Forskrift om Norsk overvåkingssystem for antibiotikabruk og helsetjenesteassosierte infeksjoner (NOIS-registerforskriften)

DatoFOR-2005-06-17-611
DepartementHelse- og omsorgsdepartementet
PublisertI 2005 hefte 9 (Merknader)
Ikrafttredelse01.07.2005
Sist endretFOR-2015-12-18-1588 fra 01.01.2016
Endrer
Gjelder forNorge
HjemmelLOV-2001-05-18-24-§8, LOV-2001-05-18-24-§9, LOV-2001-05-18-24-§16, LOV-2001-05-18-24-§17, LOV-2001-05-18-24-§34 jf LOV-2014-06-20-42-§33 jf LOV-2014-06-20-43-§33, LOV-1999-07-02-64-§37, LOV-1994-08-05-55-§2-3, LOV-1994-08-05-55-§3-7, LOV-1994-08-05-55-§4-7
Kunngjort21.06.2005
Rettet10.05.2013 (Merknader)
KorttittelNOIS-registerforskriften

Kapitteloversikt:

Hjemmel: Fastsatt ved kgl.res. 17. juni 2005 med hjemmel i lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger (helseregisterloven) § 8 fjerde ledd, jf. annet ledd, § 9 annet ledd, § 16 fjerde ledd, § 17 tredje ledd og § 34 fjerde ledd, lov 2. juli 1999 nr. 64 om helsepersonell m.v. (helsepersonelloven) § 37 og lov 5. august 1994 nr. 55 om vern mot smittsomme sykdommer § 2-3 fjerde ledd, § 3-7 femte ledd og § 4-7. Fremmet av Helse- og omsorgsdepartementet.
EØS-henvisninger: EØS-avtalen protokoll 31 art. 16 (Beslutning 2119/98/EF).
Endringer: Endret ved forskrifter 27 april 2011 nr. 497, 17 jan 2013 nr. 61, 18 des 2015 nr. 1588.

Kapittel 1. Generelle bestemmelser

§ 1-1.Etablering av Norsk overvåkingssystem for antibiotikabruk og helsetjenesteassosierte infeksjoner i sykehjem og spesialisthelsetjenesten

Denne forskriften etablerer et landsomfattende Norsk overvåkingssystem for antibiotikabruk og helsetjenesteassosierte infeksjoner i sykehus, dagkirurgiske klinikker og sykehjem. Forskriften gir regler for innsamling og behandling av helseopplysninger i overvåkingssystemet.

Innsamling og behandling av helseopplysninger i registeret skjer etter nærmere bestemmelser fra Helsedirektoratet.

0Endret ved forskrift 27 april 2011 nr. 497 (i kraft 1 juli 2012).
§ 1-2.Registerets formål

Registeret skal bidra til overvåking av antibiotikabruk og helsetjenesteassosierte infeksjoner hos pasienter i sykehus, dagkirurgiske klinikker og sykehjem gjennom systematisk fortløpende eller periodisk innsamling av data. Rapportering, tolkning og analyse av data fra disse virksomhetene jf. § 1-3 annet ledd, skal legge grunnlaget for å

1.overvåke antibiotikabruk og forekomsten av helsetjenesteassosierte infeksjoner i virksomhetene over tid,
2.oppdage og bidra til oppklaring av utbrudd av helsetjenesteassosierte infeksjoner,
3.evaluere tiltak for rasjonell antibiotikabruk og virkninger av smitteverntiltak i virksomhetene,
4.gi råd til helsepersonell, virksomheter og forvaltning om antibiotikabruk og smitteverntiltak,
5.gi grunnlag for forskning om antibiotikabruk og forskning om helsetjenesteassosierte infeksjoner i sykehus, dagkirurgiske klinikker og sykehjem,
6.bidra med data til europeisk overvåking av antibiotikabruk og helsetjenesteassosierte infeksjoner.

Opplysninger i registeret kan foruten de formål som nevnt ovenfor, behandles til styring, planlegging og kvalitetssikring av helse- og omsorgstjenesten og helse- og omsorgsforvaltningen, samt til utarbeiding av statistikk og til forskning.

0Endret ved forskrifter 27 april 2011 nr. 497 (i kraft 1 juli 2012), 17 jan 2013 nr. 61.
§ 1-3.Innholdet i registeret

Registeret kan inneholde avidentifiserte helseopplysninger om hvorvidt personer som følges opp under og etter et opphold i sykehus, dagkirurgiske klinikker og sykehjem

1.har mottatt antibiotika for forebygging eller behandling
2.har blitt påført en helsetjenesteassosiert infeksjon.

Helsedirektoratet gir nærmere bestemmelser om antibiotikabruk som skal rapporteres, hvilke infeksjoner som skal rapporteres, hvilke sykehus, dagkirurgiske klinikker, sykehjem og pasientgrupper, jf. første ledd som skal inkluderes i registeret og hvilke som skal delta i prevalens- eller insidensundersøkelser.

0Endret ved forskrift 27 april 2011 nr. 497 (i kraft 1 juli 2012).
§ 1-4.Forbud mot bruk

Opplysningene i registeret kan ikke anvendes til formål som er uforenelig med formål som nevnt i § 1-2.

0Endret ved forskrift 27 april 2011 nr. 497 (i kraft 1 juli 2012).
§ 1-5.Databehandlingsansvarlig

Folkehelseinstituttet er databehandlingsansvarlig for registeret.

0Endret ved forskrift 18 des 2015 nr. 1588 (i kraft 1 jan 2016).
§ 1-6.Databehandler

Folkehelseinstituttet kan inngå skriftlig avtale med en databehandler om innsamling og behandling av helseopplysninger i registeret, herunder om overvåking og forskning, jf. § 1-2, drift og kvalitetssikring av registeret, samt utlevering av data til brukere.

0Endret ved forskrifter 27 april 2011 nr. 497 (i kraft 1 juli 2012), 18 des 2015 nr. 1588 (i kraft 1 jan 2016).
§ 1-7.Opplysninger i registeret

Registeret kan inneholde følgende opplysninger om personer som tilhører de pasientgrupper som er bestemt inkludert i registeret, jf. § 1-3 annet ledd.

1.avidentifiserte personopplysninger:
a.virksomhetens løpenummer for pasienten,
b.pasientens kjønn,
c.pasientens fødselsår.
2.administrative opplysninger:
a.innleggelsesdato, utskrivingsdato og oppfølgingsdatoer,
b.virksomhet der pasienten var innlagt og avdelingstype,
c.om operasjonen, som operasjonskode, -type, -dato, -klokkeslett og -varighet,
d.bruk av pasientnært utstyr; type og varighet.
3.medisinske opplysninger:
1.om forebyggende antibiotikabruk og antibiotikabruk som ikke relaterer seg til helsetjenesteassosierte infeksjoner, herunder indikasjon, virkestoff(er), dose, varighet og administrasjonsmåte.
2.
a.om antatt disponerende faktorer for helsetjenesteassosierte infeksjoner,
b.om type infeksjon og innsykningsdato,
c.om smittestoffet inkludert antibiotikaresistens,
d.om antibiotikabehandling, varighet og eventuelle følgetilstander,
e.status ved utskrivelse og i oppfølgingsperioden.
0Endret ved forskrift 27 april 2011 nr. 497 (i kraft 1 juli 2012).
§ 1-8.Koding og klassifisering av opplysningene i registeret, krav til dokumentasjon, kvalitetskontroll

Folkehelseinstituttet skal sørge for at helseopplysninger som behandles i registeret, er korrekte, relevante og nødvendige for de formål de innsamles for, jf. § 1-2. Folkehelseinstituttet skal ved enhver registrering i registeret kunne dokumentere hvilke klassifikasjoner eller kodeverk som er benyttet.

Departementet kan gi nærmere bestemmelser om hvilke nasjonale eller internasjonale kodeverk og klassifikasjoner som skal benyttes ved registrering av opplysninger i registeret.

Dersom meldingsskjema er mangelfullt utfylt, skal avsenderen av opplysningene varsles, jf. helseregisterloven § 9 annet ledd annet punktum.

0Endret ved forskrifter 27 april 2011 nr. 497 (i kraft 1 juli 2012), 18 des 2015 nr. 1588 (i kraft 1 jan 2016).

Kapittel 2. Melding av helseopplysninger til registeret mv.

§ 2-1.Virksomhetenes deltaking i overvåkingssystemet

Virksomheter som behandler pasienter i pasientgrupper, jf. forskriften § 1-3 annet ledd, skal delta i overvåkingssystemet for antibiotikabruk og helsetjenesteassosierte infeksjoner i sykehjem og spesialisthelsetjenesten dersom ikke databehandlingsansvarlig har fritatt dem for deltakelse.

0Endret ved forskrift 27 april 2011 nr. 497 (i kraft 1 juli 2012).
§ 2-2.Helsepersonellets meldingsplikt av opplysninger til registeret

Helsepersonell ved virksomheter som behandler pasienter i pasientgrupper, jf. forskriften § 1-3 annet ledd, skal melde opplysninger som nevnt i § 1-7 til registeret.

0Endret ved forskrift 27 april 2011 nr. 497 (i kraft 1 juli 2012).
§ 2-3.Meldingsskjema, formkrav

Melding av opplysninger som nevnt i § 2-2, skal skje som fastsatt av Helsedirektoratet etter nærmere bestemmelser om form, innhold og frister for melding til registeret.

Helsedirektoratet kan gi pålegg om bruk av standardiserte meldingsformater ved forsendelsen av opplysningene.

0Endret ved forskrift 27 april 2011 nr. 497 (i kraft 1 juli 2012).
§ 2-4.Virksomhetens plikter

Ledelsen ved virksomheter er ansvarlig for registrering av opplysninger som skal meldes til registeret, jf. § 1-7, og har ansvar for at pliktene som nevnt i § 2-1 til § 2-3, oppfylles, og skal sørge for at det finnes rutiner som sikrer dette.

Ledelsen ved virksomhetene skal påse at resultatene av overvåkingen sendes til Folkehelseinstituttet.

0Endret ved forskrift 18 des 2015 nr. 1588 (i kraft 1 jan 2016).
§ 2-5.Rapportering fra registeret

Folkehelseinstituttet skal sørge for regelmessig rapportering om forekomsten av antibiotikabruk og helsetjenesteassosierte infeksjoner til de aktuelle delene av helsetjenesten, jf. § 1-2, gjennom å offentliggjøre årlige oversikter om antibiotikabruk og om forekomst av helsetjenesteassosierte infeksjoner i virksomhetene i landet.

Folkehelseinstituttet skal ivareta rapportering om antibiotikabruk til Verdens helseorganisasjon og forekomst av helsetjenesteassosierte infeksjoner til EU-kommisjonen jf. vedtak 2119/98/EF. Slike opplysninger skal være avidentifiserte.

0Endret ved forskrifter 27 april 2011 nr. 497 (i kraft 1 juli 2012), 18 des 2015 nr. 1588 (i kraft 1 jan 2016).

Kapittel 3. Behandling av helseopplysninger i registeret

§ 3-1.Plikt til å utlevere ikke koblede data til forskning mv.

Folkehelseinstituttet skal etter forespørsel fra sykehus, øvrig forvaltning og forskere utlevere statistiske opplysninger fra registeret innen 30 dager fra den dagen forespørselen kom inn.

Folkehelseinstituttet skal etter søknad utlevere avidentifiserte opplysninger fra registeret dersom

1.opplysningene skal brukes til et uttrykkelig angitt formål innenfor registerets formål,
2.mottakeren bare skal behandle avidentifiserte opplysninger og
3.behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn.

Folkehelseinstituttet skal utlevere eller overføre nødvendige og relevante data til den ansvarlige for det angitte prosjektet innen 30 dager fra den dagen søknaden kom inn. Rettsgrunnlaget for behandlingen av opplysningene skal fremgå av søknaden.

Dersom særlige forhold gjør det umulig å effektuere forespørselen innen fristen i første og annet ledd, kan effektueringen utsettes inntil det er mulig å oppfylle den. Folkehelseinstituttet skal i så fall gi et foreløpig svar med opplysninger om forespørselen kan effektueres, om grunnen til en eventuell forsinkelse og sannsynlig tidspunkt for når bestillingen kan effektueres.

0Endret ved forskrift 18 des 2015 nr. 1588 (i kraft 1 jan 2016).
§ 3-2.Annen behandling av data fra registeret

Behandling av opplysninger som nevnt i § 1-7, kan med mindre annet følger av denne forskriften, bare behandles etter tillatelse fra Datatilsynet og i samsvar med de alminnelige regler om taushetsplikt.

§ 3-3.Informasjonsstrategi rettet mot brukergrupper

For å fremme bruk av data fra registeret og for å bygge opp informasjon og kunnskap, jf. forskriften § 1-3, skal Folkehelseinstituttet ha en aktiv informasjonsstrategi og -plan rettet mot så vel helse- og omsorgsforvaltningen, helse- og omsorgstjenesten og øvrig forvaltning, som mot forskere innen medisinsk forskning, helse- og omsorgstjenesteforskning og samfunnsforskning.

0Endret ved forskrifter 27 april 2011 nr. 497 (i kraft 1 juli 2012), 17 jan 2013 nr. 61, 18 des 2015 nr. 1588 (i kraft 1 jan 2016).
§ 3-4.Kostnader

Folkehelseinstituttet kan kreve betaling for behandling og tilrettelegging av opplysninger etter § 3-1 og § 3-2. Betalingen skal ikke overstige de faktiske utgiftene ved slik behandling og tilrettelegging av opplysningene. Folkehelseinstituttet kan ikke kreve betaling fra en virksomhet for behandling og tilrettelegging av opplysninger som virksomheten eller dens underliggende enheter selv har meldt til registeret.

0Endret ved forskrift 18 des 2015 nr. 1588 (i kraft 1 jan 2016).
§ 3-5.Oversikt over utleveringer

Folkehelseinstituttet skal føre oversikt over hvem som får utlevert opplysninger fra registeret og hjemmelsgrunnlaget for utleveringene. Oversikten skal oppbevares i minst fem år etter at utlevering har funnet sted.

0Endret ved forskrift 18 des 2015 nr. 1588 (i kraft 1 jan 2016).

Kapittel 4. Informasjonssikkerhet og internkontroll

§ 4-1.Informasjonssikkerhet

Folkehelseinstituttet og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, kvalitet og tilgjengelighet ved behandling av helseopplysninger etter forskriften, jf. helseregisterloven §§ 16 flg.

Der behandling av helseopplysningene skjer helt eller delvis med elektroniske hjelpemidler, gjelder bestemmelsene om informasjonssikkerhet i personopplysningsforskriften § 2-1 til § 2-16.

0Endret ved forskrift 18 des 2015 nr. 1588 (i kraft 1 jan 2016).
§ 4-2.Plikt til internkontroll

Folkehelseinstituttet skal etablere internkontroll i samsvar med helseregisterloven § 17. De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang som er nødvendig for å etterleve krav gitt i eller i medhold av helseregisterloven, med særlig vekt på bestemmelser gitt i medhold av helseregisterloven § 16.

Databehandleren som behandler helseopplysninger på vegne av Folkehelseinstituttet, skal behandle opplysninger i samsvar med rutiner Folkehelseinstituttet har oppstilt.

0Endret ved forskrift 18 des 2015 nr. 1588 (i kraft 1 jan 2016).
§ 4-3.Internkontrollens innhold

Internkontrollen innebærer at Folkehelseinstituttet skal ha kunnskap om gjeldende regler om behandling av helseopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av rutiner, samt ha denne dokumentasjonen tilgjengelig for dem det måtte angå.

Internkontrollen skal blant annet inneholde:

1.oversikt over hvordan virksomheten er organisert,
2.oversikt over ansvars- og myndighetsforhold,
3.oversikt over de krav i og i medhold av helseregisterloven som gjelder for virksomheten,
4.rutiner virksomheten følger for å sikre overholdelse av kravene, herunder rutiner for:
4.1oppfyllelse av krav om at avidentifiserende opplysninger bare behandles når dette er nødvendig for å fremme formålet med behandlingen av opplysningene, og i tråd med gjeldende bestemmelser om taushetsplikt, jf. helseregisterloven § 11 og § 15,
4.2dokumentasjon og kvalitetskontroll av helseopplysningene, jf. forskriften § 1-8,
4.3hvordan virksomheten oppfyller bestemmelsene om tilgang til helseregisteret, jf. § 3-1 og § 3-2,
4.4oppfyllelse av reglene om meldeplikt til Datatilsynet, jf. helseregisterloven § 29,
5.rutiner virksomheten følger dersom avvik oppstår, og opplysninger om hvem som er ansvarlig,
6.rutiner virksomheten følger for å hindre gjentakelse av avvik, og opplysninger om hvem som er ansvarlig,
7.rutiner for hvordan virksomheten systematisk og regelmessig gjennomgår sin internkontroll for å kontrollere at aktivitetene og resultatene av dem stemmer overens med det system virksomheten har fastlagt, og om det medfører oppfyllelse av helseregisterlovgivningen,
8.rutiner for hvordan virksomheten sikrer seg at alle aktuelle og kun gjeldende rutiner blir benyttet, og
9.rutiner for hvordan virksomheten sikrer at de ansatte har tilstrekkelig kompetanse til å overholde forskriftens krav.

Skriftlig dokumentasjon skal minst omfatte dokumentasjon av rutiner som nevnt i annet ledd nr. 1 til 8. Tilsynsmyndighetene kan gi pålegg om skriftlig dokumentasjon ut over dette, dersom det anses påkrevd. Tilsynsmyndighetene kan dispensere fra hele eller deler av dette kapittel når særlige forhold foreligger.

0Endret ved forskrift 18 des 2015 nr. 1588 (i kraft 1 jan 2016).

Kapittel 5. Bevaring av helseopplysninger i registeret

§ 5-1.Bevaring av helseopplysninger

Opplysninger i registeret kan i den utstrekning det er nødvendig for å nå formålet med registeret, bevares i ubegrenset tid, med mindre annet følger av denne forskriften eller helseregisterloven § 26 eller § 28.

Kapittel 6. Avsluttende bestemmelser

§ 6-1.Straff

Den som forsettlig eller grovt uaktsomt overtrer bestemmelser fastsatt i denne forskriften § 4-1 til § 4-3, straffes med bøter eller fengsel inntil ett år eller begge deler. Medvirkning straffes på samme måte.

§ 6-2.Ikrafttredelse

Forskriften trer i kraft 1. juli 2005.

Merknader til de enkelte paragrafer i forskriften

Merknadene er en veiledning som utdyper innholdet i de enkelte bestemmelsene i forskriften. Merknadene er i seg selv ikke bindende. Forskriften og merknadene bør leses i sammenheng for å få en best mulig forståelse av forskriftens bestemmelser.

Til kapittel 1. Generelle bestemmelser

Til § 1-1 Etablering av Norsk overvåkingssystem for infeksjoner i sykehustjenesten

Bestemmelsen gir hjemmel for etablering av Norsk overvåkingssystem for infeksjoner i sykehustjenesten (NOIS). Med infeksjoner i sykehustjenesten menes infeksjoner som oppstår som følge av opphold i private eller offentlige sykehus eller dagkirurgiske klinikker. Sykehustjenesten er en del av spesialisthelsetjenesten. Forskriften gir regler for innsamling og behandling av helseopplysninger i registeret.

Til § 1-2 Innholdet i registeret

Bestemmelsen angir innholdet i registeret. Registeret kan inneholde avidentifiserte helseopplysninger om personer i Norge som følges opp under og etter et opphold i nærmere bestemte sykehus eller dagkirurgiske klinikker, for å avgjøre om de under oppholdet har fått en infeksjon. NOIS skal ikke være et fullstendig register over alle sykehusinfeksjoner.

Helsedirektoratet kan i henhold til bestemmelsen gi nærmere bestemmelser om hvilke sykehus og dagkirurgiske klinikker, pasientgrupper og hvilke prosedyrer som skal inkluderes i overvåkingssystemet for infeksjoner i sykehustjenesten. Overvåkingssystemet vil først og fremst være aktuelt for sykehus og større dagkirurgiske klinikker.

Det legges i første omgang opp til periodiske overvåkingsopplegg der virksomhetene overvåker infeksjoner i visse pasientgrupper i samme periode, for eksempel pasienter som har gjennomgått keisersnitt i et gitt kvartal. Det betyr at dette registeret skiller seg fra ordinære helseregistre der alle pasienter med visse sykdommer blir registrert. I Norsk overvåkingssystem for infeksjoner i sykehustjenesten registreres visse pasientgrupper i visse perioder og så følges pasientene opp under og etter oppholdet for å avgjøre om de har fått en infeksjon eller ikke. På denne måten kan man både måle andelen som får infeksjon og studere forskjeller mellom dem som fikk infeksjon eller ikke fikk slik infeksjon. Resultatene fra overvåkingen kan omsettes til kvalitetsforbedrende tiltak og smittevernrådgivning.

Et eksempel: «Femten hundre kvinner som gjennomgikk keisersnitt i januar, februar og mars 2006, er registrert. 7% av dem fikk en postoperativ infeksjon. Denne andelen varierte fra 2% i enkelte sykehus til 11% i andre sykehus. Risikoen for infeksjon var dobbelt så stor ved akutte keisersnitt enn ved planlagte keisersnitt. Jo lenger inngrepet varte, jo større var risikoen for infeksjon. Antibiotikaprofylakse under inngrepet halverte risikoen for infeksjon.» På bakgrunn av denne informasjonen kan en umiddelbart iverksette relevante tiltak for å begrense risikoen for infeksjon.

Alle pasienter som registreres, vil bli fulgt opp under oppholdet i virksomheten. I henhold til kriterier for å definere infeksjonene er det i visse tilfeller nødvendig å følge opp pasienter også etter utskriving fra virksomheten. Dette gjelder uavhengig av om pasienten utskrives til annen institusjon, eventuelt et annet sykehus eller utskrives til eget hjem. Dette gjøres allerede i dag for mange pasienter som en del av den ordinære oppfølgingen av utskrevne pasienter. Det er den enkelte virksomheten som følger opp pasientene.

Til å begynne med vil den landsomfattende overvåkingsperioden kun vare tre måneder av gangen slik at flest mulig virksomheter kan delta. På sikt vil den nasjonale overvåkingen bli utvidet med hensyn til både lengde av overvåkingsperioden og antallet pasientgrupper.

Til § 1-3 Registerets formål

Registeret er primært et helseregister for oversikt over og forskning om infeksjoner i sykehustjenesten. Derfor er god oppslutning om overvåkingen og tidlig bruk av opplysningene viktig. God overvåking er kjennetegnet ved at data fører til handling.

Mange virksomheter har etablert overvåking av sykehusinfeksjoner i henhold til den nå opphevede forskrift fra 1996 om smittevern i helseinstitusjoner - sykehusinfeksjoner. Fra og med 1. juli 2005 er denne erstattet av forskrift om smittevern i helse- og omsorgstjenesten som viderefører kravet om infeksjonsovervåking internt i virksomheten. Denne overvåkingen fungerer som et verktøy for det praktiske smittevernarbeidet lokalt i virksomheten. Norsk overvåkingssystem for infeksjoner i sykehustjenesten skal ikke erstatte, men utfylle denne overvåkingen. Systemet skal gi en nasjonal tilleggsgevinst utover den som kan oppnås i den enkelte virksomhet. Det gjelder blant annet på følgende områder:

-Sammenlikning av infeksjonsforekomsten i ulike virksomheter.
-Forskning om årsaker til sykehusinfeksjoner i et register som inneholder tilstrekkelig mange pasienter.
-Nasjonal oversikt over forekomst av sykehusinfeksjoner.

Registeret har positive tilleggseffekter for de enkelte deltakende virksomhetene. Nasjonalt folkehelseinstitutt har utarbeidet en nasjonal mal for overvåkingen med felles kodeverk og registreringsmetoder, og dette vil gjøre det lettere å komme i gang med overvåkingen lokalt. Virksomhetene vil få veiledning om datatekniske løsninger, og de kan sammenlikne seg med andre virksomheter som har utført overvåkingen på tilsvarende måte. I tillegg får forskere ved virksomhetene tilgang til et nasjonalt register for forskning om årsaker til sykehusinfeksjoner.

Andre ledd angir hvilke andre formål opplysningene i registeret kan brukes til. Det tenkes her særlig på tiltak som styrker helse- og omsorgstjenesten og helseforvaltningen. Også ved bruk av opplysninger fra registeret til statistikk og forskning, som ikke fremgår av første ledd, er det et overordnet krav om at bruken skjer for å fremme helsemessige formål.

Til § 1-4 Forbud mot bruk

Bestemmelsen forbyr bruk av opplysninger i registeret til visse formål. Det heter i bestemmelsen at opplysningene i registeret ikke kan anvendes til formål som er uforenlig med formålet som er nevnt i § 1-3. Bestemmelsen følger naturlig av helseregisterloven § 11 tredje ledd. Spørsmålet om bruk av opplysningene er uforenlig med formål som nevnt i § 1-3, må avgjøres konkret.

Til § 1-5 Databehandlingsansvarlig

Bestemmelsen fastslår at Nasjonalt folkehelseinstitutt er databehandlingsansvarlig for innsamling og behandling av opplysninger i registeret. Ansvarsplasseringen ivaretar hensynet til en samlet og overordnet styring av landets sentrale epidemiologiske helseregistre og gir Nasjonalt folkehelseinstitutt mulighet for å oppfylle sine plikter i smittevernloven og i henhold til forskrift om smittevern i helse- og omsorgstjenesten.

Til § 1-6 Databehandler

I følge bestemmelsen kan Nasjonalt folkehelseinstitutt inngå skriftlig avtale med en databehandler om innsamling og behandling av helseopplysninger i registeret.

Databehandler er i helseregisterloven § 2 nr. 9 definert som den som behandler helseopplysninger på vegne av den databehandlingsansvarlige. Det følger av helseregisterloven § 18 at en databehandler ikke kan behandle helseopplysninger på annen måte enn det som er skriftlig avtalt med den databehandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til andre for lagring eller bearbeidelse.

Det følger av helseregisterloven § 29 og § 30 at Datatilsynet skal informeres om navn og adresse til eventuell databehandler, og om hvem som har det daglige ansvaret for å oppfylle den databehandlingsansvarliges plikter etter forskriften.

Til § 1-7 Opplysninger i registeret

Registeret inneholder ikke direkte personidentifiserende opplysninger eller andre personentydige data. Registeret inneholder avidentifiserte data.

Bestemmelsens nr. 1 refererer seg til personlige opplysninger som skal registreres. Dette er bare kjønn og alder samt virksomhetens løpenummer.

Bestemmelsens nr. 2 refererer seg til administrative opplysninger som for eksempel opplysninger om virksomheten og avdeling der pasienten var innlagt og datoer for innlegging, utskriving og senere oppfølging. Med pasientnært utstyr menes for eksempel respirator og invasive katetre.

Bestemmelsens nr. 3 refererer seg til medisinske opplysninger. De medisinske opplysningene er viktige for en riktig klassifikasjon av eventuell infeksjon, for vurdering av sikkerheten av diagnosen og for vurdering av følgetilstander av sykdommen. Opplysninger om disponerende og forebyggende faktorer er viktig for å kunne sammenlikne de pasienter som fikk og de som ikke fikk en infeksjon.

Hvilke opplysninger som nærmere skal meldes og på hvilken måte dette skal skje, framgår av meldingsskjemaet som fastsettes av Helsedirektoratet, jf. § 2-3.

Til § 1-8 Koding og klassifisering av opplysningene i registeret, krav til dokumentasjon, kvalitetskontroll

Bestemmelsen omhandler koding og klassifisering av opplysninger i registeret og setter krav til dokumentasjon.

Det er slått fast i første ledd at Nasjonalt folkehelseinstitutt ved enhver registrering i registeret skal kunne dokumentere hvilke kodeverk eller klassifikasjoner som er brukt. Hensikten med bestemmelsen er å lette tilgjengeligheten på opplysningene i registeret. Opplysningene som sendes inn til registeret, registreres der i kodet form. For at innholdet i registeret og de medisinske opplysninger skal bli tilgjengelig og forståelig for dem som skal bruke opplysningene i konkrete forskningsprosjekter mv., må brukerne vite hva de ulike kodene betyr, dvs. den kodete informasjonen må oversettes til norsk språk eller medisinsk terminologi. Kodeverket publiseres i en nasjonal mal for overvåkingen som må legges til grunn for meldingen. Malen utarbeides av Nasjonalt folkehelseinstitutt.

Til kapittel 2. Melding av helseopplysninger til registeret mv.

Til § 2-1 Virksomhetenes deltaking i overvåkingssystemet

Nærmere bestemte sykehus og dagkirurgiske klinikker, som har pasienter i de gitte gruppene, skal delta i de gjeldende overvåkingsperiodene. Nasjonalt folkehelseinstitutt kan imidlertid unntaksvis unnta visse virksomheter når nytten av deres deltaking anses som liten, for eksempel fordi de ikke utfører visse operasjoner eller prosedyrer.

Til § 2-2 Helsepersonellets meldingsplikt av opplysninger til registeret

Det er helsepersonell ved de virksomheter som er omfattet av overvåkingssystemet, som skal melde opplysninger til registeret. Helsepersonellet har plikt til å melde opplysningene uavhengig taushetsplikten jf. helseregisterloven § 9 og helsepersonelloven § 23 nr. 5 og § 37.

Til § 2-3 Meldingsskjema, formkrav

Helsedirektoratet fastsetter hvilke skjemaer som skal benyttes og kan bestemme at meldingene skal gis på annen måte enn ved skjema, for eksempel ved elektronisk overføring. Nasjonalt folkehelseinstitutt stiller et datasystem til disposisjon. Som utgangspunkt er det tilstrekkelig at opplysningene om alle pasientene i en overvåkingsperiode oversendes til Nasjonalt folkehelseinstitutt samlet fra virksomheten etter at perioden er over.

Det heter i annet ledd at Helsedirektoratet kan gi pålegg om bruk av standardiserte meldingsformater ved forsendelsen av opplysningene. Krav om bruk av bestemt meldingsformat kan særlig være aktuelt ved elektronisk meldingsformidling. Meldingsformatet publiseres i den nasjonale malen for overvåkingen, som utarbeides av Nasjonalt folkehelseinstitutt, og som skal legges til grunn for meldingene.

Til § 2-4 Virksomhetens plikter

Det følger av bestemmelsen at ledelsen ved virksomheter som er omfattet av overvåkingssystemet, er ansvarlige for at opplysninger registreres og meldes etter § 2-2 og § 2-3, for at pliktene oppfylles, og de skal sørge for at det finnes rutiner og standarder for dette. Virksomheten må ha utarbeidet systemer som sikrer at meldingsskjemaet sendes videre til registeret. Elektronisk formidling av opplysningene forutsetter at tilstrekkelig informasjonssikkerhet er ivaretatt.

Mottaker av resultatene er Nasjonalt folkehelseinstitutt. Andre som har særlig nytte av registeret, for eksempel de regionale helseforetaks kompetansesentre for sykehushygiene, kan bestille data fra registeret etter bestemmelsene i § 3-1 og § 3-2.

Til § 2-5 Rapportering fra registeret

En kjernefunksjon i registeret er den regelmessige tilbakemeldingen om situasjonen vedrørende infeksjoner i sykehustjenesten. Dette er viktig for at smittevernmyndighetene, sykehusene, ledelsen ved private virksomheter og fagmiljøene kan iverksette nødvendige tiltak. Nasjonalt folkehelseinstitutt gir ut en årsrapport. På sikt kan denne publiseringen erstattes av en minst like hyppig oppdatert publisering på Internett.

Nasjonalt folkehelseinstitutt vil også rapportere tilbake til de meldende virksomheter om deres egen situasjon sammenliknet med et gjennomsnitt av andre virksomheter. Det tas sikte på at denne tilbakemeldingen skal skje på Internett.

Nasjonalt folkehelseinstitutt er oppnevnt kontaktpunkt for rapportering til Kommisjonen jf. Beslutning 2119/98/EF. Data skal rapporteres fra Nasjonalt folkehelseinstitutt via Hospital in Europe Link for Infection Control through Surveillance (HELICS) til Kommisjonen en gang per år.

Rapporteringen dreier seg om avidentifiserte opplysninger uten personidentifikasjon som alder i år, kjønn, innleggelsesdato, utskrivingsdato og oppfølgingsdatoer. I tillegg rapporteres operasjonskode, -dato og -varighet, renhetsgrad av inngrepet og ASA klassifikasjon, samt informasjon om infeksjonsstatus. Hvilke data som skal videresendes er spesifisert i mal utarbeidet av HELICS.

Til kapittel 3. Behandling av helseopplysninger i registeret

Til § 3-1 Plikt til å utlevere ikke koblede data til forskning mv.

Første ledd gir en tidsfrist for hvor raskt en bestilling av data fra registeret skal effektueres.

Bestemmelsen regulerer tilgang til ikke-koblede data fra registeret. Prosjekter som gjør bruk av ikke-koblede data, reguleres på samme måte som prosjekter som gjør bruk av koblede data. Bruk av denne bestemmelsen forutsetter at den eksterne mottakeren ikke har egne data som kan kobles på data som utleveres.

Til § 3-2 Annen behandling av data fra registeret

Bestemmelsen åpner for at opplysninger fra registeret etter Datatilsynets tillatelse kan sammenstilles med andre opplysninger om de registrerte personene fra andre kilder. Siden registeret ikke inneholder personentydige data, må virksomheten som skal sammenstille dataene, få persondataene fra virksomhetene. Utlevering av helseopplysninger kan kreve at Helsedirektoratet gir dispensasjon fra taushetsplikten jf. helsepersonelloven § 29 eller at den opplysningene kan knyttes til, samtykker.

Til § 3-3 Informasjonsstrategi rettet mot brukergrupper

Bestemmelsen fastslår at Nasjonalt folkehelseinstitutt skal ha en aktiv informasjonsstrategi og -plan rettet mot brukergrupper. Forskriften krever ikke at denne planen skal være skriftlig. Innholdet i kravet går på å ha et bevisst åpent og positivt forhold til å samhandle med ulike forskningsmiljøer og andre brukergrupper. Det er et selvstendig mål at dataene blir brukt i forskningsprosjekter utenfor registeret, til kvalitetsforbedring av pasientbehandlingen i virksomhetene og til planlegging av helse- og omsorgstjenesten. En effektiv bruk av data fra registeret kan best gjennomføres ved at Nasjonalt folkehelseinstitutt informerer helseforetak, helseplanleggere, helseadministratorer, forskere mv. om hvilke muligheter registeret gir til kunnskapsoppbygging og -utvikling.

Til § 3-4 Kostnader

Bestemmelsen gir adgang til å kreve betaling for bearbeiding av data fra registeret. Betalingen kan ikke overstige de faktiske utgiftene ved behandlingen av opplysningene.

Bestemmelsen innebærer ikke at en skal kreve kostnadsdekning av alle datautleveringer fra registeret. Kostnader forbundet med utlevering av statistikk bør kunne dekkes av ordinære driftsmidler. Det samme gjelder behandling og tilrettelegging av opplysninger for en virksomhet, når opplysningene er de som virksomheten eller dens underliggende enheter selv har meldt til registeret. Det kan for eksempel gjelde tilrettelegging og utlevering av opplysninger til et regionalt helseforetak eller et helseforetak.

Til § 3-5 Oversikt over utleveringer

Bestemmelsen pålegger den databehandlingsansvarlige for registeret å føre oversikt over hvem som får utlevert opplysninger fra registeret og hjemmelsgrunnlaget for utleveringene.

Til kapittel 4. Informasjonssikkerhet og internkontroll

Til § 4-1 Informasjonssikkerhet

Første ledd viser til helseregisterloven §§ 16 flg. Bestemmelsen pålegger Nasjonalt folkehelseinstitutt og databehandleren å sørge for tilfredsstillende informasjonssikkerhet ved behandling av helseopplysninger. Dette omfatter blant annet et ansvar for å sørge for at tilstrekkelig sikkerhetsfaglig kompetanse er tilgjengelig. I tillegg til ansvar for sikkerheten i egen organisasjon må Nasjonalt folkehelseinstitutt også forsikre seg om at informasjonssikkerheten er tilfredsstillende hos kommunikasjonspartnere og leverandører. Begrepet informasjonssikkerhet omfatter:

-sikring av konfidensialitet, dvs. beskyttelse mot at uvedkommende får innsyn i opplysningene, herunder sikkerhet for at reglene om taushetsplikt overholdes,
-sikring av integritet, dvs. beskyttelse mot utilsiktet endring av opplysningene,
-sikring av tilgjengelighet, dvs. sørge for at tilstrekkelige og relevante opplysninger er til stede,
-sikring av kvalitet, dvs. sørge for at opplysningene er riktige.

Tilfredsstillende informasjonssikkerhet skal oppnås ved hjelp av planlagte og systematiske tiltak. Dette innebærer at anerkjente teknikker og standarder for kvalitetsstyring, internkontroll og informasjonssikkerhet skal legges til grunn ved sikkerhetsarbeidet. De tiltak som etableres, skal være både organisatoriske og tekniske. Sikkerhetstiltakene og selve informasjonssystemet skal kunne dokumenteres.

Annet ledd gjelder ved helt eller delvis elektronisk behandling av helseopplysningene. I slike tilfeller gjelder personopplysningsforskriften § 2-1 til § 2-16. Bestemmelsene er en videreføring av dagens sikkerhetskrav.

Forsettlig eller grovt uaktsom overtredelse av denne bestemmelsen straffes med hjemmel i § 6-1.

Til § 4-2 Plikt til internkontroll

Bestemmelsen pålegger Nasjonalt folkehelseinstitutt en plikt til å innføre og utøve internkontroll i samsvar med helseregisterloven § 17. Tiltakene skal ifølge § 17 annet ledd dokumenteres, og dokumentasjonen skal være tilgjengelig for medarbeidere og tilsynsmyndighetene.

Databehandlere skal behandle opplysninger i samsvar med rutiner Nasjonalt folkehelseinstitutt har oppstilt.

Det følger av helseregisterloven § 31 at både Datatilsynet og Statens helsetilsyn skal føre tilsyn med at bestemmelsene i forskriften etterleves.

Forsettlig eller grovt uaktsom overtredelse av denne bestemmelsen straffes med hjemmel i § 6-1.

Til § 4-3 Internkontrollens innhold

Bestemmelsen gir regler om internkontrollens innhold. Formuleringen av bestemmelsen har tatt mønster av internkontrollbestemmelsen i personopplysningsforskriften.

Forsettlig eller grovt uaktsom overtredelse av denne bestemmelsen straffes med hjemmel i forskriften § 6-1.

Til kapittel 5. Bevaring av helseopplysninger i registeret

Til § 5-1 Bevaring av helseopplysninger

Det går fram av bestemmelsen at opplysninger i registeret skal bevares i ubegrenset tid, med mindre annet følger av helseregisterloven § 26 eller § 28.

Helseregisterloven § 26 regulerer retting av mangelfulle opplysninger. Bestemmelsen pålegger den databehandlingsansvarlige et ansvar for å rette opplysninger som er uriktige eller ufullstendige. Det samme gjelder dersom det er behandlet helseopplysninger etter forskriften som det ikke er adgang til å behandle. Den databehandlingsansvarlige kan foreta opprettingen av eget tiltak eller etter begjæring fra den registrerte. Den databehandlingsansvarlige skal om mulig sørge for at feilen ikke får betydning for den registrerte. Dersom opplysningene er utlevert, skal den databehandlingsansvarlige varsle mottakere av utleverte opplysninger om dette.

Helseregisterloven § 28 gir regler om sletting eller sperring av helseopplysninger som føles belastende for den registrerte. Bestemmelsen fastslår at den registrerte kan kreve at helseopplysninger som behandles etter denne forskriften, skal slettes eller sperres, dersom behandling av opplysningene føles sterkt belastende for den registrerte og det ikke finnes sterke allmenne hensyn som tilsier at opplysningene behandles. Krav om sletting eller sperring av slike opplysninger rettes til den databehandlingsansvarlige for opplysningene. Datatilsynet kan, etter at Riksarkivaren er hørt, treffe vedtak om at retten til sletting etter første ledd går foran reglene i arkivloven 4. desember 1992 nr. 126 § 9 og § 18. Hvis dokumentet som inneholdt de slettede opplysningene, gir et åpenbart misvisende bilde etter slettingen, skal hele dokumentet slettes.

For øvrig vil arkivloven og forskrifter i medhold av arkivloven komme til anvendelse.

Til kapittel 6. Avsluttende bestemmelser

Til § 6-1 Straff

Bestemmelsen er en straffebestemmelse og gir adgang til å idømme straff ved overtredelse av bestemmelsene i § 4-1 til § 4-3.

Helseregisterloven gir også andre sanksjonsmuligheter ved overtredelse av loven eller forskrift i medhold av loven. Det er adgang til å gi pålegg om opphør av behandling av helseopplysninger eller stille vilkår for behandlingen samt å ilegge tvangsmulkt. Videre kan den registrerte i visse tilfeller kreve erstatning, dersom det er behandlet helseopplysninger i strid med forskriften. Disse bestemmelsene er allmenne og generelle, og gjelder uavhengig av om de er inntatt i forskriften eller ikke. Det vises til helseregisterloven § 32, § 33 og § 35.

Til § 6-2 Ikrafttredelse

Bestemmelsen fastslår at denne forskriften trer i kraft 1. juli 2005. 

0Merknader endret ved forskrift 17 jan 2013 nr. 61.