på 30 dager anses viktig for å kunne øke bruken av data fra SYSVAK i konkrete forskningsprosjekter.

Det heter i annet punktum at dersom særlige forhold gjør det umulig å svare på forespørselen innen den angitte fristen, kan svaret utsettes inntil det er mulig å gi svar. Helsedirektoratet skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når søknaden kan effektueres. I et slikt foreløpig svar må Helsedirektoratet også informere om det er behov for ytterligere opplysninger, dersom det er nødvendig for å gi et positivt svar. Det skal foreligge spesielle og midlertidige forhold i Helsedirektoratet for å kunne påberope seg en utsatt levering etter denne bestemmelsen. Lengre saksbehandlingstid enn 30 dager skal ikke være rutine.

Til § 3-6 Informasjonsstrategi rettet mot brukergrupper

Bestemmelsen fastslår at Nasjonalt folkehelseinstitutt skal ha en aktiv informasjonsstrategi og -plan rettet mot brukergrupper. Forskriften krever ikke at denne planen skal være skriftlig. Innholdet i kravet går på å ha et bevisst åpent og positivt forhold til å samhandle med ulike forskningsmiljøer og andre brukergrupper. Det er et selvstendig mål at dataene blir brukt i forskningsprosjekter utenfor SYSVAK og til planlegging av helsetjenesten. En effektiv bruk av data fra SYSVAK kan best gjennomføres ved at Nasjonalt folkhelseinstitutt informerer kommuneleger, helseplanleggere, helseadministratorer, forskere mv. om hvilke muligheter SYSVAK gir til kunnskapsoppbygging og -utvikling.

Til § 3-7 Kostnader

Bestemmelsen gir adgang til å kreve betaling for utførte tjenester med bearbeidede data fra SYSVAK. Bestemmelsen innebærer ikke at en skal kreve kostnadsdekning av alle datautleveringer fra SYSVAK. Kostnader forbundet med utlevering av statistikk og avidentifiserte data til forskningsformål bør som hovedregel dekkes av ordinære driftsmidler. Større prosjekter bør det kunne kreves betaling for. Det fremgår av annet punktum at betalingen ikke skal overstige de faktiske utgiftene ved behandlingen og tilretteleggingen av opplysningene.

Til § 3-8 Oversikt over utleveringer

Bestemmelsen pålegger Nasjonalt folkehelseinstitutt å føre oversikt over hvem som får utlevert opplysninger fra SYSVAK og hjemmelsgrunnlaget for utleveringene. Nasjonalt folkehelseinstitutt plikter å holde oversikt både over utleveringer av helseopplysninger til en eventuell koblingsinstans, jf. § 3-1 og 3-3 første ledd tredje strekpunkt, utlevering av avidentifiserte helseopplysninger etter § 3-4 og annen utlevering etter § 3-5. Opplysningene skal oppbevares i minst 5 år etter at utlevering har funnet sted.

Til § 4-1 Taushetsplikt

Bestemmelsen fastslår at både forvaltningslovens regler og helsepersonellovens regler om taushetsplikt kommer til anvendelse på helseopplysninger som behandles etter forskriften. Dette innebærer blant annet at eventuelle unntak fra taushetsplikten må ha hjemmel i begge lover før utlevering av opplysninger fra registeret kan skje.

Taushetsplikten er ikke bare en passiv plikt til å tie, men også en aktiv plikt til å hindre uvedkommende i å få tilgang til taushetsbelagt informasjon. Forsvarlig håndtering og oppbevaring av helseopplysninger er derfor en forutsetning for å kunne etterleve lovbestemt taushetsplikt.

Til § 4-2 Informasjonssikkerhet

Første ledd viser til helseregisterloven § 16 flg. Bestemmelsen pålegger Nasjonalt folkehelseinstitutt og databehandleren å sørge for tilfredsstillende informasjonssikkerhet ved behandling av helseopplysninger. Dette omfatter blant annet et ansvar for å sørge for at tilstrekkelig sikkerhetsfaglig kompetanse er tilgjengelig. I tillegg til ansvar for sikkerheten i egen organisasjon må Nasjonalt folkehelseinstitutt også forsikre seg om at informasjonssikkerheten er tilfredsstillende hos kommunikasjonspartnere og leverandører. Begrepet informasjonssikkerhet omfatter:

-sikring av konfidensialitet, dvs. beskyttelse mot at uvedkommende får innsyn i opplysningene, herunder sikkerhet for at reglene om taushetsplikt overholdes,
-sikring av integritet, dvs. beskyttelse mot utilsiktet endring av opplysningene,
-sikring av tilgjengelighet, dvs. sørge for at tilstrekkelige og relevante opplysninger er til stede,
-sikring av kvalitet, dvs. sørge for at opplysningene er riktige.

Tilfredsstillende informasjonssikkerhet skal oppnås ved hjelp av planlagte og systematiske tiltak. Dette innebærer at anerkjente teknikker og standarder for kvalitetsstyring, internkontroll og informasjonssikkerhet skal legges til grunn ved sikkerhetsarbeidet. De tiltak som etableres, skal være både organisatoriske og tekniske. Sikkerhetstiltakene og selve informasjonssystemet skal kunne dokumenteres.

Annet ledd gjelder ved helt eller delvis elektronisk behandling av helseopplysningene. I slike tilfeller gjelder personopplysningsforskriften § 2-1 til § 2-16. Bestemmelsene er en videreføring av dagens sikkerhetskrav.

Forsettlig eller grovt uaktsomt overtredelse av denne bestemmelsen straffes med hjemmel i § 7-1.

Til § 4-3 Plikt til internkontroll

Bestemmelsen pålegger Nasjonalt folkehelseinstitutt en plikt til å innføre og utøve internkontroll i samsvar med helseregisterloven § 17. Tiltakene skal ifølge § 17 annet ledd dokumenteres, og dokumentasjonen skal være tilgjengelig for medarbeidere og tilsynsmyndighetene.

Databehandlere skal behandle opplysninger i samsvar med rutiner Nasjonalt folkehelseinstitutt har oppstilt.

Forsettlig eller grovt uaktsomt overtredelse av denne bestemmelsen straffes med hjemmel i § 7-1.

Til § 4-4 Internkontrollens innhold

Bestemmelsen gir regler om internkontrollens innhold. Formuleringen av bestemmelsen har tatt mønster av internkontrollbestemmelsen i personopplysningsforskriften.

Forsettlig eller grovt uaktsomt overtredelse av denne bestemmelsen straffes med hjemmel i § 7-1.

Til § 5-1 Den registrertes rett til informasjon og innsyn

Første ledd viser til helseregisterloven § 22 til § 25. Bestemmelsene gir den registrerte rett til informasjon om helseregistre og rett til innsyn i behandling av helseopplysninger om seg selv.

Helseregisterlovens bestemmelser om allmennhetens rett til informasjon og enhver sin rett til informasjon (helseregisterloven § 20 og § 21) er ikke inntatt i forskriften. Helseregisterlovens bestemmelser om den databehandlingsansvarliges informasjonsplikt til den registrerte (helseregisterloven § 23 og § 24) er heller ikke inntatt i forskriften. Dette er allmenne og generelle regler som gjelder uansett om de inntas i forskriften eller ikke. Det vises imidlertid til forskriften § 2-1, annet ledd som blant annet omtaler helsepersonellets informasjonsplikt.

Innsyn skal som hovedregel gis uten vederlag. Det er ikke adgang til å kreve kostnadsdekning, dersom det ikke positivt er fastsatt i forskrift. Dette er i samsvar med gjeldende regelverk. Det er i denne forskriften ikke gitt bestemmelser om kostnadsdekning av utgifter ved å praktisere innsynsretten.

Til § 5-2 Informasjon og innsyn når den registrerte er mindreårig

Det går fram av bestemmelsen at foreldre eller andre med foreldreansvar har rett til innsyn etter regler tilsvarende dem i pasientrettighetsloven § 3-4. Det følger av dette at så lenge den registrerte er under 16 år, har både den registrerte og foreldrene eller andre med foreldreansvar innsynsrett. Er den registrerte mellom 12 og 16 år, skal opplysninger ikke gis til foreldrene eller andre med foreldreansvar, når den registrerte av grunner som bør respekteres, ikke ønsker det. Det bør legges til grunn at barn mellom 12 og 16 år ikke har noe imot at foreldrene eller andre med foreldreansvar gis innsynsrett i opplysninger om barnet. Barn mellom 12 og 16 år bør imidlertid informeres om at foreldrene eller andre med foreldreansvar gis innsyn.

Innsyn skal skje uten vederlag, se ovenfor under merknad til § 5-1.

Til § 5-3 Frist for å svare på henvendelser om innsyn

Bestemmelsen setter en frist på 30 dager for å svare på henvendelser om innsyn.

Til § 6-1 Bevaring av helseopplysninger

Det går fram av bestemmelsen at opplysninger i SYSVAK skal bevares i ubegrenset tid, med mindre annet følger av helseregisterloven § 26 eller § 28.

Helseregisterloven § 26 regulerer retting av mangelfulle opplysninger. Bestemmelsen pålegger den databehandlingsansvarlige et ansvar for å rette opplysninger som er uriktige eller ufullstendige. Det samme gjelder dersom det er behandlet helseopplysninger etter forskriften som det ikke er adgang til å behandle. Den databehandlingsansvarlige kan foreta opprettingen av eget tiltak eller etter begjæring fra den registrerte. Den databehandlingsansvarlige skal om mulig sørge for at feilen ikke får betydning for den registrerte. Dersom helseopplysningene er utlevert, skal den databehandlingsansvarlige varsle mottakere av utleverte opplysninger om dette.

Helseregisterloven § 28 gir regler om sletting eller sperring av helseopplysninger som føles belastende for den registrerte. Bestemmelsen fastslår at den registrerte kan kreve at helseopplysninger som behandles etter denne forskriften, skal slettes eller sperres, dersom behandling av opplysningene føles sterkt belastende for den registrerte og det ikke finnes sterke allmenne hensyn som tilsier at opplysningene behandles. Krav om sletting eller sperring av slike opplysninger rettes til den databehandlingsansvarlige for opplysningene. Datatilsynet kan, etter at Riksarkivaren er hørt, treffe vedtak om at retten til sletting etter første ledd går foran reglene i arkivloven av 4. desember 1992 nr. 126 § 9 og § 18. Hvis dokumentet som inneholdt de slettede opplysningene, gir et åpenbart misvisende bilde etter slettingen, skal hele dokumentet slettes.

For øvrig vil arkivloven og forskrifter i medhold av arkivloven komme til anvendelse for SYSVAK.

Til § 7-1 Straff

Bestemmelsen er en straffebestemmelse og gir adgang til å idømme straff ved overtredelse av bestemmelsene i § 2-1, § 2-3 og § 4-2 til § 4-4.

Helseregisterloven gir også andre sanksjonsmuligheter ved overtredelse av loven eller forskrift i medhold av loven. Det er adgang til å gi pålegg og å ilegge tvangsmulkt. Videre kan den registrerte i visse tilfeller kreve erstatning, dersom det er behandlet helseopplysninger i strid med forskriften. Disse bestemmelsene er allmenne og generelle, og gjelder uavhengig av om de er inntatt i forskriften eller ikke. Det vises til helseregisterloven § 32, § 33 og § 35. 

Til § 8-1 Ikraftsetting

Bestemmelsen fastslår at denne forskriften trer i kraft 1. juli 2003. 

0Merknadene endret ved forskrift 17 jan 2013 nr. 61. Merknadene endret ut kunngjøring i Norsk Lovtidend 10. mai 2013.