Forskrift om innsamling og behandling av helseopplysninger i Reseptbasert legemiddelregister (Reseptregisteret).

DatoFOR-2003-10-17-1246
DepartementHelse- og omsorgsdepartementet
PublisertI 2003 hefte 14 (Merknader)
Ikrafttredelse20.10.2003
Sist endretFOR-2015-12-18-1588 fra 01.01.2016
Endrer
Gjelder forNorge
HjemmelLOV-2000-06-02-39-§5-5, LOV-2001-05-18-24-§3, LOV-2001-05-18-24-§6, LOV-2001-05-18-24-§8, LOV-2001-05-18-24-§9, LOV-2001-05-18-24-§10, LOV-2001-05-18-24-§16, LOV-2001-05-18-24-§17, LOV-2001-05-18-24-§22 jf LOV-2014-06-20-42-§33 jf LOV-2014-06-20-43-§33
Kunngjort21.10.2003
KorttittelForskrift om Reseptregisteret

Kapitteloversikt:

Hjemmel: Fastsatt ved kgl.res. 17. oktober 2003 med hjemmel i lov av 2. juni 2000 nr. 39 om apotek (apotekloven) § 5-5 og lov av 18. mai 2001 nr. 24 om helseregistre og behandling av opplysninger § 3 tredje ledd, § 6, § 8 annet, fjerde og femte ledd, § 9 annet ledd, § 10, § 16 fjerde ledd, § 17 tredje ledd og § 22 siste ledd. Fremmet av Helsedepartementet (nå Helse- og omsorgsdepartementet).
Endringer: Endret ved forskrifter 2 sep 2005 nr. 1010, 16 juni 2006 nr. 647, 28 juni 2007 nr. 817, 16 des 2011 nr. 1250, 12 juni 2015 nr. 646, 18 des 2015 nr. 1588.

Kapittel 1. Generelle bestemmelser

§ 1-1.Etablering av Reseptregisteret

Denne forskriften etablerer et landsomfattende pseudonymt register for reseptbasert legemiddelstatistikk (Reseptregisteret). Forskriften gir bestemmelser for innsamling, lagring, behandling og utlevering av opplysninger i registeret.

Innsamling, lagring og behandling av opplysninger i Reseptregisteret skjer elektronisk.

§ 1-2.Definisjoner

I forskriften forstås med:

1.pseudonyme helseopplysninger: helseopplysninger der identitet er kryptert eller skjult på annet vis, men likevel individualisert slik at det lar seg gjøre å følge hver person uten at identiteten røpes;
2.kryptering: omforming av opplysninger slik at de ikke kan leses eller rekonstrueres av uvedkommende;
3.dekryptering: rekonstruksjon av krypterte opplysninger;
4.Reseptregisteret: datasystem hvor det oppbevares pseudonymiserte og kvalitetskontrollerte opplysninger fra alle resepter og rekvisisjoner som er ekspedert på norske apotek;
5.tiltrodd pseudonymforvalter (TPF): en uavhengig instans som tildeler og forvalter pseudonymer på oppdrag fra den databehandlingsansvarlige.
§ 1-3.Reseptregisterets formål

Formålet med Reseptregisteret er å samle inn og behandle data om legemiddelbruk hos mennesker og dyr for å:

1.kartlegge forbruket i landet og belyse endringer over tid,
2.fremme og gi grunnlag for forskning og utredning for å kunne belyse positive og negative effekter av legemiddelbruk,
3.gi myndighetene et statistisk grunnlag for kvalitetssikring av legemiddelbruk og overordnet tilsyn, styring og planlegging,
4.gi legemiddelrekvirenter et grunnlag for internkontroll og kvalitetsforbedring.
§ 1-4.Lovlig bruk av registeret

Opplysningene i Reseptregisteret kan bare anvendes til formål som er nevnt i § 1-3.

§ 1-5.Databehandlingsansvarlig

Folkehelseinstituttet er databehandlingsansvarlig for Reseptregisteret.

0Endret ved forskrift 18 des 2015 nr. 1588 (i kraft 1 jan 2016).
§ 1-6.Databehandler

Den databehandlingsansvarlige kan inngå avtale med en databehandler om behandling av data på vegne av den databehandlingsansvarlige.

Avtalen skal være skriftlig og kan ikke inneholde vilkår som er i strid med bestemmelsene i denne forskriften.

§ 1-7.Tiltrodd pseudonymforvalter (TPF)

Den databehandlingsansvarlige skal inngå skriftlig avtale med en tiltrodd pseudonymforvalter (TPF) om tildeling og forvaltning av pseudonymer. Statistisk sentralbyrå skal være TPF for Reseptregisteret.

§ 1-8.Opplysninger i Reseptregisteret

Reseptregisteret inneholder opplysninger fra alle resepter og rekvisisjoner som er ekspedert ved norske apotek, både til human og veterinær bruk. Registeret kan bare inneholde opplysninger som direkte eller indirekte fremkommer av reseptene og rekvisisjonene, med mindre annet følger av annet ledd. Opplysninger om pasient og rekvirent skal være pseudonymisert.

Reseptregisteret kan uten samtykke fra den registrerte inneholde følgende opplysninger i den utstrekning det er aktuelt og nødvendig for å oppnå formålet med registeret:

a)tildelt pseudonym for pasient og rekvirent,
b)pasientopplysninger:

pasientens kjønn, fødselsår og -måned, dødsår og -måned og bostedskommune,

c)rekvirentopplysninger:

rekvirentens kjønn, fødselsår, profesjon og spesialitet,

d)legemiddelopplysninger:

preparat og pakningsstørrelse (varenummer både for rekvirert preparat og utlevert preparat ved generisk bytte), antall pakninger, utleveringsgruppe, ATC eller ATC vet kode og definert døgndose (DDD), refusjonsordning, refundert beløp og refusjonskode iht. refusjonslisten, jf. forskrift 28. juni 2007 nr. 814 om stønad til dekning av utgifter til viktige legemidler mv. § 2 og forskrift 12. juni 2015 nr. 646 om helseforetaksfinansierte reseptlegemidler til bruk utenfor sykehus, pris (både for rekvirert preparat og utlevert preparat ved generisk bytte), dosering og diagnosekode eller refusjonskode,

e)dyreslag ved ekspedisjon til dyr,
f)apotekets konsesjonsnummer og kommune,
g)leveranser til institusjon, helseenhetsregisternummer (HER) og kommune hvis mulig,
h)leveranser til skip,
i)utleveringsdato.
0Endret ved forskrifter 2 sep 2005 nr. 1010 (i kraft 24 april 2006), 16 juni 2006 nr. 647 (i kraft 1 juli 2006), 28 juni 2007 nr. 817 (i kraft 1 mars 2008), 12 juni 2015 nr. 646 (i kraft 1 juli 2015).
§ 1-9.Koding og klassifisering av opplysningene i Reseptregisteret, krav til dokumentasjon

Den databehandlingsansvarlige skal ved enhver registrering i registeret kunne dokumentere hvilke kodeverk og klassifikasjoner som er benyttet.

Kapittel 2. Innsending av opplysninger fra apotek

§ 2-1.Apotekets plikt til å sende inn opplysninger, informasjonsplikt

Apotek plikter, uten hinder av taushetsplikten, å sende Reseptregisteret de opplysningene om hver enkelt ekspedert resept og rekvisisjon som gjør det mulig å registrere de opplysningene som er nevnt i § 1-8 annet ledd. Den databehandlingsansvarlige gir nærmere bestemmelser om plikten til å sende inn slike opplysninger.

Apoteket skal informere den registrerte om innsending av opplysninger til Reseptregisteret.

§ 2-2.Tidspunkt for innsending mv.

Innsending av opplysninger skal følge de rutiner og tidsfrister som til enhver tid er fastsatt av databehandlingsansvarlig for Reseptregisteret.

§ 2-3.Overføringsformat, kvalitetskontroll og innsending

Overføring av opplysninger fra apotek til Reseptregisteret skal skje i et format som bestemmes av databehandlingsansvarlig.

Før oversending fra apotek skal det foretas en teknisk kvalitetskontroll av at opplysningene er i henhold til forskriftens bestemmelser.

Fødselsnummer og helsepersonellnummer gjøres bare tilgjengelig for TPF. De øvrige opplysningene gjøres bare tilgjengelige for databehandler. Den databehandlingsansvarlige gir nærmere bestemmelser om overføringen av data.

§ 2-4.Ansvar for sikring av at opplysningene er korrekte

Den databehandlingsansvarlige skal sørge for at de opplysningene som blir samlet inn og behandlet i Reseptregisteret, er relevante og nødvendige for bruk til formål som nevnt i § 1-3.

Databehandler skal sørge for at de opplysningene som blir samlet inn og behandlet i Reseptregisteret, er korrekte og fullstendige.

Dersom de innsendte opplysningene er ufullstendige eller på annen måte mangelfulle, skal apoteket varsles, feil skal rettes og opplysningene eventuelt sendes på nytt fra apoteket. Dersom det ikke er mulig for databehandler å få korrekte data, skal den databehandlingsansvarlige varsles.

Kapittel 3. Pseudonymisering og databehandling hos TPF

§ 3-1.Pseudonymene

TPF skal opprette ett pseudonym for hver person det registreres opplysninger om i Reseptregisteret.

Flere personer skal ikke tildeles samme pseudonym. Pseudonymet skal ikke brukes i eller på annen måte spres til andre registre eller andre områder.

Det er ikke tillatt å gjenskape et fødselsnummer eller et helsepersonellnummer på grunnlag av et pseudonym.

§ 3-2.Behandling og videresending fra TPF

TPF utsteder pseudonymer for fødselsnummeret og helsepersonellnummeret. TPF kan ikke ha tilgang til andre opplysninger fra resept eller rekvisisjon.

Utstedelsen av pseudonymer skal skje i en prosess som bare involverer TPF. For å starte denne prosessen må to særskilt autoriserte personer godkjenne en elektronisk kjøreordre.

TPF sender pseudonymene for fødselsnummeret og helsepersonellnummeret til databehandler.

Kapittel 4. Taushetsplikt, informasjonssikkerhet og internkontroll

§ 4-1.Forbud mot samtidig tilgang

Ingen, verken TPF, databehandler eller databehandlingsansvarlig, skal kunne få samtidig tilgang til pseudonym, reseptopplysninger og fødselsnummer eller helsepersonellnummer.

§ 4-2.Tilgang til Reseptregisteret

Bare den databehandlingsansvarlige, databehandlere og den som arbeider under den databehandlingsansvarliges eller databehandlers instruksjonsmyndighet, kan gis tilgang til Reseptregisteret. Tilgang kan bare gis i den grad dette er nødvendig for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt.

§ 4-3.Behandling av opplysninger

Den databehandlingsansvarlige og databehandler skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, kvalitet og tilgjengelighet ved behandling av opplysninger omhandlet i forskriften, se helseregisterloven § 16.

§ 4-4.Taushetsplikt

Enhver som behandler opplysninger etter denne forskriften, har taushetsplikt etter helseregisterloven § 15.

§ 4-5.Plikt til å sørge for internkontroll

Den databehandlingsansvarlige skal etablere internkontroll i samsvar med helseregisterloven § 17. De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang det er nødvendig for å etterleve krav gitt i eller i medhold av helseregisterloven, med særlig vekt på bestemmelser gitt i medhold av helseregisterloven § 16.

§ 4-6.Innholdet i internkontrollen

Internkontrollen innebærer at den databehandlingsansvarlige skal ha kunnskap om gjeldende regler om behandling av helseopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av rutiner, og har denne dokumentasjonen tilgjengelig for dem den måtte angå.

Dokumentasjonen av internkontrollen skal minst inneholde

1.oversikt over hvordan virksomheten er organisert,
2.oversikt over ansvars- og myndighetsforhold,
3.oversikt over de krav i og i medhold av helseregisterloven som gjelder for virksomheten,
4.rutiner virksomheten følger for å sikre at kravene blir overholdt,
5.rutiner virksomheten følger dersom avvik oppstår, og opplysninger om hvem som er ansvarlig for at rutinene blir overholdt,
6.rutiner virksomheten følger for å hindre gjentakelse av avvik og opplysninger om hvem som er ansvarlig,
7.rutiner for hvordan virksomheten systematisk og regelmessig gjennomgår sin internkontroll for å kontrollere at aktivitetene og resultatene av dem stemmer overens med det systemet virksomheten har fastlagt, og om det medfører oppfyllelse av helseregisterlovgivningen,
8.rutiner for hvordan virksomheten sikrer at de ansatte har tilstrekkelig kompetanse til å overholde forskriftens krav.

Skriftlig dokumentasjon skal minst omfatte dokumentasjon av rutiner som nevnt i annet ledd nr. 1 til 8. Tilsynsmyndighetene kan gi pålegg om skriftlig dokumentasjon ut over dette, dersom det anses påkrevet. Tilsynsmyndighetene kan dispensere fra hele eller deler av dette kapitlet når særlige forhold foreligger.

Kapittel 5. Sammenstilling og utlevering av opplysninger

§ 5-1.Utlevering av statistikk fra Reseptregisteret

Departementet bestemmer hvilke faste, offentlige statistikker som den databehandlingsansvarlige skal utarbeide. Statistikkene kan baseres på opplysninger hentet fra Reseptregisteret eller opplysninger som er fremkommet ved sammenstilling med andre registre mv., jf. § 5-3.

Den databehandlingsansvarlige kan på forespørsel utlevere andre statistiske opplysninger fra Reseptregisteret.

Statistiske opplysninger som offentliggjøres eller utleveres etter denne bestemmelsen, må ikke ha en slik form at enkeltpersoner eller apotek kan gjenkjennes. Dette er ikke til hinder for at den enkelte lege kan hente ut statistiske opplysninger som gjelder egen virksomhet.

§ 5-2.Utlevering av opplysninger fra Reseptregisteret

Den databehandlingsansvarlige skal etter begrunnet søknad utlevere opplysninger fra Reseptregisteret til de formål som er angitt i § 1-3. Den databehandlingsansvarlige kan sette vilkår for slik utlevering. Utlevering av opplysninger skal bare finne sted dersom den som mottar opplysningene, har adgang til å behandle dem etter personopplysningsloven, jf. helseregisterloven § 14. Kopi av nødvendig tillatelse kan kreves fremlagt.

Opplysningene kan hentes fra Reseptregisteret eller fra sammenstilling med andre registre mv., jf. § 5-3.

Opplysningene skal ikke utleveres dersom det er en begrunnet risiko for at opplysningene vil benyttes på en etisk uforsvarlig måte.

Databehandlingsansvarlig skal svare på forespørsler om utlevering av opplysninger for bruk i uttrykkelig angitte forskningsprosjekter innen 30 dager fra den dagen forespørselen kom inn. Dersom særlige forhold gjør det umulig å svare på forespørselen innen den angitte fristen, kan svaret utsettes inntil det er mulig å gi svar. Databehandlingsansvarlig skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis.

Det skal ikke utleveres flere opplysninger enn nødvendig for å ivareta søkerens berettigede formål med behandlingen av opplysningene.

Alle opplysninger som utleveres etter søknad som nevnt i første ledd, skal slettes straks prosjektet er avsluttet.

Mottakeren må ikke offentliggjøre resultatet av behandlingen av opplysningene i slik form at enkeltpersoner eller apotek kan gjenkjennes. Dette er ikke til hinder for at legemiddelrekvirenter kan gjøre opplysninger som ikke er taushetsbelagte og som gjelder egen virksomhet tilgjengelig for andre.

§ 5-3.Adgangen til å sammenstille opplysninger i Reseptregisteret med andre helseopplysninger

Opplysninger i Reseptregisteret kan til bruk ved formål som nevnt i § 1-3 sammenstilles (kobles) med opplysninger i Dødsårsaksregisteret, Medisinsk fødselsregister, Kreftregisteret, Meldingssystemet for smittsomme sykdommer, Det sentrale tuberkuloseregisteret, System for vaksinasjonskontroll og Hjerte- og karregisteret. Koblingen må gjøres av den databehandlingsansvarlige for ett av registrene eller en virksomhet departementet bestemmer. Sammenstillingen må utføres slik at enkeltpersoner ikke kan gjenkjennes ved hjelp av de sammenstilte opplysningene.

En sammenstilling av opplysninger som ikke oppfyller vilkårene i første ledd, kan bare finne sted i den grad dette er tillatt etter personopplysningsloven § 9 og § 33, jf. helseregisterloven § 12.

0Endret ved forskrift 16 des 2011 nr. 1250 (i kraft 1 jan 2012).
§ 5-4.Hvordan sammenstille opplysninger

Når opplysningene skal sammenstilles, skal TPF tildele løpenummer for hvert enkelt prosjekt.

De opplysningene som er trukket ut fra de ulike registrene for å sammenstilles, må slettes straks sammenstillingen er avsluttet og statistiske data er stilt til rådighet for brukeren.

§ 5-5.Kostnader

Departementet kan fastsette takster for behandling og tilrettelegging av opplysninger eller statistikk etter denne forskrift.

§ 5-6.Oversikt over utleveringene

Den databehandlingsansvarlige skal føre oversikt over hvem som får utlevert opplysninger fra Reseptregisteret og hjemmelsgrunnlaget for utleveringene. Oversikten skal oppbevares i minst fem år etter at utlevering har funnet sted.

Kapittel 6. Bevaring av opplysninger i registeret og straffebestemmelse

§ 6-1.Bevaring av opplysningene

Opplysninger i Reseptregisteret skal bevares i ubegrenset tid, med mindre annet følger av denne forskriften eller helseregisterloven § 26 og § 28. Tildelt pseudonym kan endres, dersom det av sikkerhetsmessige grunner er hensiktsmessig.

§ 6-2.Straff

Den som forsettlig eller grovt uaktsomt overtrer bestemmelser fastsatt i denne forskriften § 1-4, § 2-1, § 3-1, § 3-2, § 4-1, § 4-2, § 4-3, § 4-4, § 4-5, § 4-6, § 5-1, § 5-2, § 5-3 eller § 5-4, straffes med bøter eller fengsel inntil ett år eller begge deler.

Medvirkning straffes på samme måte.

Kapittel 7. Avsluttende bestemmelser

§ 7-1.Ikrafttreden

Forskriften gjelder fra 20. oktober 2003.

Merknader til de enkelte forskriftsbestemmelsene

Til § 1-1 Etablering av Reseptregisteret

Første ledd gir rettsgrunnlag for etablering av et landsomfattende Reseptregister.

Et ledende hensyn bak utformingen av forskriften har vært å sørge for en betryggende behandling av helseopplysninger i alle deler av de prosessene som leder frem til bruk av opplysningene. Til forskjell fra de registre som hittil er regulert i forskrift etter helseregisterloven § 8, er Reseptregisteret «pseudonymt», hvilket innebærer at identiteten til personer hvis helseopplysninger lagres i Reseptregisteret, er kryptert eller skjult på annet vis, men likevel individualisert slik at det lar seg gjøre å følge hver person gjennom helsesystemet uten at identiteten røpes (jf. helseregisterloven § 2 nr. 4). Slik pseudonymisering er etter helseregisterloven § 8 annet ledd et vilkår for at helseopplysningene kan behandles i Reseptregisteret uten samtykke fra vedkommende person. Sammen med bestemmelser om bl.a. informasjonssikkerhet og taushetsplikt, bidrar pseudonymiseringsordningen til å ivareta hensynet til konfidensialitet.

Til § 1-3 Reseptregisterets formål

Denne bestemmelsen angir de ytre rammer for hvilke formål Reseptregisteret kan benyttes, jf. § 1-4 som forbyr anvendelse av registrerte opplysninger til andre formål en de som nevnes i § 1-3. Med begrepet «utredning» i § 1-3 nr. 2 menes blant annet utredning av regulatoriske tiltak knyttet til legemiddelområdet og legemiddeløkonomisk analyse som ledd i ulike forvaltningsvedtak. Registeret skal ifølge alternativ nr. 3 gi grunnlag for «overordnet tilsyn». Typisk vil dette hjemle oppfølging av nasjonale eller regionale tendenser. Grensen må trekkes mot individrettet tilsyn, noe som innebærer at registerets formål ikke åpner for at det gis ut opplysninger til bruk i tilsynssak mot legemiddelrekvirent eller apotek. Registerets opplysninger skal heller ikke kunne tjene som grunnlag for tiltak overfor enkeltpasienter.

Til § 1-4 Lovlig bruk av registeret

Bestemmelsen setter en klar grense for hva registerets opplysninger kan benyttes til, og innebærer i realiteten et forbud mot annen bruk av registeret enn det som fremkommer av § 1-3. Begrunnelsen for å begrense registerets bruksområde er hensynet til personvernet og den alminnelige tillit til at unødig og ukontrollert bruk ikke skal finne sted.

Til § 1-5 Databehandlingsansvarlig

Forskriften utpeker Nasjonalt folkehelseinstitutt som ansvarlig for innsamling og behandling av helseopplysninger i Reseptregisteret, på samme måte som når det gjelder de fleste andre store sentrale epidemiologiske registre som er regulert i forskrift etter helseregisterloven § 8. Helsedepartementet har overordnet ansvar for all rekvirering og utlevering av legemidler, også av legemidler til dyr.

Til § 1-8 Opplysninger i Reseptregisteret

Utgangspunktet er at registeret skal være basert på de opplysningene som ordinært fremgår direkte av resepten. Imidlertid åpner forskriften også for å registrere opplysninger som kan utledes av resepten. De aktuelle opplysningene anses relevante for de formål Reseptregisteret skal tjene, jf. forskriften § 1-3 og merknadene ovenfor.

Merk at dyreeier ikke skal innrapporteres eller oppføres i registeret. Opplysningene om legemidler til dyr vil være begrenset til informasjon om fordeling på dyreslag og geografisk område.

Til § 1-9 Koding og klassifisering av opplysningene i Reseptregisteret, krav til dokumentasjon

Kravene i § 1-9 skal legge til rette for at opplysningene blir behandlet på en systematisk og effektiv måte. Kravet til dokumentasjon skal bidra til at den databehandlingsansvarlige kan gi brukere av registeropplysninger korrekt informasjon om kilder og eventuelle versjoner for tilleggsopplysninger.

Til § 2-1 Apotekets plikt til å sende inn opplysninger, informasjonsplikt

Apoteket skal informere den registrerte om innsending av opplysninger til Reseptregisteret. Den databehandlingsansvarlige for Reseptregisteret utarbeider egnet skriftlig informasjonsmateriell som apotekene kan disponere til dette formål.

Til § 2-4 Ansvar for sikring av at opplysningene er korrekte

Det er databehandler som skal kvalitetssikre dataene gjennom rutinemessige kontroller av alle data som kommer inn. Apotekene er pliktige til å gi opplysninger eller sende nye data når de blir gjort oppmerksomme på feil og mangler.

Til § 3-1 Pseudonymene

Bestemmelsen gir grunnleggende prinsipper for tildelingen av pseudonymer. Det presiseres blant annet at pseudonymene ikke skal spres. Dette innebærer at det må brukes egne løpenummer for hver gang ved utlevering av opplysninger og ved sammenstillinger med data fra andre kilder. Ved sammenstilling må fødselsnummer eller helsepersonellnummer fra andre kilder først pseudonymiseres av Reseptregisterets TPF.

Til § 4-1 Forbud mot samtidig tilgang

Forbudet er et meget vesentlig element i sikring av Reseptregisterets konfidensialitet. Forbudet skal sikre at ingen, på grunnlag av opplysningene som er registrert, kan identifisere de personer som dataene refererer seg til.

Til § 4-3 Behandling av opplysninger

Bestemmelsen pålegger den databehandlingsansvarlige og evt. databehandler å sørge for tilfredsstillende informasjonssikkerhet ved behandling av helseopplysninger. Dette omfatter blant annet et ansvar for at tilstrekkelig sikkerhetsfaglig kompetanse er tilgjengelig. I tillegg til ansvar for sikkerheten i egen organisasjon, må den databehandlingsansvarlige også forsikre seg om at informasjonssikkerheten er tilfredsstillende hos kommunikasjonspartnere og leverandører. Begrepet informasjonssikkerhet omfatter blant annet:

sikring av konfidensialitet, dvs. beskyttelse mot at uvedkommende får innsyn i opplysningene, herunder sikkerhet for at reglene om taushetsplikt overholdes,

sikring av integritet, dvs. beskyttelse mot utilsiktet endring av opplysningene,

sikring av tilgjengelighet, dvs. sørge for at tilstrekkelige og relevante opplysninger er til stede,

sikring av kvalitet, dvs. sørge for at opplysningene er riktige.

Tilfredsstillende informasjonssikkerhet skal oppnås ved hjelp av planlagte og systematiske tiltak. Dette innebærer at anerkjente teknikker og standarder for kvalitetsstyring, internkontroll og informasjonssikkerhet skal legges til grunn ved sikkerhetsarbeidet. De tiltak som etableres, skal være både organisatoriske og tekniske. Sikkerhetstiltakene og selve informasjonssystemet skal kunne dokumenteres. Personopplysningsforskriften § 2-1 til § 2-16 gjelder også for Reseptregisteret.

Til § 4-4 Taushetsplikt

Enhver tjenestemann eller oppdragstaker som får innblikk i Reseptregisterets opplysninger, har taushetsplikt om dette både etter forvaltningsloven og helsepersonelloven. Den databehandlingsansvarlige er ifølge forvaltningsloven § 13c forpliktet til å sørge for at enhver som taushetsplikten gjelder for, skal gjøres uttrykkelig kjent med reglene om dette, og kan avkreve vedkommende en skriftlig erklæring om at de kjenner og vil respektere reglene.

Til § 5-1 Utlevering av statistikk fra Reseptregisteret

Den databehandlingsansvarlige skal etter departementets bestemmelser regelmessig utarbeide offentlig tilgjengelige statistikker. For forskningsaktiviteter som ikke får alle nødvendige data fra de offentlige statistikker, vil det etter annet ledd kunne søkes om mer spesifikt statistisk materiale.

Til § 5-2 Utlevering av opplysninger fra Reseptregisteret

Bestemmelsen angir generelle vilkår for å få utlevert lagrede opplysninger, herunder opplysninger som fremkommer ved sammenstilling med andre registre. Vilkårene innebærer at den databehandlingansvarlige må foreta en vurdering av den konkrete bruk som skal gjøres av de data som søkes utlevert. Dette forutsetter at søkeren gir en beskrivelse av forskningsprosjektet etc. som gjør den databehandlingsansvarlige i stand til å bedømme om søknaden gjelder et formål som ligger innenfor hva Reseptregisteret skal kunne brukes til. Den databehandlingsansvarlige skal kunne sette vilkår for utlevering. De vilkår som settes må i samsvar med god forvaltningspraksis være saklig begrunnet i de hensyn som etter forskriften og overordnet lovgivning skal ivaretas. Aktuelle vilkår kan for eksempel gjelde en bestemt bruk av opplysninger, oppbevaring, rapportering og tidsfrist for sletting. Det kan kreves fremlagt tillatelse fra Datatilsynet i de tilfellene databehandlingsansvarlig mener at lov om personopplysninger oppstiller krav om dette. Som mer spesielle eksempler på aktuell bruk av opplysninger, nevnes at forskrivere har anledning til å hente ut opplysninger om egen virksomhet. Det fastslås at den databehandlingsansvarlige også har et ansvar for å sikre at bruk av opplysningene er etisk ubetenkelig. Imidlertid kan avslag bare gis etter denne hjemmelen dersom det foreligger en begrunnet risiko for at utlevering av opplysningene vil føre til bruk i strid med en alminnelig forståelse av hva som er etisk forsvarlig. Det kan gis retningslinjer for utøvelsen av det etiske skjønnet som er forutsatt i § 5-2 tredje ledd. Utlevering av informasjon skal som hovedregel skje innen 30 dager etter at en forespørsel har kommet inn. Fristbestemmelsen forutsetter at det dreier seg om opplysninger som vil kunne produseres rutinemessig innenfor eksisterende systemer. Oversittelse av fristen vil ikke i seg selv medføre særskilte rettsvirkninger.

Til § 5-3 Adgangen til å sammenstille opplysninger i Reseptregisteret med andre helseopplysninger

Første ledd fastsetter vilkårene for at Reseptregisterets opplysninger skal kunne sammenstilles til bruk i forskning mv. med opplysninger fra andre sentrale helseregistre. For sammenstilling med andre helseopplysninger, må den som søker opplysningene utlevert dokumentere at prosjektet har konsesjon fra Datatilsynet hvor slik konsesjonsplikt følger av loven, jf. helseregisterloven § 5. Vilkårene for utlevering av opplysninger i § 5-1 og § 5-2 gjelder for de opplysningene som fremkommer ved sammenstillingen. § 5-3 er således ikke i seg selv tilstrekkelig hjemmel for utlevering av opplysninger, men er utelukkende en fremgangsmåte for å finne frem til opplysninger.

Til § 6-1 Bevaring av opplysningene

Hvis de tildelte pseudonymene må endres av sikkerhetsmessige grunner, må det genereres nye pseudonymer på grunnlag av de gamle. Fødsels- og HPR-numrene kan ikke gjenskapes, for så å generere nye pseudonymer.

Til § 6-2 Straff

Paragrafen må sammenholdes med helseregisterloven § 34 som gir hjemmel for straff av visse overtredelser av lovens egne bestemmelser. Videre bør paragrafen sammenholdes med aktuelle straffebestemmelser i andre lover, f.eks. straffeloven § 121 om brudd på taushetsplikt.