Forskrift om innsamling og behandling av helseopplysninger i Norsk pasientregister (Norsk pasientregisterforskriften)

DatoFOR-2007-12-07-1389
DepartementHelse- og omsorgsdepartementet
PublisertI 2007 hefte 12
Ikrafttredelse15.04.2009
Sist endretFOR-2016-03-18-268
EndrerFOR-2001-12-21-1476, FOR-2001-12-21-1477, FOR-2001-12-21-1483, FOR-2003-06-20-739, FOR-2003-06-20-740
Gjelder forNorge
HjemmelLOV-2014-06-20-43-§11, LOV-1999-07-02-64-§37, LOV-1967-02-10-§13d
Kunngjort13.12.2007   kl. 15.20
Rettet16.05.2013 (merknader)
KorttittelNorsk pasientregisterforskriften, NPR

Kapitteloversikt:

Hjemmel: Fastsatt ved kgl.res. 7. desember 2007 med hjemmel i lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger (helseregisterloven) § 8 fjerde ledd, jf. tredje ledd, § 9 andre ledd, § 16 fjerde ledd, § 17 tredje ledd, § 22 femte ledd og § 27 andre ledd og lov 2. juli 1999 nr. 64 om helsepersonell m.v. (helsepersonelloven) § 37. Fremmet av Helse- og omsorgsdepartementet.
Tilføyd hjemmel: Lov 10. februar 1967 om behandlingsmåten i forvaltningssaker (forvaltningsloven) § 13d tredje ledd. Lov 20 juni 2014 nr. 43 om helseregistre og behandling av helseopplysninger (helseregisterloven) § 11.
Endringer: Endret ved vedtak 14 april 2009 nr. 408 (ikrafttr.). Endret ved forskrifter 26 juni 2009 nr. 868, 16 des 2011 nr. 1250, 16 des 2011 nr. 1257, 16 des 2011 nr. 1396, 17 jan 2013 nr. 61, 31 mai 2013 nr. 563, 23 mai 2014 nr. 667 som endret ved forskrift 27 mai 2014 nr. 676, 30 okt 2015 nr. 1237, 18 mars 2016 nr. 268.
Rettelser: 16.05.2013 (merknader).

Kapittel 1 - Generelle bestemmelser

§ 1-1.Etablering av Norsk pasientregister

Denne forskriften etablerer Norsk pasientregister. Forskriften gir regler om innsamling og behandling av helseopplysninger i registeret.

§ 1-2.Norsk pasientregisters formål

Norsk pasientregister har til hovedformål å danne grunnlag for administrasjon, styring og kvalitetssikring av spesialisthelsetjenester, herunder finansiering.

I tillegg har Norsk pasientregister til formål å:

a)bidra til medisinsk og helsefaglig forskning, herunder forskning som kan gi viten om helsetjenester, behandlingseffekter, diagnoser, og sykdommers årsaker, utbredelse og forløp og forebyggende tiltak,
b)danne grunnlag for etablering og kvalitetssikring av sykdoms- og kvalitetsregistre og videreformidling av kontaktopplysninger til den nasjonale kjernejournalen.
c)bidra til kunnskap som grunnlag for forebygging av ulykker og skader.
0Endret ved forskrifter 16 des 2011 nr. 1257 (i kraft 1 jan 2012), 31 mai 2013 nr. 563, 30 okt 2015 nr. 1237 (i kraft 1 nov 2015).
§ 1-3.Forbud mot bruk

Opplysningene i Norsk pasientregister kan ikke anvendes til formål som er uforenlig med formål som nevnt i § 1-2.

Opplysninger skal ikke brukes som grunnlag for enkeltvedtak eller andre individuelle beslutninger eller tiltak rettet mot de registrerte.

Opplysninger om enkeltindivider som er fremkommet ved behandling av helseopplysninger etter forskriften, kan ikke brukes i forsikringsøyemed, av påtalemyndighet eller domstol, eller av arbeidsgivere, selv om den registrerte samtykker.

§ 1-4.Databehandlingsansvarlig og databehandler

Helsedirektoratet er databehandlingsansvarlig for innsamling og behandling av helseopplysninger i Norsk pasientregister.

En avgrenset organisatorisk enhet innenfor Helsedirektoratet, her kalt Norsk pasientregister, er databehandler for registeret. Denne enheten skal blant annet sørge for drift og kvalitetssikring av registeret, tilrettelegging og utlevering av data og statistikk.

0Endret ved forskrift 26 juni 2009 nr. 868 (i kraft 1 juli 2009).
§ 1-5.Norsk pasientregisters innhold

Norsk pasientregister kan inneholde helseopplysninger om alle som får helsehjelp i spesialisthelsetjenesten i Norge, jf. spesialisthelsetjenesteloven § 2-1a og § 4-3. Helsehjelp omfatter den som diagnostiseres, utredes, behandles mv., jf. pasient- og brukerrettighetsloven § 1-3 bokstav d.

Registeret kan i forbindelse med registrering av skader og ulykker inneholde opplysninger fra akuttmottak ved sykehus, legevakter knyttet til sykehus og enkelte kommunale legevakter.

Norsk pasientregister kan inneholde opplysninger om pasienter som mottar behandling i Norge, eller i utlandet etter henvisning fra spesialisthelsetjenesten i Norge.

0Endret ved forskrifter 17 jan 2013 nr. 61, 30 okt 2015 nr. 1237 (i kraft 1 nov 2015).
§ 1-6.Opplysninger i Norsk pasientregister

Når det er relevant og nødvendig for å fremme registerets hovedformål skal følgende opplysninger om personer nevnt i § 1-5 registreres i Norsk pasientregister uten samtykke fra den opplysningen gjelder: 

personopplysninger:

a)fødselsnummer eller annet entydig identifikasjonsnummer
b)bostedskommune. 

administrative opplysninger:

a)om henvisning
b)om behandlende institusjon
c)om konsultasjon og/eller innleggelse
d)om pasientrettigheter
e)om dødstidspunkt
f)samtykkeadministrative opplysninger for sykdoms- og kvalitetsregistre. 

medisinske opplysninger:

a)fagområde
b)diagnose/diagnosekoder
c)behandling/prosedyrekoder
d)tidspunkt for oppstart og avslutning av behandling
e)takst
f)opplysninger om bruk av tvang
g)rusbruk. 

sosiale opplysninger:

a)boligforhold
b)omsorgssituasjon.
§ 1-7.Opplysninger om ulykker og skader

Når det er relevant og nødvendig for å fremme registerets formål i § 1-2 andre ledd bokstav c, skal følgende opplysninger om ulykker og skader registreres i Norsk pasientregister om personer som nevnt i § 1-5, uten samtykke fra den opplysningen gjelder:

a)kontaktårsak/skademekanisme/alvorlighetsgrad
b)aktivitet på skadetidspunkt
c)skadested, skadetidspunkt
d)arbeidsgivers bransje.
§ 1-8.Koding og klassifisering av opplysningene i Norsk pasientregister, krav til dokumentasjon

Helsedirektoratet skal kunne dokumentere hvilke klassifikasjoner og kodeverk som er benyttet ved enhver registrering i registeret.

0Endret ved forskrift 17 jan 2013 nr. 61.

Kapittel 2 - Melding av helseopplysninger til Norsk pasientregister, kvalitetskontroll mv.

§ 2-1.Plikt til innsending av opplysninger og forhold til taushetsplikt

Helsepersonell registrerer opplysninger som nevnt i § 1-6 og § 1-7, jf. forskrift om pasientjournal. Helseforetak, offentlige og private helseinstitusjoner, eller annen virksomhet som nevnt i § 1-5, skal sørge for å melde inn opplysninger etter § 1-6 og § 1-7 til Norsk pasientregister. Virksomheten skal sørge for at det finnes rutiner som sikrer dette.

Departementet bestemmer hvilke kommunale legevakter som skal rapportere til registeret, jf. § 1-5 andre ledd og § 1-7.

Lovbestemt taushetsplikt er ikke til hinder for at opplysningene som følger av § 1-6 og § 1-7 meldes inn til Norsk pasientregister.

§ 2-2.Rutiner for innsending mv.

Innsending av opplysninger skal følge de rutiner og tidsfrister som til enhver tid er fastsatt av Helsedirektoratet.

Helsedirektoratet kan gi pålegg om bruk av bestemte klassifikasjonssystemer og kodeverk ved registrering av opplysningene, og om bruk av standardiserte meldingsformater ved forsendelsen av opplysningene.

0Endret ved forskrift 26 juni 2009 nr. 868 (i kraft 1 juli 2009).
§ 2-3.Avsenders plikter til kvalitetskontroll

Avsender skal kontrollere at data som rapporteres er komplette og kvalitetssikret i henhold til gjeldende krav til rapportering.

§ 2-4.Mottakers ansvar for kvalitetskontroll

Helsedirektoratet skal sørge for at helseopplysninger som innsamles og behandles i Norsk pasientregister, er korrekte, relevante og nødvendige for de formål de innsamles for, jf. § 1-2. Som ledd i kvalitetskontrollen kan det gjennomføres rutinemessige samkjøringer mot Det sentrale folkeregister, Medisinsk fødselsregister, Kreftregisteret, Meldingssystem for smittsomme sykdommer, System for vaksinasjonskontroll, Hjerte og karregisteret, Dødsårsaksregisteret og Helsearkivregisteret.

Norsk pasientregister kan sammenlikne innsendte opplysninger med avsenders dokumentasjon. Slik kvalitetskontroll skal skje hos avsender og det skal kun gis innsyn i opplysninger som er relevante og nødvendige for et konkret angitt formål. Kvalitetskontroll etter dette ledd skal meldes til Datatilsynet.

Dersom innsendingen er mangelfull, skal avsenderen av opplysningene varsles, jf. helseregisterloven § 9 andre ledd andre punktum. Ved fortsatt mangelfull innsending kan Fylkesmannen varsles.

0Endret ved forskrifter 26 juni 2009 nr. 868 (i kraft 1 juli 2009), 16 des 2011 nr. 1250 (i kraft 1 jan 2012), 16 des 2011 nr. 1396 (i kraft 1 jan 2012), 23 mai 2014 nr. 667 som endret ved forskrift 27 mai 2014 nr. 676 (i kraft 1 juli 2014), 18 mars 2016 nr. 268.

Kapittel 3 - Behandling av helseopplysninger i Norsk pasientregister

§ 3-1.Statistikk fra Norsk pasientregister

Norsk pasientregister kan utarbeide statistikk basert på opplysninger i registeret.

Opplysninger i Norsk pasientregister kan videre sammenstilles (kobles) med opplysninger i Det sentrale folkeregister, sosioøkonomiske opplysninger fra registre i Statistisk sentralbyrå, Kreftregisteret, Medisinsk fødselsregister, Dødsårsaksregisteret, Meldingssystem for smittsomme sykdommer, System for vaksinasjonskontroll, Reseptregisteret og Hjerte- og karregisteret for utarbeidelse av statistikk. Sammenstillingen skal gjøres av den databehandlingsansvarlige for ett av de nevnte registrene eller en virksomhet departementet bestemmer. Resultatet av sammenstillingen skal fremkomme i anonymisert form.

Helseopplysninger som mottas for fremstilling av statistikk etter andre ledd, skal slettes så snart statistikkfremstillingen er tilfredsstillende gjennomført.

0Endret ved forskrifter 16 des 2011 nr. 1250 (i kraft 1 jan 2012), 23 mai 2014 nr. 667 som endret ved forskrift 27 mai 2014 nr. 676 (i kraft 1 juli 2014).
§ 3-2.Tilrettelegging av avidentifiserte opplysninger i Norsk pasientregister og sammenstilling med andre registre

Opplysninger i Norsk pasientregister kan bearbeides og tilrettelegges for uttrykkelig angitte formål innenfor registerets formål, jf. § 1-2. Opplysningene skal etter behandlingen være avidentifiserte.

Opplysninger i Norsk pasientregister kan for uttrykkelig angitte formål innenfor registerets formål, jf. § 1-2, sammenstilles med opplysninger i registre som nevnt i § 3-1 andre ledd. Sammenstillingen skal gjøres av den databehandlingsansvarlige for ett av de nevnte registrene eller en virksomhet departementet bestemmer. Sammenstilte helseopplysninger kan ikke lagres før direkte personidentifiserbare kjennetegn (fødselsnummer) er slettet. Opplysningene skal etter behandlingen (herunder sammenstillingen) være avidentifiserte.

Utlevering av opplysninger som er bearbeidet og tilrettelagt (herunder sammenstilt) etter denne bestemmelse skjer etter § 3-4.

0Endret ved forskrift 26 juni 2009 nr. 868 (i kraft 1 juli 2009).
§ 3-3.Tilrettelegging og utlevering av opplysninger for aktivitetsbaserte finansieringsordninger og kommunal medfinansiering av spesialisthelsetjenesten

Opplysninger nødvendige for drift og utvikling av etablerte finansieringsordninger innen spesialisthelsetjenesten skal legges til rette av Norsk pasientregister og utleveres til Helsedirektoratet, herunder også HELFO, for gjennomføring av drift og utvikling. Det skal ikke utleveres opplysninger med direkte personidentifiserbare kjennetegn.

Opplysningene som mottas til formål som følger av første ledd skal slettes så snart oppgavene er utført og kan ikke oppbevares lenger enn inntil 5 år etter avsluttet driftsår.

Opplysninger som skal benyttes til utredninger av vesentlige endringer eller utvidelser av ordningene som er nevnt i første ledd skal bare utleveres i henhold til § 3-4, § 3-5 og § 3-6 i denne forskrift.

0Endret ved forskrifter 26 juni 2009 nr. 868 (i kraft 1 juli 2009), 16 des 2011 nr. 1257 (i kraft 1 jan 2012), 30 okt 2015 nr. 1237 (i kraft 1 nov 2015).
§ 3-4.Utlevering av avidentifiserte opplysninger

Opplysninger fra Norsk pasientregister som nevnt i § 3-2 første ledd, eller sammenstilte opplysninger som nevnt i § 3-2 andre ledd, og som er avidentifiserte, skal etter søknad gjøres tilgjengelig eller utleveres dersom mottaker kan godtgjøre at:

-opplysningene skal brukes til et uttrykkelig angitt formål innenfor registerets formål, jf. § 1-2,
-opplysningene er relevante og nødvendige for formålet med behandlingen,
-mottakeren bare skal behandle avidentifiserte opplysninger,
-behandlingen er ubetenkelig ut fra etiske hensyn, og
-behandlingen oppfyller vilkårene i personopplysningsloven § 8 og § 9.

Ved spørsmål om utlevering som beskrevet i første ledd til medisinsk og helsefaglig forskning kan registeret, i tilfeller der det etter registerets vurdering er tvil om behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn, forelegge spørsmålet om utlevering skal skje for en regional komité for medisinsk og helsefaglig forskningsetikk for avgjørelse. Vedtak fattet av regional komité for medisinsk og helsefaglig forskningsetikk kan påklages til Den nasjonale forskningsetiske komité for medisin og helsefag.

Søknad om utlevering av opplysninger som beskrevet i første ledd til medisinsk og helsefaglig forskning skal inneholde opplysninger om forskningsansvarlig og prosjektleder, jf. helseforskningsloven § 6.

Norsk pasientregister kan stille vilkår ved utlevering som er nødvendig for å begrense ulempene behandlingen ellers ville ha for de registrerte. Alle opplysninger som inngår i behandlingen etter denne paragrafen, skal slettes eller tilbakeleveres ved prosjektavslutning.

0Endret ved forskrift 26 juni 2009 nr. 868 (i kraft 1 juli 2009).
§ 3-5.Utlevering statistiske/anonyme opplysninger

Norsk pasientregister skal etter forespørsel fra forvaltningen og forskere utlevere statistiske/anonyme opplysninger fra Norsk pasientregister, eller statistikk over sammenstilte opplysninger etter § 3-1, dersom opplysningene skal brukes til et uttrykkelig angitt formål innenfor registerets formål, jf. § 1-2.

§ 3-6.Utlevering og annen behandling av opplysninger i Norsk pasientregister

Norsk pasientregister kan, med mindre annet følger av denne forskrift, bare utlevere personidentifiserbare opplysninger etter konsesjon fra Datatilsynet og i samsvar med de alminnelige regler om taushetsplikt. For utlevering av personidentifiserbare opplysninger til medisinsk og helsefaglig forskning erstattes konsesjonsplikt og krav om dispensasjon fra taushetsplikt av forhåndsgodkjenning fra en regional komité for medisinsk og helsefaglig forskningsetikk, jf. helseforskningsloven § 33 og § 9.

Øvrig utlevering av opplysninger som ikke følger av denne forskrift § 3-3, § 3-4, § 3-5 eller § 3-7 skal utleveres i henhold til første ledd.

Helsedirektoratet skal svare på forespørsler om utlevering av personidentifiserbare opplysninger for bruk i uttrykkelig angitte forskningsprosjekter innen 30 dager fra den dagen forespørselen kom inn. Dersom særlige forhold gjør det umulig å svare på forespørselen innen den angitte fristen, kan svaret utsettes inntil det er mulig å gi svar. Helsedirektoratet skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis.

0Endret ved forskrift 26 juni 2009 nr. 868 (i kraft 1 juli 2009).
§ 3-6a.Utlevering av opplysninger til Hjerte- og karregisteret

Norsk pasientregister kan utlevere opplysninger som beskrevet i forskrift om nasjonalt register over hjerte- og karlidelser § 1-4 til Hjerte- og karregisteret.

0Tilføyd ved forskrift 16 des 2011 nr. 1250 (i kraft 1 jan 2012).
§ 3-6b.Utlevering av opplysninger til den nasjonale kjernejournalen

Norsk pasientregister kan utlevere personidentifiserbare opplysninger til den nasjonale kjernejournalen, jf. forskrift 31. mai 2013 nr. 563 om nasjonal kjernejournal § 4 nr. 6 bokstav a.

0Tilføyd ved forskrift 31 mai 2013 nr. 563.
§ 3-7.Behandling av opplysninger i Norsk pasientregister knyttet til sykdoms- og kvalitetsregistre

Norsk pasientregister kan tilrettelegge og utlevere relevante og nødvendige opplysninger til sykdoms- og kvalitetsregistre for etablering og kvalitetskontroll. Sykdoms- og kvalitetsregistre skal ha selvstendig hjemmel for å behandle, herunder sammenstille, opplysninger fra Norsk pasientregister.

Sammenstilling med sykdoms- og kvalitetsregistre skal ikke føre til at Norsk pasientregister får flere opplysninger enn det som følger av § 1-6 og § 1-7.

Eventuell kontakt med pasienter ved etablering av sykdoms- eller kvalitetsregistre skal ikke gjøres av Norsk pasientregister. Slik eventuell førstegangskontakt skal gjøres av behandlende institusjon. Dersom et sykdoms- eller kvalitetsregister eller annen institusjon skal kunne ta førstegangskontakt, kreves det dispensasjon fra taushetsplikten jf. helsepersonelloven § 29.

§ 3-8.Frister for utlevering

Norsk pasientregister skal utlevere statistiske opplysninger fra Norsk pasientregister i henhold til § 3-5 innen 30 dager fra den dagen søknaden kom inn.

Norsk pasientregister skal utlevere avidentifiserte opplysninger eller sammenstilte opplysninger i henhold til § 3-4, § 3-5, § 3-6 og § 3-7 innen 60 dager fra den dagen søknaden kom inn.

Dersom særlige forhold gjør det umulig å effektuere søknaden innen den angitte fristen, kan effektueringen utsettes inntil det er mulig å oppfylle den. Den databehandlingsansvarlige skal i så fall gi et foreløpig svar med opplysninger om forespørselen kan effektueres, om grunnen til forsinkelsen og sannsynlig tidspunkt for når søknaden kan effektueres.

Norsk pasientregister skal løpende utlevere opplysninger i henhold § 3-6b til den nasjonale kjernejournalen.

0Endret ved forskrift 31 mai 2013 nr. 563.
§ 3-9.Kostnader

Den databehandlingsansvarlige for Norsk pasientregister kan kreve betaling for behandling og tilrettelegging av opplysninger etter dette kapittel. Betalingen kan ikke overstige de faktiske utgiftene ved slik behandling og tilrettelegging av opplysningene.

§ 3-10.Oversikt over utleveringer

Den databehandlingsansvarlige for Norsk pasientregister skal føre oversikt over hvem som får utlevert opplysninger fra Norsk pasientregister og hjemmelsgrunnlaget for utleveringene. Oversikten skal omfatte sammenstillinger, utarbeidet statistikk mv. Oversikten skal oppbevares i minst fem år etter at utlevering har funnet sted.

§ 3-11.Informasjonsstrategi rettet mot brukergrupper

For å fremme bruken av data fra Norsk pasientregister og for å bygge opp informasjon og kunnskap, jf. forskriften § 1-2, skal Helsedirektoratet ha en aktiv informasjonsstrategi og -plan rettet mot så vel helseforvaltningen, helsetjenesten og øvrig forvaltning, som mot forskere innen medisinsk forskning, helsetjenesteforskning og samfunnsforskning.

0Endret ved forskrift 26 juni 2009 nr. 868 (i kraft 1 juli 2009).

Kapittel 4 - Taushetsplikt, informasjonssikkerhet, internkontroll, tilsyn

§ 4-1.Taushetsplikt

Enhver som behandler helseopplysninger etter denne forskriften, har taushetsplikt etter helseregisterloven § 15.

§ 4-2.Informasjonssikkerhet

Helsedirektoratet og Norsk pasientregister skal gjennom planlagte og systematiske tiltak sørge for god informasjonssikkerhet med hensyn til konfidensialitet, integritet, kvalitet og tilgjengelighet ved behandling av helseopplysninger etter forskriften, jf. helseregisterloven § 16 flg.

Sikkerhetstiltakene skal omfatte tiltak som ikke kan påvirkes eller omgås av ansatte hos Norsk pasientregister, og ikke være begrenset til handlinger den enkelte forutsettes å utføre. Det skal også etableres systemer for logging av elektroniske spor ved all tilgang til registeret.

Der behandling av helseopplysningene skjer helt eller delvis med elektroniske hjelpemidler, gjelder bestemmelsene om informasjonssikkerhet i personopplysningsforskriften § 2-1 til § 2-16.

0Endret ved forskrift 26 juni 2009 nr. 868 (i kraft 1 juli 2009).
§ 4-3.Kryptering og tilgang til Norsk pasientregister

Direkte personidentifiserbare kjennetegn (fødselsnummer) i Norsk pasientregister skal lagres kryptert.

Bare ansatte i den avgrensede organisatoriske enheten, Norsk pasientregister, jf. § 1-4 andre ledd, og den som arbeider under Norsk pasientregisters instruksjonsmyndighet, kan gis tilgang til opplysninger i Norsk pasientregister. Tilgang kan bare gis i den grad dette er nødvendig for vedkommendes arbeid.

Bare spesielt autoriserte personer som har behov for det i sitt arbeid kan behandle ukrypterte opplysninger i Norsk pasientregister.

§ 4-4.Plikt til internkontroll

Helsedirektoratet skal etablere internkontroll i samsvar med helseregisterloven § 17. De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang det er nødvendig for å etterleve krav gitt i eller i medhold av helseregisterloven. Det skal særlig legges vekt på kravene i helseregisterloven § 16.

Norsk pasientregister skal behandle opplysninger i samsvar med rutiner Helsedirektoratet har oppstilt.

0Endret ved forskrift 26 juni 2009 nr. 868 (i kraft 1 juli 2009).
§ 4-5.Internkontrollens innhold

Internkontroll innebærer at Helsedirektoratet skal ha kunnskap om gjeldende regler om behandling av helseopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av rutiner, samt ha denne dokumentasjonen tilgjengelig for dem den måtte angå. Internkontrollen skal blant annet inneholde:

a)oversikt over hvordan virksomheten er organisert,
b)oversikt over ansvars- og myndighetsforhold,
c)oversikt over de krav i og i medhold av helseregisterloven som gjelder for virksomheten,
d)rutiner virksomheten følger for å sikre overholdelse av kravene, herunder rutiner for:
-oppfyllelse av krav om at personidentifiserbare opplysninger bare behandles når dette er nødvendig for å fremme formålet med behandlingen av opplysningene, og i tråd med gjeldende bestemmelser om taushetsplikt, jf. helseregisterloven § 11 og § 15,
-dokumentasjon og kvalitetskontroll av helseopplysningene, jf. § 1-8 og § 2-4,
-oppfyllelse av begjæringer om informasjon og innsyn, jf. helseregisterloven § 21 til § 25, samt forskriften § 5-1,
-hvordan virksomhetene oppfyller bestemmelsene om utlevering av opplysninger fra helseregistre, jf. § 3-3 til § 3-7, herunder sammenstillinger,
-oppfyllelse av reglene om meldeplikt til Datatilsynet, jf. helseregisterloven § 29,
e)rutiner virksomheten følger dersom avvik oppstår og opplysninger om hvem som er ansvarlig,
f)rutiner virksomheten følger for å hindre gjentakelse av avvik og opplysninger om hvem som er ansvarlig,
g)rutiner for hvordan virksomheten systematisk og regelmessig gjennomgår sin internkontroll for å kontrollere at aktivitetene og resultatene av dem stemmer overens med det system virksomheten har fastlagt, og om det medfører oppfyllelse av helseregisterlovgivningen,
h)rutiner for hvordan virksomheten sikrer seg at alle aktuelle og kun gjeldende rutiner blir benyttet, og
i)rutiner for hvordan virksomheten sikrer at de ansatte har tilstrekkelig kompetanse til å overholde forskriftens krav.

Skriftlig dokumentasjon skal minst omfatte dokumentasjon av rutiner som nevnt i første ledd bokstav a til i. Tilsynsmyndighetene kan gi pålegg om skriftlig dokumentasjon ut over dette dersom det anses påkrevd.

0Endret ved forskrift 26 juni 2009 nr. 868 (i kraft 1 juli 2009).
§ 4-6.Forsterket tilsyn med Norsk pasientregister

Datatilsynet fører tilsyn med Norsk pasientregister, jf. helseregisterloven § 31 og personopplysningsloven § 42. Norsk pasientregister skal årlig gi Datatilsynet rapport om virksomheten.

Kapittel 5 - Den registrertes rett til informasjon og innsyn

§ 5-1.Den registrertes rett til informasjon og innsyn

Registrerte har rett til informasjon om Norsk pasientregister og innsyn i behandling av helseopplysninger om seg selv i samsvar med helseregisterloven § 22 til § 25. Registrerte har rett til innsyn i utleveringer som gis i personidentifiserbar form. Er den registrerte mindreårig, gjelder pasient- og brukerrettighetsloven § 3-4 tilsvarende.

Innsyn i helseopplysninger om en selv, jf. helseregisterloven § 22 andre ledd, skal fortrinnsvis gis gjennom den registrertes sist behandlende lege og helseinstitusjon. Informasjonen skal gis i en forståelig form.

0Endret ved forskrift 17 jan 2013 nr. 61.
§ 5-2.Frist for å svare på henvendelser om innsyn

Begjæringer om innsyn etter § 5-1 skal besvares uten ugrunnet opphold og senest innen 30 dager fra den dagen henvendelsen kom inn, jf. helseregisterloven § 19.

Dersom særlige forhold gjør det umulig å svare på henvendelsen innen 30 dager, kan gjennomføringen utsettes inntil det er mulig å gi svar. Den databehandlingsansvarlige skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis.

Kapittel 6 - Bevaring av helseopplysninger i Norsk pasientregister

§ 6-1.Bevaring av helseopplysninger

Opplysninger i Norsk pasientregister skal oppbevares i ubegrenset tid, med mindre annet følger av denne forskriften eller helseregisterloven § 26 eller § 28.

§ 6-2.Bevaring og bruk av opplysninger underlagt tidligere konsesjoner

Avidentifiserte opplysninger samlet inn fra perioden 1997 kan bevares i ubegrenset tid, med mindre annet følger av denne forskriften eller helseregisterloven § 26 eller § 28.

De avidentifiserte opplysningene kan brukes i tråd med registerets daværende konsesjon og formål.

Kapittel 7 - Avsluttende bestemmelser

§ 7-1.Overgangsbestemmelse

Det er kun pasienter som behandles etter ikrafttredelse av lov 16. februar 2007 nr. 7 om endring i helseregisterloven (Norsk pasientregister) som skal registreres i det personidentifiserbare Norsk pasientregister. For pasienter som behandles etter lovens ikrafttredelse, men som ble henvist til spesialisthelsetjenesten før lovendringen trådte i kraft, vil henvisningsdata registreres i det personidentifiserbare Norsk pasientregister.

§ 7-2.Pålegg, tvangsmulkt og straff

Datatilsynet kan ved brudd på forskriften gi pålegg, jf. helseregisterloven § 32, og/eller fastsette tvangsmulkt, jf. helseregisterloven § 33.

Den som forsettlig eller grovt uaktsomt overtrer bestemmelser fastsatt i denne forskriften § 1-3 og § 4-1 straffes med bøter eller fengsel inntil ett år eller begge deler.

Medvirkning straffes på samme måte.

§ 7-3.Ikraftsetting

Forskriften trer i kraft fra den tid departementet bestemmer.1

1I kraft 15 april 2009, jf. vedtak 14 april 2009 nr. 408.
§ 7-4.Endringer i andre forskrifter

Fra forskriftens ikrafttredelse gjøres følgende endringer i andre forskrifter: - - -

Merknader til de enkelte kapitler og paragrafer i forskriften

Merknadene er en veiledning som utdyper innholdet i de enkelte bestemmelsene i forskriften. Merknadene er i seg selv ikke bindende. Forskriften og veiledningen bør leses i sammenheng for å få en best mulig forståelse av forskriftens bestemmelser.

Til § 1-1 Etablering av Norsk pasientregister

Forskriften gir hjemmelsgrunnlag for et landsomfattende personidentifiserbart Norsk pasientregister. Registeret ble etablert i 1997 med konsesjon fra Datatilsynet som et avidentifisert register. Stortinget vedtok 16. februar 2007 å etablere Norsk pasientregister som et personidentifiserbart register gjennom en endring i helseregisterloven § 8 tredje ledd. Dette innebærer at opplysningene kan registreres uten samtykke fra de registrerte.

Bestemmelsen gir hjemmel for etablering av Norsk pasientregister, og gir regler for innsamling og behandling av helseopplysninger i registeret. Hjemmelsgrunnlaget er helseregisterloven § 8 fjerde ledd, jf. tredje ledd. Med helseopplysninger menes både personopplysninger, administrative opplysninger og medisinske opplysninger, jf. definisjon i helseregisterloven § 2 nr. 1. Når personopplysninger og administrative opplysninger ligger i et helseregister og er knyttet til medisinske opplysninger, vil de anses å være helseopplysninger.

Til § 1-2 Norsk pasientregisters formål

Bestemmelsen angir formålene med Norsk pasientregister. Hovedformålet med registeret er administrasjon, styring og kvalitetssikring av spesialisthelsetjenesten. Aktivitetsdata benyttes blant annet til den aktivitetsbaserte finansieringen. Første ledd viderefører formålet med det avidentifiserte pasientregisteret. Det er hovedformålet som er bestemmende for hvilke opplysninger som kan registreres i Norsk pasientregister. Dette innebærer at registeret ikke kan utvides til å inneholde andre opplysninger selv om disse opplysningene ville være relevante og nødvendige for å ivareta for eksempel forskningsformål. Det vises til Ot.prp.nr.49 (2005-2006) side 31.

Andre ledd angir hvilke andre formål som de allerede registrerte opplysningene i Norsk pasientregister kan brukes til. I bestemmelsens andre ledd bokstav a fremgår det at Norsk pasientregister, ved siden av formålene som nevnt i første ledd, kan bidra til medisinsk og helsefaglig forskning for formål som nevnt. I bestemmelsens andre ledd bokstav b åpnes det for at Norsk pasientregister kan benyttes som grunnlag for etablering og drift av sykdoms- og kvalitetsregistre. Sykdoms- og kvalitetsregistre må ha egne bestemmelser om muligheten for å benytte Norsk pasientregister som datagrunnlag for sammenstilling og kvalitetssikring. I bestemmelsens bokstav c fremgår det at Norsk pasientregister kan bidra til kunnskap som grunnlag for forebygging av ulykker og skader. Ulykker og skader er nevnt som et eget formål i bokstav c, da dette innebærer innsamling av et eget datasett, jf. § 1-7 i tillegg til opplysningene i § 1-6. Ulykkes- og skadedata vil gi kunnskap som grunnlag for forebygging av ulykker og skader. Tilleggsdataene i § 1-7 kan benyttes til de øvrige formålene som nevnt i § 1-2.

Formålene for Norsk pasientregister er det redegjort for i Ot.prp.nr.49 (2005-2006) og høringsnotat av 20. september 2005.

Til § 1-3 Forbud mot bruk

Bestemmelsen viser til behandling av opplysninger etter kapittel 3 og forbyr bruk av opplysninger i Norsk pasientregister til visse formål.

Det heter i første ledd at opplysningene i Norsk pasientregister ikke kan anvendes til formål som er uforenelig med formålet til Norsk pasientregister, slik dette er nevnt i § 1-2. Bestemmelsen følger naturlig av helseregisterloven § 11 tredje ledd. Spørsmålet om bruk av opplysningene er uforenlig med formål som nevnt i § 1-3, må avgjøres konkret.

I tredje ledd følger det at opplysninger om enkeltindivider som er fremkommet ved behandling av helseopplysninger etter forskriften, ikke kan brukes i forsikringsøyemed, av påtalemyndighet eller domstol, eller av arbeidsgiver selv om den registrerte samtykker. Dette innebærer at Norsk pasientregister ikke kan utlevere opplysninger fra registeret til nevnte instanser. Hensikten med forbudet er videre at ingen skal føle seg presset til å be om innsyn i Norsk pasientregister for så å gi opplysninger videre til for eksempel et forsikringsselskap, som grunnlag for en forsikringsavtale. Ot.prp.nr.74 (2006-2007) (helseforskningsloven) foreslår et lignende formål vedrørende påtalemyndighet og domstol, men med unntak. Forskriften for Norsk pasientregister har ikke et slikt unntak da det vil være mer aktuelt å eventuelt benytte pasientjournal i henhold til helsepersonelloven kapittel 5, og ikke registeret.

Forsettlig eller grovt uaktsom overtredelse av denne bestemmelsen straffes med hjemmel i § 7-2.

Til § 1-4 Databehandlingsansvarlig og databehandler

Det er etter § 1-4 Helsedirektoratet som er databehandlingsansvarlig for Norsk pasientregister, mens databehandleroppgaven er lagt til en avgrenset organisatorisk enhet innenfor Helsedirektoratet som i denne forskriften kalles Norsk pasientregister. Norsk pasientregister er i forskriften både benyttet som navn på registeret og som navn på den enheten som har databehandlerfunksjonen (registerfører). Det følger uttrykkelig av helseregisterloven § 13 og § 4-3 i denne forskriften at tilgang til registeret kun kan gis ansatte i enheten for Norsk pasientregister i den grad det er nødvendig for vedkommendes arbeid. Øvrige ansatte i Helsedirektoratet skal ha utlevert opplysninger i henhold til utleveringsbestemmelsene i kapittel 3 på lik linje med andre fag- og forskningsmiljøer.

Databehandler er i helseregisterloven § 2 nr. 9 definert som den som behandler helseopplysninger på vegne av den databehandlingsansvarlige. Det følger av helseregisterloven § 18 at en databehandler ikke kan behandle helseopplysninger på annen måte enn det som er skriftlig avtalt med den databehandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til andre for lagring eller bearbeidelse. Det kan ikke gjøres avtaler som er i strid med bestemmelsene i helseregisterloven eller denne forskrift.

Det følger av helseregisterloven § 29 og § 30 at Datatilsynet skal informeres om navn og adresse til eventuell databehandler, og om hvem som har det daglige ansvaret for å oppfylle den databehandlingsansvarliges plikter etter forskriften.

Bakgrunnen for at databehandlingsansvarlig- og databehandlerbegrepet ikke benyttes videre i forskriften, men at navnene på de som er databehandlingsansvarlig og databehandler benyttes, er for å gjøre forskriften lettere tilgjengelig for leseren og for bedre å tydeliggjøre ansvarsforholdene.

Til § 1-5 Norsk pasientregisters innhold

Bestemmelsens første ledd angir hvem det kan registreres helseopplysninger om i Norsk pasientregister. Norsk pasientregister kan kun inneholde opplysninger om helsehjelp gitt til pasienter i spesialisthelsetjenesten, jf. spesialisthelsetjenesteloven § 2-1a. Helsehjelp i spesialisthelsetjenesten utført av private spesialister som har avtale med et regionalt helseforetak omfattes av spesialisthelsetjenesteloven § 2-1a.

Bestemmelsens andre ledd angir at det kan registreres opplysninger fra akuttmottak ved sykehus, legevakter tilknyttet sykehus og enkelte kommunale legevakter i helsetjenesten ved skader og ulykker. Legevakttjeneste er en lovpålagt oppgave i kommunehelsetjenesteloven. Helseregisterloven § 9 slår fast at virksomheter som tilbyr eller yter tjenester etter blant annet kommunehelsetjenesteloven og spesialisthelsetjenesteloven plikter å utlevere opplysninger som bestemt i forskrift. Departementet kan i henhold til § 2-1 bestemme hvilke kommunale legevakter som skal melde til Norsk pasientregister.

Bestemmelsens tredje ledd åpner for at Norsk pasientregister kan inneholde opplysninger om pasienter som mottar behandling i utlandet. Vilkåret er at pasienten er henvist fra spesialisthelsetjenesten i Norge. Bakgrunnen er at pasienter som er henvist til behandling i utlandet har betydning for oppfyllelsen av hovedformålet med registeret, herunder den aktivitetsbaserte finansieringen. Å samle inn opplysninger om pasienter som har fått behandling i utlandet, men som ikke har henvisning fra spesialisthelsetjenesten i Norge, vil være i strid med formålsbestemmelsen i § 1-2.

Til § 1-6 Opplysninger i Norsk pasientregister

Det følger av helseregisterloven § 8 tredje ledd at Norsk pasientregister kan inneholde personidentifiserbare opplysninger uten at den registrerte har samtykket, i den utstrekning det er nødvendig for å nå formålet med registeret. Det er bare de opplysninger som er relevante for den behandling man har fått som kan og skal registreres i Norsk pasientregister. Et eksempel for å belyse det nærmere; er en kvinne innlagt for en fødsel, er det de medisinske og administrative diagnosene tilknyttet fødselsoppholdet som skal registreres. Andre diagnoser kvinnen har skal ikke registreres, med mindre disse har hatt relevans ved innleggelsen og behandlingen. Videre vil opplysninger etter § 1-6 femte ledd som regel bare være relevante i forbindelse med innleggelser/behandling relatert til rus eller psykiatri.

Bestemmelsens andre ledd refererer seg til personopplysninger som skal registreres; fødselsnummer og bostedskommune. Registeret kan inneholde annen identifikasjon for personer uten norsk fødselsnummer. I de tilfeller hvor barn ikke har personnummer, skal det opplyses enten om mors/omsorgspersons fødselsnummer eller mors/omsorgspersons fødselsdato.

Bestemmelsens tredje ledd refererer seg til administrative opplysninger som navn på behandlende institusjon der helsehjelp tilbys og ytes. Tredje ledd bokstav d: «om pasientrettigheter» viser for eksempel om pasienten er en rettighetspasient som har rett til behandling, om det foreligger en individuell plan, frister for behandling med mer. Tredje ledd bokstav f: «samtykkeadministrative opplysninger» vil fremgå der hvor en pasient er forespurt om å delta i et eller flere sykdoms- eller kvalitetsregistre, og har gitt tillatelse til at det eller de aktuelle registrene kan benytte opplysninger fra Norsk pasientregister. Opplysningene som vil fremgå i Norsk pasientregister er administrative på den måte at de ikke sier noe annet enn om pasienten har sagt ja/nei eller om det ikke foreligger svar.

Bestemmelsens fjerde ledd refererer seg til medisinske opplysninger. Eksempler på slike data ved siden av tidspunkt for oppstart og avslutning av behandling, er diagnose og diagnosekoder.

Bestemmelsens femte ledd gir hjemmel for, i enkelte tilfeller, å registrere om opplysninger boligforhold og omsorgssituasjon.

Norsk pasientregister må gi de data som skal til for styring av alle aspekter av de regionale helseforetakenes ansvarsfelt. Norsk pasientregister må derfor være tilpasset ulike sykdomsforløp, noe som innebærer at enkelte sosiale variabler må legges inn i registeret. Det er helt nødvendig at Norsk pasientregister regelmessig kobles mot andre registre for å kunne sikre at spesialisthelsetjenesten klarer å nå målet om å gi helsetjenester av høy kvalitet til hele befolkningen, uavhengig av bosted og sosial bakgrunn. Det er kun de sosiale variablene som er nødvendige for å ivareta hovedformålet som skal kunne registreres i registeret, her spiller blant annet hensynet til de internasjonale forpliktelsene Norge har knyttet til å levere statistikk til EUs overvåkningsorgan for narkotika og narkotikamisbruk (EMCDDA) inn. Sosiale opplysninger som er nødvendige for administrasjon og styring, og som ikke kan innhentes ved å koble med andre registre, må innhentes av Norsk pasientregister. For psykisk helsevern og tverrfaglig spesialisert behandling av rusmiddelmisbrukere er dette informasjon knyttet til boligforhold (herunder hvilke boligforhold pasienten har bodd under de siste fire ukene) og omsorgssituasjon/samlivssituasjon (herunder graviditet, omsorg for barn, hvem pasienten bor sammen med og om barnevernet er koplet inn i et syketilfelle).

Det kan ikke gjøres endringer i § 1-6 og § 1-7 som innebærer at det vil registreres opplysninger som går ut over hovedformålet for registeret. Det må være nødvendig og relevant for hovedformålet for at det skal være mulig å utvide innholdet i § 1-6 og § 1-7. Dette er hovedgrunnen til at formuleringen «hovedformål» er benyttet, nettopp for ikke å kunne utvide registerdata med opplysninger som hadde vært nyttig til for eksempel forskningsformål.

Til § 1-7 Opplysninger om ulykker og skader

Bestemmelsen omhandler hvilke opplysninger om ulykker og skader som kan registreres i Norsk pasientregister i tillegg til opplysningene som nevnt i § 1-6. Bakgrunnen for å ha opplysninger om ulykker og skader i Norsk pasientregister er å etablere en samlet skadestatistikk som gir oss et godt grunnlag for å prioritere og iverksette konkrete tiltak overfor definerte problemstillinger eller målgrupper. Opplysningene inkluderes i NPR fordi registeret allerede vil inneholde alle skader som behandles ved sykehus, hvilket utgjør de fleste ulykker og skader som etter § 1-5 skal meldes til registeret, og alle alvorlige skader. De opplysningene som kommer i tillegg til det datasettet som registreres i NPR etter § 1-6 er i hovedsak opplysninger av ikke-sensitiv karakter.

Opplysninger om skade- og ulykker er nødvendig for skade- og ulykkesforebyggende arbeid, generell planlegging, utarbeidelse av statistikk og helsetjenesteforskning. Data om hvem som skades, hvordan det skjer (opplysninger om selve skadehendelsen og om det for eksempel er bil- eller sykkelulykke), og når det skjer gir viktig grunnlag for å kunne sette inn målrettet og effektiv forebyggende innsats mot ulykker. Ulykker er et stort folkehelseproblem og medfører et betydelig antall skader og drepte hvert år. Ulykkesskader belegger også til enhver tid omtrent ti prosent av alle senger ved norske sykehus. God statistikk, sammen med utvikling av riktige og gode registrerings- og analysemetoder er sentralt for å kunne lykkes i skadeforebyggende arbeid. Registreringen av skadedata i Norsk pasientregister vil videre gi en verdifull mulighet for å se opplysninger om ulike typer skader opp mot påfølgende behandlingsforløp i spesialisthelsetjenesten. Å bidra til kunnskap som kan gi grunnlag for forebygging av skader og ulykker er et av formålene for Norsk pasientregister, jf. § 1-2 andre ledd bokstav c.

Opplysningene i § 1-7 vil være et «felles minimum datasett» (FMDS). Det er lagt vekt på at datasettet skal være så begrenset som mulig, samtidig som det skal gi grunnlag for god nasjonal statistikk med hovedvekt på å overvåke skadefrekvens og skadetype. Det er bare der opplysninger/variabler er relevante og nødvendige (jf. helseregisterloven § 11) at variabelen skal registreres i NPR. For eksempel vil arbeidsgivers bransje bare være relevant i forbindelse med arbeidsulykker.

Ulykkes- og skaderegistrering har vært utredet i Helsedirektoratet i samarbeid med blant annet KITH (Kompetansesenter for IT i helse- og sosialsektoren). Det er i tillegg til FMDS, som er tatt inn i NPR gjennom § 1-7, utarbeidet tre «skadespesifikke minimum datasett» (SMDS) for henholdsvis produktrelatert skade, veitrafikkskade og arbeidsskade. Disse er ikke en del av Norsk pasientregister, men vil kunne initieres prosjektbasert. For registrering og innsamling av SMDS vil det måtte søkes om konsesjon i hvert enkelt tilfelle, på lik linje med forskningsprosjekter. Dette vil være tidsbegrensede lokale eller regionale prosjekter. NPR (Helsedirektoratet) vil kunne være databehandler for slike prosjekter, men opplysningene må lagres separat fra Norsk pasientregister-databasen.

Alle akuttmottak ved somatiske sykehus og legevakter knyttet til sykehus skal melde inn opplysningene i § 1-6 og FMDS i § 1-7. Det samme gjelder for enkelte kommunale legevakter, jf. § 1-5 og § 2-1.

Til § 1-8 Koding og klassifisering av opplysningene i Norsk pasientregister, krav til dokumentasjon

Bestemmelsen omhandler koding og klassifisering av opplysninger i Norsk pasientregister og setter krav til dokumentasjon. Helsedirektoratet skal ved enhver registrering i Norsk pasientregister kunne dokumentere hvilke kodeverk eller klassifikasjoner som er brukt. Hensikten med bestemmelsen er å lette tilgjengeligheten på opplysningene i Norsk pasientregister. Opplysningene som sendes inn til Norsk pasientregister, registreres der i kodet form. For at innholdet i registeret og de medisinske opplysninger skal bli tilgjengelig og forståelig for dem som skal bruke opplysningene i konkrete forskningsprosjekter mv., må brukerne vite hva de ulike kodene betyr, dvs. den kodete informasjonen må oversettes til norsk språk eller medisinsk terminologi.

Til § 2-1 Plikt til innsending av opplysninger og forhold til taushetsplikt

Det følger av bestemmelsen at helsepersonell er ansvarlig for å registrere opplysninger etter § 1-6 og § 1-7. Videre skal virksomheten sørge for å melde inn opplysninger og sørge for at det finnes rutiner som sikrer at pliktene til registrering og innmelding av opplysninger oppfylles. Virksomheten må ha utarbeidet systemer som sikrer at helsepersonellet og virksomheten oppfyller sine plikter, jf. helseregisterloven § 9 og helsepersonelloven § 37.

I andre ledd fremkommer det at det er departementet som bestemmer hvilke legevakter som skal rapportere til registeret vedrørende ulykker og skader. Med «enkelte kommunale legevakter» er det i første omgang kommunale legevakter i større byer det er planlagt at skal melde inn opplysninger til Norsk pasientregister. Fastleger omfattes ikke av bestemmelsen. Departementet bestemmer hvilke kommunale legevakter som skal melde til registeret. Legevakttjeneste er en lovpålagt oppgave i kommunehelsetjenesteloven. Helseregisterloven § 9 slår fast at virksomheter som tilbyr eller yter tjenester etter blant annet kommunehelsetjenesteloven og spesialisthelsetjenesteloven plikter å utlevere opplysninger som bestemt i forskrift.

Bestemmelsens tredje ledd angir klart at lovbestemt taushetsplikt ikke er til hinder for å melde opplysninger etter § 1-6 og § 1-7 til Norsk pasientregister. Helsepersonell er underlagt taushetsplikt etter helsepersonelloven § 21, videre er enhver som utfører tjeneste i arbeid for helseinstitusjon etter spesialisthelsetjenesteloven underlagt taushetsplikt, jf. § 6-1. Ansatte ved Norsk pasientregister er underlagt taushetsplikt etter § 4-1 og helseregisterloven § 15.

Denne bestemmelsen og § 2-2 tilsvarer § 2-1 og § 2-3 i de andre forskriftene med hjemmel i helseregisterloven § 8 tredje ledd der helsepersonell pålegges en meldeplikt.

Til § 2-2 Rutiner for innsending mv.

Det følger av bestemmelsen at opplysninger til Norsk pasientregister skal meldes på den måte som er fastsatt av Helsedirektoratet.

Det heter i andre ledd at databehandlingsansvarlig kan sette krav om bruk av bestemte klassifikasjoner og kodeverk ved registrering av opplysningene, og gi pålegg om bruk av standardiserte meldingsformater ved forsendelsen av opplysningene, for eksempel for å sørge for sikkerhet ved forsendelsen gjennom eksempelvis kryptering av forsendelsen.

Til § 2-3 Avsenders plikter til kvalitetskontroll

Bestemmelsen pålegger avsender av data å foreta en kvalitetskontroll av de data som rapporteres og å påse at dataene som gis til Norsk pasientregister er komplette. Dette skal gå inn som en del av virksomhetens internkontroll.

Til § 2-4 Mottakers ansvar for kvalitetskontroll

Bestemmelsen fastslår at Helsedirektoratet som databehandlingsansvarlig for Norsk pasientregister skal sørge for at helseopplysninger som registreres i registeret, er korrekte, relevante og nødvendige for de formål de innsamles for, jf. § 1-2. Andre punktum fastslår at som ledd i kvalitetskontrollen kan det gjennomføres rutinemessige samkjøringer mot Det sentrale folkeregister og de øvrige navngitte helseregistrene.

Det kan foretas en nærmere kvalitetskontroll av opplysninger i Norsk pasientregister gjennom at registeret gis anledning til å sammenlikne innsendte opplysninger med innsenders dokumentasjon. Dette kan for eksempel være pasientjournal, sykepleierapporter eller liknende. Slik kvalitetskontroll kan gjøres av Norsk pasientregister gjennom kompetent helsepersonell som arbeider under registerets instruksjonsmyndighet, jf. helseregisterloven § 13. Kvalitetskontroll etter andre ledd kan bare skje hos innsender av opplysningene (sykehuset), hvilket innebærer at opplysninger fra kildedokumentet (pasientjournal eller lignende) ikke skal sendes til registeret. Kvalitetskontroll etter andre ledd skal meldes til Datatilsynet etter helseregisterloven § 29.

Tredje ledd i forskriften fastslår at dersom meldingsskjema er mangelfullt utfylt, skal avsenderen av skjema varsles. Bestemmelsen er en presisering av helseregisterloven § 9 andre ledd andre punktum. Mangelfullt utfylt skjema omfatter også ikke-utfylt skjema. Ved fortsatt mangelfull utfylling av skjema kan Fylkesmannen varsles. Dersom det må gjøres gjentatte purringer (mer enn to), anses dette å være fortsatt mangelfull utfylling av skjema. 

Til kapittel 3 om behandling av helseopplysninger i Norsk pasientregister

Kapittel 2 gir bestemmelser om Norsk pasientregisters behandling av opplysninger i forbindelse med innsamling, kvalitetskontroll mv., mens kapittel 3 gir regler om videre behandling, herunder tilrettelegging, sammenstilling og utlevering av opplysningene i registeret.

Bestemmelsene i § 3-1 og § 3-2 gir regler om tilrettelegging av opplysninger i Norsk pasientregister og om sammenstilling av opplysninger i Norsk pasientregister med opplysninger fra andre registre, statistikkproduksjon mv. Bestemmelsene i § 3-3- til § 3-7 gir nærmere regler om utlevering av opplysninger fra registeret (§ 3-3 til § 3-7) til en mottaker.

Mottaker av opplysningene kan være forsker, helsetjeneste, helseforvaltning eller andre som ønsker utlevert opplysninger fra registeret for utføring av oppgaver i tråd med formålene for Norsk pasientregister. Dersom mottaker ønsker statistikk/anonyme opplysninger, kreves det ikke at mottaker har eget hjemmelsgrunnlag, da slike opplysninger faller utenfor helseregisterloven. Norsk pasientregister har plikt til å utlevere slike opplysninger dersom de skal benyttes innenfor formålet, jf. § 3-5. Dersom mottaker ønsker utlevert avidentifiserte opplysninger kreves det at vilkårene i § 3-4 er oppfylt. Norsk pasientregister skal vurdere om vilkårene er oppfylt før utlevering finner sted. Mottaker av avidentifiserte opplysninger får det nødvendige hjemmelsgrunnlag for å behandle opplysningene ved å sende melding til Datatilsynet. Dersom mottaker ønsker utlevert personidentifiserbare opplysninger, eller utlevering ikke har hjemmel i øvrige utleveringsbestemmelser, kreves det konsesjon fra Datatilsynet, (eventuelt unntak fra konsesjon etter personopplysningsforskriften § 7-27), jf. § 3-6. Det er alltid et krav om at opplysningene skal benyttes til uttrykkelig angitte formål innenfor registerets formål.

Kapittel 3 i forskrift for Norsk pasientregister er formulert noe annerledes enn kapittel 3 i Dødsårsaksregisterforskriften, Kreftregisterforskriften, Medisinsk fødselsregisterforskriften, SYSVAK-registerforskriften og kapittel 4 i MSIS- og Tuberkuloseregisterforskriften. Datatilsynet har påpekt overfor Helse- og omsorgsdepartementet at behandlingsbestemmelsene i disse forskriftene er vanskelig tilgjengelige, og har ønsket at departementet fjerner uklarheter og presiserer forskriftsteksten. Helse- og omsorgsdepartementet har i denne forskriften søkt å foreta en slik presisering. Blant annet er alle frister samlet i en egen bestemmelse, og vilkårene for utlevering samlet i bestemmelsen for utlevering av avidentifiserte opplysninger i § 3-4. Kapitelet er videre bygget opp slik at § 3-1 og § 3-2 gir bestemmelser for Norsk pasientregisters behandling av opplysninger i eget register og hjemmel for sammenstilling med andre uttrykkelig nevnte registre. § 3-3 er en særlig bestemmelse for aktivitetsbasert finansiering, mens § 3-4 til § 3-7 omhandler utlevering av opplysninger. Frister er samlet i § 3-8, kostnader i § 3-9 og oversikt over utleveringer i § 3-10. Kapittelet har også i likhet med de øvrige registerforskriftene en bestemmelse i § 3-11 om informasjonsstrategi rettet mot brukergrupper.

Enkelte av bestemmelsene i kapittel 3 er spesielle for Norsk pasientregister, og gjelder Norsk pasientregisters funksjon i forhold til den aktivitetsbaserte finansieringen (§ 3-3) og til sykdoms- og kvalitetsregistre (§ 3-7). De øvrige bestemmelsene i kapittel 3 er generelle og skal ha samme innhold og funksjon som bestemmelser i de øvrige forskriftenes behandlingskapitler. I merknadene til den enkelte bestemmelse vises det derfor til hvor det samme er regulert i de øvrige registerforskriftene.

Direkte tilgang til Norsk pasientregister kan bare gis den som arbeider i registeret. Helseregisterloven § 13 slår fast at «Bare den databehandlingsansvarlige, databehandlere og den som arbeider under databehandlers instruksjonsmyndighet, kan gis tilgang til helseopplysninger. Tilgang kan bare gis i den grad dette er nødvendig for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt.» Forskriften § 4-3 slår fast at tilgang til registeret kun kan gis personer som er ansatt for drift og utvikling av registeret, så langt det er nødvendig for vedkommendes arbeid. Disse rammene innebærer at tilgang til opplysninger i registeret kun gjelder for ansatte i Helsedirektoratet, avdeling Norsk pasientregister som er databehandler/registerfører. For at disse skal kunne samle inn data, sørge for god datakvalitet, sammenstillinger, drift, service og vedlikehold av registeret, må de ha tilgang til registeret. Tilgang til ukryptert personidentifikasjon kan etter § 4-3 bare gis spesielt autoriserte personer som har behov for det i sitt arbeid.

Øvrige ansatte i Helsedirektoratet (som er databehandlingsansvarlig), herunder personer som arbeider med styring og finansiering av spesialisthelsetjenesten, og som ønsker tilgang til opplysninger fra Norsk pasientregister, skal utleveres data etter bestemmelsene i § 3-3 til § 3-6. Mottakere av NPR-data som er ansatt i Helsedirektoratet skal altså i kapittel 3 likestilles med eksterne mottakere, og disse skal oppfylle de samme kravene til utlevering, herunder eventuell melding til Datatilsynet. Dette systemet gjelder også i de øvrige registerforskriftene etter helseregisterloven § 8.

Til § 3-1 Statistikk fra Norsk pasientregister

Bestemmelsen gir hjemmelsgrunnlag for utarbeidelse av statistikk fra Norsk pasientregister og statistikk fra Norsk pasientregister og en eller flere av de nevnte registrene. Adgangen til å koble med andre registre gjør det mulig å fortsatt ha et snevert datasett i Norsk pasientregister, samtidig som registeret kan benyttes som utgangspunkt for statistikk som inneholder variabler utover Norsk pasientregisters datasett. Dette gjelder blant annet i forhold til internasjonale rapporteringsplikter på rusfeltet som forutsetter at det utarbeides jevnlig statistikk som inneholder flere variabler enn de som ligger i Norsk pasientregister alene.

De registre § 3-1 og § 3-2 gir hjemmel for sammenstilling med er Dødsårsaksregisteret, Kreftregisteret, Medisinsk fødselsregister, Meldingssystem for smittsomme sykdommer, Det sentrale tuberkuloseregisteret og System for vaksinasjonskontroll som alle er personidentifiserbare sentrale helseregistre med hjemmel i helseregisterloven § 8 tredje ledd. Norsk pasientregister kan også sammenstilles med Reseptregisteret som er et pseudonymt register. I tillegg kan Norsk pasientregister sammenstilles med Folkeregisteret og sosioøkonomiske registre i Statistisk sentralbyrå. De opplysningene som vil være mest aktuelle å sammenstille med vil være Folkeregisteret (særlig opplysninger om sivilstand, fødeland, eventuell landbakgrunn/innvandringskategori), Utdanningsregisteret og registre med inntekts- og yrkesopplysninger. De opplysningene som sammenstilles skal være avgrenset, relevant og nødvendig for uttrykkelig angitte formål som er i tråd med formålene for Norsk pasientregister. Bestemmelsen gir hjemmel for kopling med de nevnte hovedregistre, og ikke med eventuelle spesialregistre/kvalitetsregistre tilknyttet disse.

Ved sammenstilling gir bestemmelsen hjemmel for Norsk pasientregister å oversende fil til de andre spesifikt nevnte registrene, og tilsvarende hjemmel for de nevnte registrene å oversende fil til Norsk pasientregister. I tillegg gir bestemmelsen behandlingsgrunnlag for selve sammenstillingen av registrene. Sammenstilling innebærer at et register tilføres data fra et annet register (med mindre en tiltrodd tredjepart utfører sammenstillingen). Det følger av Ot.prp.nr.5 (1999-2000) side 118 at sammenstilling også omfatter innhenting fra et register til et annet som ikke hadde opplysningen fra før. For å kunne lagre den nye opplysningen må mottakerregisteret kunne inneholde den nye opplysningen, jf. § 1-6 og § 1-7.

Det er et krav at statistikkfremstillingen gjøres av den databehandlingsansvarlige for ett av de nevnte registrene eller i en virksomhet som departementet bestemmer (tiltrodd tredjepart). Det bør fortrinnsvis være det register som har de fleste variablene i sammenstillingen som bør utføre oppgaven. Dersom opplysninger fra Norsk pasientregister skal sammenstilles med opplysninger fra Reseptregisteret, som er pseudonymt, skal koblingen gjennomføres av Reseptregisteret. NPR-data vil da bli pseudonymisert for sammenstilling med pseudonyme Reseptregisterdata.

§ 3-1 gir hjemmel for utarbeidelse av statistikk. Det innebærer at resultatet av behandlingen, herunder sammenstillingen, er anonyme opplysninger. Helseregisterloven § 2 nr. 3 definerer anonyme opplysninger som «opplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til enkeltperson». Hvorvidt statistikken eller tabelldataene er tilstrekkelig anonymisert, må vurderes i det enkelte tilfelle. Ved publisering av tabeller på lokalt og regionalt nivå har det i praksis vært lagt til grunn 4 eller 5 enheter. Det innebærer at en ikke oppgir enheter som svarer til færre enn 4 eller 5 personer. I tilfeller der statistikken skal inneholde for eksempel mange variabler eller sjeldne diagnoser, vil det ikke alltid være mulig å utlevere statistikk. Eventuelt må geografiske enheter må slås sammen for at det ikke skal være mulig å gjenkjenne personer.

Tredje ledd fastslår at helseopplysninger som Norsk pasientregister mottar fra andre registre for fremstilling av statistikk etter første ledd, skal slettes så snart sammenstillingen er tilfredsstillende gjennomført. Bestemmelsen følger naturlig av helseregisterloven § 27 første ledd om at helseopplysninger ikke skal lagres lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen av helseopplysningene.

Norsk pasientregister skal utlevere statistikk i henhold til § 3-5.

Bestemmelsen tilsvarer § 3-1 i Dødsårsaksregisterforskriften, Kreftregisterforskriften, Medisinsk fødselsregisterforskriften, SYSVAK-registerforskriften og § 4-1 i MSIS- og Tuberkuloseregisterforskriften.

I tillegg til at Hjerte- og karregisteret inntas i andre ledd, endres sosioøkonomiske registre i Statistisk sentralbyrå til sosioøkonomiske data. Sosioøkonomiske registre var inntatt inkurie ved forskriftens vedtagelse.

Til § 3-2 Tilrettelegging av avidentifiserte opplysninger i Norsk pasientregister og sammenstilling med andre registre

Bestemmelsen gir i første ledd hjemmel for bearbeiding og tilrettelegging av Norsk pasientregisterdata til avidentifiserte filer. Annet ledd gir hjemmel for sammenstilling av Norsk pasientregisterdata med de andre registrene som er nevnt, for utarbeidelse av avidentifiserte filer.

Ved sammenstilling gir bestemmelsen hjemmel for Norsk pasientregister til å oversende data til de andre spesifikt nevnte registrene, og tilsvarende hjemmel for de nevnte registrene å oversende fil til Norsk pasientregister. I tillegg gir bestemmelsen hjemmel for selve sammenstillingen av registrene som skal resultere i et avidentifisert datasett.

Det er et krav at sammenstillingen gjøres av den databehandlingsansvarlige for ett av de nevnte registrene eller i en virksomhet som departementet bestemmer (tiltrodd tredjepart). Dersom opplysninger fra Norsk pasientregister skal sammenstilles med opplysninger fra Reseptregisteret, som er pseudonymt, skal koblingen gjennomføres av Reseptregisteret. NPR-data vil da bli pseudonymisert for sammenstilling med pseudonyme Reseptregisterdata.

Helseregisterloven § 2 nr. 2 definerer avidentifiserte opplysninger som «helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysninger som tidligere ble fjernet». Avidentifiserte data er anonyme på forskerens hånd. De er imidlertid ikke anonyme hos den instans som beholder en nøkkelfil (også kalt en koblingsbro), som gjør at personidentifikasjon kan tilbakeføres, eller det avidentifiserte datasettet kan tilføres nye opplysninger. Det vises også til merknaden til § 3-4.

Både Norsk pasientregister og eventuelt register som skal kobles med opplysninger i Norsk pasientregister skal forsikre seg om at behandling (herunder sammenstilling) er i tråd med uttrykkelig angitt formål innenfor registrenes formål.

Norsk pasientregister (eller annet register som nevnt i § 3-1/tiltrodd tredjepart) må sørge for, og vil være ansvarlig for selve prosessen med å sammenstille, kvalitetssikre og tilrettelegge dataene. Først etter denne prosessen vil dataene være avidentifiserte. I annet ledd heter det at sammenstilte helseopplysninger ikke kan lagres med fødselsnummer. De direkte identifiserende opplysninger som mottas for behandlingen slettes så snart sammenstillingen er tilfredsstillende gjennomført slik at det ikke lagres kopier av identifiserende helseopplysninger utenfor Norsk pasientregister-databasen. Norsk pasientregister eller annen instans som foretar sammenstillingen kan beholde nøkkelfil/koblingsbro for sammenstillingen.

Utlevering av avidentifiserte opplysninger som tilrettelegges og eventuelt sammenstilles i Norsk pasientregister etter denne bestemmelsen skal skje i henhold til § 3-4.

Bestemmelsen tilsvarer § 3-2 i Dødsårsaksregisterforskriften, Kreftregisterforskriften, Medisinsk fødselsregisterforskriften, SYSVAK-registerforskriften og § 4-2 i MSIS- og Tuberkuloseregisterforskriften.

Til § 3-3 Tilrettelegging og utlevering av opplysninger for aktivitetsbaserte finansieringsordninger

Norsk pasientregister har som hovedformål å benyttes til administrasjon, styring og kvalitetssikring av spesialisthelsetjenester. Den aktivitetsbaserte finansieringen er et område der det er behov for regelmessig tilgang på opplysninger fra Norsk pasientregister. Denne bestemmelsen regulerer derfor Norsk pasientregisters utlevering av opplysninger for etablerte aktivitetsbaserte finansieringsordninger.

Bestemmelsen slår fast at opplysningene tilrettelegges av Norsk pasientregister og utleveres til Helsedirektoratet. Forholdet mellom Norsk pasientregister og direktoratet er redegjort for i merknad til § 1-4 og generelle merknader til kapittel 3. Det er opplysninger fra registeret som er «nødvendige for drift og utvikling av etablerte aktivitetsbaserte finansieringsordninger», dvs. som er relevante og nødvendige (jf. helseregisterloven § 11) for utførelse av de aktuelle oppgavene som kan utleveres. Sekundærbruk (bruk av utleverte opplysninger til andre formål) er ikke tillatt da det krever eget hjemmelsgrunnlag.

Helsedirektoratet har ansvaret for gjennomføring av de aktivitetsbaserte finansieringsordningene. Ved etableringen av Innsatsstyrt finansiering (ISF) i 1997 var det en forutsetning å ha tilgjenglige data om aktiviteten ved norske sykehus og dette er en av hovedårsakene til at Norsk pasientregister ble opprettet samme år. Til ISF benyttes delvis det samme datagrunnlaget som ligger til grunn for nasjonal statistikk, styring og kvalitetssikring av spesialisthelsetjenesten. Dagens ISF omfatter somatiske sykehustjenester og noen utvalgte avtalespesialister innenfor somatiske fag.

Norsk pasientregister samler inn, kvalitetskontrollerer og tilrettelegger aktivitetsdata for både ISF og nasjonal statistikk. En del av tilretteleggingen består i at sykehusopphold DRG-grupperes. Det gjøres for å få en mer oversiktlig beskrivelse av aktiviteten i sykehusene og for å kunne knytte ressursbruk til aktivitet som brukes som grunnlag i finansieringen.

I arbeidet med drift av dagens finansieringssystem er det behov for at data utleveres fra Norsk pasientregister på oppholdsnivå. Bestemmelsen fastslår at det ikke skal utleveres opplysninger med direkte personidentifiserende kjennetegn. Med dette menes at opplysningene skal avidentifiseres så langt det lar seg gjøre. Finansieringssystemet fordeler inntekter til de regionale helseforetak etter pasientens bosted. Utbetalingene beregnes blant annet basert på informasjon om pasientens kjønn, alder, diagnose og utført prosedyre som sammen med administrativ informasjon om oppholdet (for eksempel overført fra en navngitt institusjon til en annen) gjør at bakveisidentifisering kan være mulig. Det skal kun utleveres opplysninger som er relevante og nødvendige for å ivareta drift, kontroll og mindre tilpasninger av dagens finansieringsordninger, jf. helseregisterloven § 11.

ISF-ordningen vurderes også utvidet til å omfatte større deler av spesialisthelsetjenesten, poliklinikk, rus, rehabilitering og psykisk helsevern. Ved utredning og gjennomføring av større endringer som for eksempel at ordningen utvides til å omfatte andre deler av spesialisthelsetjenester, endringer i logikk som innebærer behov for nye opplysninger om pasienten eller behandlingen skal utlevering skje i henhold § 3-4, § 3-5 og § 3-6. Dersom det bestemmes at ISF-ordningen utvides til å gjelde nye områder, vil utleveringene skje i henhold til første ledd.

Opplysninger som utleveres for gjennomføring av aktivitetsbaserte finansieringsordninger skal slettes så snart oppgavene er utført. Opplysninger skal uansett ikke oppbevares lenger enn inntil 5 år etter avsluttet driftsår. Det generelle prinsipp om å ikke lagre opplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen følger av helseregisterloven § 27. Dersom det er behov for eldre data for sammenlikningsformål eller lignende, skal opplysningene utleveres i henhold til § 3-4, § 3-5 eller § 3-6.

Til § 3-4 Utlevering av avidentifiserte opplysninger

Denne bestemmelsen gir regler om utlevering av avidentifiserte opplysninger som er tilrettelagt, sammenstilt eller på annen måte behandlet i Norsk pasientregister etter § 3-2.

Første ledd gir forskere, eventuelt andre som har oppgaver innen helsetjenesten og helseforvaltningen, adgang til å få utlevert tilrettelagte avidentifiserte data fra Norsk pasientregister (ikke-koblede data). Etter første ledd skal det videre gis tilgang til sammenstilte data fra Norsk pasientregister og ett eller flere av de uttrykkelig angitte registrene i § 3-1 annet ledd. Også disse opplysningene skal være avidentifiserte. Bestemmelsen gir hjemmel for Norsk pasientregister å utlevere opplysninger, og mottaker får hjemmelsgrunnlag for behandlingen av opplysningene gjennom melding til Datatilsynet. Dette fremkommer gjennom meldeplikten i tredje ledd. Bestemmelsen er en oppfølging av NOU 1997:26 Tilgang til helseregistre for å sikre tilgang til registerdata.

Første ledd oppstiller fem vilkår for at en utlevering av opplysninger til en bestemt bruk (for eksempel i et forskningsprosjekt) skal kunne skje etter bestemmelsen. Alle vilkårene skal være oppfylt for at utlevering kan skje. Mottaker skal overfor Norsk pasientregister godtgjøre at kravene er oppfylt, og Norsk pasientregister skal før utlevering skjer vurdere om vilkårene er oppfylt. Mottaker, for eksempel en forsker har et selvstendig ansvar for å sørge for at behandling av opplysninger skjer i henhold til vilkårene. Dersom Norsk pasientregister avslår en søknad om utlevering av opplysninger, vil et avslag kunne bringes inn for overordnet forvaltningsorgan som er Helse- og omsorgsdepartementet.

Det første vilkåret er at mottaker skal behandle opplysningene til et uttrykkelig angitt formål innenfor registerets formål. Det følger av helseregisterloven § 11 at enhver behandling av helseopplysninger skal være formålsbestemt. Mottaker av opplysninger fra Norsk pasientregister skal konkret angi det formål opplysningene skal benyttes til. Den databehandlingsansvarlige (mottaker) skal tilstrebe klare og presise formålsangivelser. For eksempel vil «analyser av geografisk fordeling av ressurser til somatisk spesialisthelsetjeneste» være et uttrykkelig angitt formål innenfor registerets formål (helsetjenesteforskning).

Formålene for Norsk pasientregister følger av denne forskriften § 1-2. Registerets hovedformål er å danne grunnlag for administrasjon, styring og kvalitetssikring av spesialisthelsetjenester. Opplysninger som er samlet inn for dette formålet skal også kunne benyttes i medisinsk og helsefaglig forskning og som grunnlag for etablering og kvalitetssikring av sykdoms- og kvalitetsregistre. Formålene for Norsk pasientregister er videre utdypet i Ot.prp.nr.49 (2005-2006) kapittel 5 og merknadene til § 1-2. Dersom en forsker ønsker tilgang til opplysninger fra Norsk pasientregister til andre formål, for eksempel øvrig samfunnsforskning, vil det kreves hjemmelsgrunnlag i konsesjon også for avidentifiserte opplysninger. Videre vil § 1-3 om forbud mot bruk fungere som en sperre mot utlevering av opplysninger til formål som er i strid med Norsk pasientregisters formål.

Det andre vilkåret er at opplysningene er relevante og nødvendige for formålet med behandlingen av pasientopplysninger. I likhet med kravet om formålsbestemthet er det et grunnkrav ved behandling av helseopplysninger at opplysningene som behandles skal være relevante og nødvendige for å nå formålet med behandlingen. Med nødvendig menes at en ikke skal behandle flere opplysninger enn formålet krever. Kravet om at opplysningene skal være relevante setter grense for hvilke opplysninger som kan trekkes med i behandlingen av pasientopplysninger.

Det tredje vilkåret krever at mottakeren bare skal behandle avidentifiserte data. Avidentifiserte data er definert i helseregisterloven § 2 nr. 2 og er helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysninger som tidligere ble fjernet. Avidentifiserte opplysninger skal være anonyme på mottakerens hånd.

Når det er sammenstilte opplysninger som skal utleveres, vil sammenstillings- og tilretteleggingsinstansen (Norsk pasientregister, annet register som nevnt i § 3-1 eller tiltrodd tredjepart) forestå selve prosessen med å sammenstille, kvalitetssikre og tilrettelegge dataene i henhold til § 3-2. Sammenstillings- og tilretteleggingsinstansen fjerner fødselsnummer fra helseopplysningene, men beholder en nøkkelfil for sammenstillingen som kan benyttes av denne for å tilbakeføre opplysningene. Først etter at fødselsnummer er fjernet vil dataene være avidentifisert. Opplysningene skal ikke utleveres før de er avidentifiserte.

Hvorvidt opplysningene er avidentifiserte eller ikke, må vurderes konkret i forhold til hvert enkelt prosjekt. Dersom mottakeren har egne data, og ber om å få utlevert liknende data, gjelder forskriften § 3-6. På samme måte vil en sammenstilling mellom data fra Norsk pasientregister til data (identiteter) mottakeren selv sitter inne med kreve utlevering etter § 3-6. Videre dersom en står foran et forskningsprosjekt hvor behovet for data er stort og forutsetter bruk av mange variabler, for eksempel data som yrke, kommune og bydel, slik at opplysningene uten for store ressurser (arbeidsinnsats og kostnader) kan tilbakeføres til et bestemt individ, vil forskriften § 3-4 ikke være den rette behandlingsgrunnlaget. At det er en viss teoretisk mulighet for å bakveisidentifisere gjør ikke nødvendigvis at opplysningene ikke lenger anses å være avidentifiserte, men for utleveringer med mange variabler skal registeret som utleverer data foreta en konkret vurdering av om den aktuelle utleveringen er avidentifisert eller ikke. Norsk pasientregister vil bli et register med mange registrerte, og skal vurdere faren for bakveisidentifisering ved utleveringer. Dersom mottaker kan bakveisidentifisere uten for store ressurser, vil forskriften § 3-6 være det rette utleveringsbestemmelse. Dersom mottaker selv sitter med nøkkelfil med fødselsnummer for koblingen, vil helseopplysningene være personidentifiserbare og må utleveres i henhold til § 3-6.

Utlevering av avidentifiserte data til forskere eller andre mottakere er ikke i strid med helsepersonellovens eller forvaltningslovens bestemmelser om taushetsplikt. Avidentifiserte opplysninger er anonyme på mottakerens hånd. Det kreves dermed ikke dispensasjon fra taushetsplikt etter helsepersonelloven § 29.

Det fjerde vilkåret er at behandlingen av opplysningene blir vurdert som ubetenkelig ut fra etiske hensyn. Ubetenkelig henspiller blant annet på om forskningsprosjektet er berettiget og forsvarlig. Bruk av anonyme opplysninger er unntatt fra fremleggelsesplikten for de regionale komiteer for medisinsk forskningsetikk (REK). Det er den ansvarlige for prosjektet som er ansvarlig for at behandlingen av opplysningene og bruken av dem er ubetenkelig, men Norsk pasientregister skal også vurdere dette før utlevering av anonyme og avidentifiserte opplysninger fra registeret.

Det femte vilkåret er at behandlingen av opplysningene tilfredsstiller kravene i personopplysningsloven § 8 og § 9. Det er særlig bestemmelsene i § 8d og § 9h som er aktuelle. § 8d krever at behandlingen er nødvendig for å «utføre en oppgave av allmenn interesse» og 9h at «behandlingen er nødvendig for historiske, statistiske eller vitenskapelige formål, og samfunnets interesse i at behandlingen finner sted klart overstiger ulempene den kan medføre for den enkelte». Datatilsynet og Personvernnemndas praksis vil være relevante for forståelsen av disse vilkårene.

Annet ledd slår fast at Norsk pasientregister kan stille vilkår ved utlevering av opplysninger som er nødvendig for å begrense ulempene behandlingen ellers kan medføre for de registrerte. Vilkårene som kan settes til en utlevering skal begrunnes ut fra personvernhensyn. For eksempel kan det stilles som vilkår at antallet variabler begrenses. Personopplysningsloven § 35 gir en likelydende mulighet for Datatilsynet til å stille vilkår når det gis konsesjoner, og praksis etter den bestemmelsen vil være relevant også for utlevering etter denne bestemmelse.

Det er et krav etter helseregisterloven § 27 at opplysninger ikke skal lagres lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen av helseopplysningene. Dette er presisert gjennom § 3-4 annet ledd andre punktum ved at avidentifiserte opplysninger som utleveres etter denne bestemmelsen skal slettes ved prosjektavslutning. Både i søknaden om utlevering til Norsk pasientregister og i meldingen til Datatilsynet etter § 3-4 tredje ledd skal det opplyses om antatt tidspunkt for prosjektavslutning.

Etter tredje ledd får mottakeren av de avidentifiserte opplysningene det nødvendige hjemmelsgrunnlag for den aktuelle behandlingen gjennom melding til Datatilsynet etter helseregisterloven § 29. Når mottaker får avidentifiserte data (anonyme på mottakers hånd), er det ikke et krav om dispensasjon fra taushetsplikten etter helsepersonelloven § 29. Det vises til omtalen av avidentifiserte opplysninger ovenfor.

Bestemmelsen tilsvarer § 3-3 (for sammenstilte data) og § 3-4 (for ikke-koblede data) i Dødsårsaksregisterforskriften, Kreftregisterforskriften, Medisinsk fødselsregisterforskriften og SYSVAK-registerforskriften. Dette er regulert i § 4-3 og § 4-4 i MSIS- og Tuberkuloseregisterforskriften.

Til § 3-5 Utlevering av statistiske/anonyme opplysninger

Bestemmelsen gir Norsk pasientregister en plikt til etter forespørsel å utlevere statistikk eller anonymiserte data. Plikten forutsetter at mottaker skal benytte opplysningene til uttrykkelig angitte formål innenfor registerets formål.

Forskere, helsetjeneste/helseforvaltning eller andre brukere av statistikk vil kun få utlevert anonyme opplysninger, og slike opplysninger faller utenfor helseregisterloven og personopplysningsloven. Statistiske opplysninger er ikke underlagt taushetsplikt.

Bestemmelsen tilsvarer § 3-4 i Dødsårsaksregisterforskriften, Kreftregisterforskriften, Medisinsk fødselsregisterforskriften, SYSVAK-registerforskriften og § 4-4 i MSIS- og Tuberkuloseregisterforskriften.

Til § 3-6 Utlevering og annen behandling av opplysninger i Norsk pasientregister

Det følger av helseregisterloven § 5 og personopplysningsloven § 33 at behandling av helseopplysninger skal ha rettsgrunnlag/hjemmelsgrunnlag. Hovedregelen er at behandling av sensitive opplysninger (herunder helseopplysninger) skal ha konsesjon fra Datatilsynet. Det kreves imidlertid ikke konsesjon for behandling av helseopplysninger som er regulert i forskrift etter helseregisterloven § 6 til § 8, herunder denne forskriften. De øvrige utleveringsbestemmelsene i kapittel 3 gir en forenklet tilgang til opplysninger fra Norsk pasientregister når det gjelder etablerte aktivitetsbaserte finansieringsordninger (§ 3-3), avidentifiserte opplysninger (§ 3-4) og utlevering for etablering og kvalitetssikring av sykdoms- og kvalitetsregistre (§ 3-7). At dette er forenklet tilgang understrekes av at mottaker i § 3-4 ikke behøver ha konsesjon, men har meldeplikt til Datatilsynet.

Denne bestemmelsen slår fast at for utlevering og behandling av personidentifiserbare opplysninger i Norsk pasientregister, gjelder hovedregelen om krav til konsesjon, jf. helseregisterloven § 5, jf. personopplysningsloven § 33 og § 9. Med personidentifiserbare opplysninger menes både opplysninger knyttet til fødselsnummer, og opplysninger som ikke er tilstrekkelig avidentifisert, jf. merknadene til § 3-4.

Utlevering som ikke har hjemmelsgrunnlag i § 3-3, § 3-4, § 3-5 eller § 3-7 skal skje i henhold til § 3-6. Dette gjelder for eksempel forskningsprosjekter som innebærer en kobling av data fra Norsk pasientregister med forskerens egne data eller befolkningsbaserte helseundersøkelser (Mor og barn-undersøkelsen, CONOR, HUNT mv.). Også utlevering av pseudonyme opplysninger eller avidentifiserte opplysninger som ikke følger av de øvrige utleveringsbestemmelsene skal skje etter denne bestemmelsen. Dette gjelder for eksempel dersom det vurderes å utlevere opplysninger til forskning på andre formål enn registerets formål, for eksempel samfunnsfaglig forskning.

I enkelte tilfeller kan konsesjonsplikt etter personopplysningsloven § 33 erstattes av en meldeplikt. Det følger av personopplysningsforskriften § 7-27 at dersom et prosjekt er tilrådd av et personvernombud og godkjent av en regional komité for medisinsk forskningsetikk (REK), kreves det melding til Datatilsynet, ikke konsesjon. Dette forenklede systemet med unntak for konsesjon gjelder også for data fra helseregistrene som har egen forskrift, herunder Norsk pasientregister.

Behandling av opplysninger skal skje i samsvar med alminnelige regler om taushetsplikt. Forskriften § 4-1 og helseregisterloven § 15 pålegger enhver som behandler opplysninger etter helseregisterloven taushetsplikt etter både forvaltningsloven og helsepersonelloven. For utlevering av opplysninger som ikke er anonyme på mottakers hånd (dvs. anonyme eller avidentifiserte), skal Helsedirektoratet vurdere om det kan gis dispensasjon fra taushetsplikten, jf. helsepersonelloven § 29. Der den registrerte har samtykket kreves det ikke dispensasjon fra taushetsplikten. Forskriften angir en egen frist for slike dispensasjoner fra Helsedirektoratet. Forskning på identifiserbart humant materiale eller identifiserbare data, skal fremlegges for en regional forskningsetisk komité for medisin til vurdering, mandatet til REK.

Det heter i annet punktum at dersom særlige forhold gjør det umulig å svare på forespørselen innen den angitte fristen, kan svaret utsettes inntil det er mulig å gi svar. Helsedirektoratet skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når søknaden kan effektueres. I et slikt foreløpig svar må Helsedirektoratet også informere om det er behov for ytterligere opplysninger, dersom det er nødvendig for å gi et positivt svar. Det skal foreligge spesielle og midlertidige forhold i Helsedirektoratet for å kunne påberope seg en utsatt levering etter denne bestemmelsen. Lengre saksbehandlingstid enn 30 dager skal ikke være rutine.

Denne bestemmelsen viser som nevnt til de generelle reglene for behandling av helseopplysninger, og det systemet som er bygget opp for å sikre etisk og forsvarlig forskning. Regjeringen har lagt frem forslag til ny regulering av medisinsk og helsefaglig forskning gjennom Ot.prp.nr.74 (2006-2007) Om lov om medisinsk og helsefaglig forskning (helseforskningsloven). Behandlingsbestemmelser i forskrifter for helseregistre som skal kunne benyttes til forskning, blant annet denne forskriften, skal revideres etter at et nytt lovgrunnlag for forskning er på plass.

Bestemmelsen tilsvarer § 3-5 i Dødsårsaksregisterforskriften, Kreftregisterforskriften, Medisinsk fødselsregisterforskriften, SYSVAK-registerforskriften og § 4-5 i MSIS- og Tuberkuloseregisterforskriften.

Til § 3-7 Behandling av opplysninger fra Norsk pasientregister knyttet til sykdoms- og kvalitetsregistre

Vi har i dag enkelte sykdoms- og kvalitetsregistre som gir informasjon om forekomst og behandling av avgrensede sykdommer. Kreftregisteret er det største sykdomsregisteret, andre eksempler på sykdomsregistre er Barnediabetesregisteret og MS-registeret. Nasjonale medisinske kvalitetsregistre er et viktig virkemiddel for å sikre god kvalitet på den medisinske behandlingen. De er nødvendige verktøy i en kunnskapsbasert oppfølging av behandlingsresultater og kvalitetsutvikling, både i den enkelte institusjon og nasjonalt. Eksempler på medisinske kvalitetsregistre er Leddproteseregisteret, Nyrebiopsiregisteret og Hjerteinfarktregisteret.

Det er en uttrykt målsetning, blant annet i Nasjonal helseplan for 2007-2010 (St.prp.nr.1 (2006-2007)) at det skal etableres nasjonale medisinske kvalitetsregistre innenfor de fleste medisinske fagområder. Videre er det fra ulike miljøer fremmet forslag om etablering av nye sykdomsregistre, for eksempel et register for hjerte-karsykdommer som er en av de største folkesykdommene.

Norsk pasientregister er i Ot.prp.nr.49 (2005-2006) tillagt en rolle ved etablering og kvalitetssikring av ulike sykdoms- og kvalitetsregistre, blant annet for å gjøre det mindre ressurskrevende å etablere registre, og for å legge til rette for bedre datakvalitet. Det vises til proposisjonens punkt 5.5. som blant annet fremhever at

«Sykdoms- og kvalitetsregistre kan ha stor betydning for å sikre pasienter behandling av god kvalitet og utvikle effektive forebyggende tiltak. Norsk pasientregister vil ikke inneholde tilstrekkelig med informasjon til alene å gi grunnlag for økt kunnskap om behandlingsresultater og -kvalitet (...).Norsk pasientregister kan imidlertid, dersom det blir personidentifiserbart, bli et godt virkemiddel både for kvalitetsforbedring og etablering av kvalitetsregistre gjennom at opplysningene kan benyttes til forskning og som datagrunnlag for kvalitetsregistre.»

Første ledd gir Norsk pasientregister adgang til å utlevere personidentifiserbare opplysninger til sykdoms- og kvalitetsregistre for etablering og kvalitetssikring av opplysninger i et sykdoms- eller kvalitetsregister. Det er bare registre som har hjemmel (enten i konsesjon eller i forskrift) for å motta opplysninger fra Norsk pasientregister, som kan benytte Norsk pasientregister som datagrunnlag.

Bestemmelsen i § 3-7 regulerer Norsk pasientregisters funksjon overfor sykdoms- og kvalitetsregistre i forbindelse med etablering og kvalitetssikring av data. Der det er aktuelt å gjøre analyser, utarbeide statistikk og gjennomføre forskningsprosjekter som innebærer en sammenstilling av opplysninger fra det aktuelle registeret og Norsk pasientregister (utover de variablene som er like i Norsk pasientregister og det aktuelle registeret), vil ikke § 3-7 gi grunnlag for databehandlingen. Dette vil være mer enn etablering og kvalitetssikring, og er således et annet formål enn det som følger av § 1-2 andre ledd bokstav b. Utlevering fra Norsk pasientregister til andre formål enn etablering og kvalitetssikring av opplysninger i det aktuelle registeret skal skje i henhold til § 3-4 til § 3-6. Denne bestemmelse er ikke til hinder for at nye registre som etableres med hjemmel i helseregisterloven § 8 kan få hjemmel for sammenstilling for statistikk og andre formål ved å inntas i listen over registre i § 3-1.

Andre ledd presiserer at kontakt mellom kvalitetsregistre og Norsk pasientregister ikke skal føre til at Norsk pasientregister får flere opplysninger enn det som følger av § 1-6 og § 1-7. Sykdoms- og kvalitetsregistre vil inneholde flere variabler om den aktuelle episode/innleggelse enn Norsk pasientregister, men Norsk pasientregister skal ikke tilføres opplysninger som Norsk pasientregister ikke har hjemmel til å inneholde. Dette er i tråd med forutsetningen om at det ikke skal registreres flere data om den enkelte pasient ved utvidelse av formål og endring av registerform til personidentifiserbart. Variabler som er felles for registrene kan korrigeres i begge registre dersom man ved sammenstilling opp dager feil.

Hovedregelen etter helseregisterloven er at registre skal være basert på samtykke fra de registrerte. Ved etablering av sykdoms- og kvalitetsregistre som er samtykkebaserte, skal det innhentes samtykke jf. helseregisterloven § 2 nr. 11. Tredje ledd gir regler om etablering av kontakt mellom pasient og sykdoms- eller kvalitetsregister som benytter opplysninger fra Norsk pasientregister til etablering. Tredje ledd gjelder bare samtykkebaserte registre som skal opprette den første kontakten med aktuelle registrerte, og som benytter NPR-data til dette.

Tredje ledd slår fast at Norsk pasientregister ikke skal forestå den første kontakten med en aktuell registrert til et sykdoms- eller kvalitetsregister. Det er den institusjon som har behandlet pasienten, og som dermed allerede har vært i kontakt med pasienten om den aktuelle behandlingen, som skal kunne ta kontakt. Kontakten vil ha som formål 1) å innhente samtykke til å delta i et sykdoms- eller kvalitetsregister, eller 2) å innhente samtykke til å motta informasjon og/eller kontaktes av et sykdoms- eller kvalitetsregister.

Den institusjon som har behandlet pasienten skal som hovedregel forestå førstegangskontakt med pasienten. Dersom det er urimelig tungvint eller arbeidskrevende at behandlende institusjon tar kontakt, kan enten det aktuelle sykdoms- eller kvalitetsregister, eller en annen institusjon (for eksempel ett sykehus) etablere førstegangskontakt. Da opplysninger om at en person er aktuell for et register innebærer videreformidling av taushetsbelagte opplysninger, krever dette at registeret/institusjonen får dispensasjon fra taushetsplikten jf. helsepersonelloven § 29. De samme frister gjelder for dette som etter § 3-6 tredje ledd.

Senere kontakt mellom kvalitets-/sykdomsregister og en pasient vil håndteres av det aktuelle register i henhold til samtykke fra den registrerte. Bestemmelsen i tredje ledd regulerer kun samtykkebaserte sykdoms- og kvalitetsregistre som etableres ved hjelp av opplysninger fra Norsk pasientregister.

Ved bruk av Norsk pasientregister til kvalitetssikring av innholdet i sykdoms- og kvalitetsregister forutsettes det at dette har hjemmel til å bruke Norsk pasientregister til kvalitetssikring. For eksempel følger det av § 1-6 bokstav f at Norsk pasientregister kan inneholde samtykkeadministrative bestemmelser, som innebærer at det skal fremkomme om en person har samtykket til å delta i et samtykkebasert sykdoms- eller kvalitetsregister eller ikke. Ved registre som opprettes etter at denne forskriften har trådt i kraft, bør det registreres opplysninger om pasienten ønsker å delta i et kvalitetsregister eller ikke. Men for kvalitetsregistre som allerede er etablert, og man ved hjelp av Norsk pasientregister ser at det er flere pasienter med samme diagnose enn de som fremkommer av kvalitetsregisteret, vil det oppstå et spørsmål om de som ikke er registrert i kvalitetsregisteret har takket nei eller ikke blitt forespurt om å delta. Som nevnt i tredje ledd, vil det som hovedregel være behandlende institusjon som eventuelt må ta kontakt med vedkommende pasient i sistnevnte tilfelle.

Til § 3-8 Frister for utlevering

Bestemmelsen fastsetter frister for utlevering av opplysninger fra Norsk pasientregister. Når det gjelder statistikk fra Norsk pasientregister alene skal opplysninger utleveres senest 30 dager etter forespørsel kom inn. Når det gjelder statistikk fra Norsk pasientregister sammenstilt med et annet register, avidentifiserte data eller personidentifiserbare data, er fristen 60 dager fra den dagen søknaden kom inn.

Dersom departementet beslutter at en bestemt virksomhet skal sammenstille og tilrettelegge forskningsdata for eksterne mottakere, må frister og prosedyrer for hvordan dette skal skje nedfelles i en skriftlig avtale mellom institusjonen Helsedirektoratet og vedkommende virksomhet, slik at tidsfristen på 60 dager overholdes.

En forutsetning for at fristene kan overholdes er at det foreligger en presis søknad. Departementet er kjent med at søknadene om forskningsdata kan være ufullstendige, og at det må gås flere runder før innholdet i en søknad er tilstrekkelig detaljert slik at data kan leveres. I sistnevnte tilfeller vil det være vanskelig å levere data innen de gitte frister. I slike tilfeller kan leveringen av data utsettes, inntil det er mulig å oppfylle den. Dette følger av tredje ledd. Den databehandlingsansvarlige skal i så fall gi søkeren et foreløpig svar om grunnen til forsinkelsen. Dersom grunnen til at data vanskelig kan leveres, er at søknaden er ufullstendig, skal dette avhjelpes ved kommunikasjon, råd og veiledning fra registerets side. Det skal foreligge spesielle og midlertidige forhold ved registret for å kunne påberope seg en utsatt levering etter tredje ledd. Lengre saksbehandlingstid enn 30/60 dager skal ikke være rutine. Kravet om å overholde fristen må imidlertid ikke gå på bekostning av kvalitet.

Bestemmelsens første ledd tilsvarer § 3-4 første ledd i Dødsårsaksregisterforskriften, Kreftregisterforskriften, Medisinsk fødselsregisterforskriften, SYSVAK-registerforskriften og § 4-4 første ledd MSIS- og Tuberkuloseregisterforskriften. Denne bestemmelsens andre ledd tilsvarer § 3-3 tredje ledd i Dødsårsaksregisterforskriften, Kreftregisterforskriften, Medisinsk fødselsregisterforskriften, SYSVAK-registerforskriften og § 4-3 tredje ledd i MSIS- og Tuberkuloseregisterforskriften.

Til § 3-9 Kostnader

Bestemmelsen gir adgang til å kreve betaling for utførte tjenester med bearbeidede data fra Norsk pasientregister. Det fremgår av annet punktum at betalingen ikke skal overstige de faktiske utgiftene ved behandlingen og tilretteleggingen av opplysningene.

Bestemmelsen tilsvarer § 3-7 i Dødsårsaksregisterforskriften, Kreftregisterforskriften, Medisinsk fødselsregisterforskriften, SYSVAK-registerforskriften og § 4-7 i MSIS- og Tuberkuloseregisterforskriften.

Til § 3-10 Oversikt over utleveringer

Bestemmelsen pålegger den databehandlingsansvarlige å føre oversikt over hvem som får utlevert opplysninger fra Norsk pasientregister og hjemmelsgrunnlaget for utleveringene. Helsedirektoratet plikter å holde oversikt både over utleveringer av helseopplysninger til et annet register/koblingsinstans, jf. § 3-1 og § 3-2, utleveringer etter § 3-3 for aktivitetsbaserte finansieringsordninger, avidentifiserte helseopplysninger etter § 3-4, annen utlevering etter § 3-6 og utlevering for etablering eller kvalitetssikring av sykdoms- og kvalitetsregistre etter § 3-7. Oversikten skal også inneholde oversikt over utlevering av anonyme/statistiske opplysninger etter § 3-5.

Oversikter over utleveringer skal oppbevares i minst 5 år etter at utlevering har funnet sted.

Bestemmelsen tilsvarer § 3-8 i Dødsårsaksregisterforskriften, Kreftregisterforskriften, Medisinsk fødselsregisterforskriften, SYSVAK-registerforskriften og § 4-8 i MSIS- og Tuberkuloseregisterforskriften.

Til § 3-11 Informasjonsstrategi rettet mot brukergrupper

Bestemmelsen fastslår at Helsedirektoratet skal ha en informasjonsstrategi og -plan rettet mot brukergrupper. Forskriften krever ikke at denne planen skal være skriftlig. Innholdet i kravet går på å ha et bevisst åpent og positivt forhold til å samhandle med ulike forskningsmiljøer og andre brukergrupper. Det er et selvstendig mål at dataene blir brukt i forskningsprosjekter og til planlegging av helsetjenesten. En effektiv bruk av data fra Norsk pasientregister kan best gjennomføres ved at Helsedirektoratet informerer om hvilke muligheter Norsk pasientregister gir til kunnskapsoppbygging og -utvikling.

Til § 4-1 Taushetsplikt

Bestemmelsen fastslår at både forvaltningslovens regler og helsepersonellovens regler om taushetsplikt kommer til anvendelse på helseopplysninger som behandles etter forskriften. Dette innebærer blant annet at eventuelle unntak fra taushetsplikten må ha hjemmel i begge lover før utlevering av opplysninger fra registeret kan skje.

Taushetsplikten er ikke bare en passiv plikt til å tie, men også en aktiv plikt til å hindre uvedkommende i å få tilgang til taushetsbelagt informasjon. Forsvarlig håndtering og oppbevaring av helseopplysninger er derfor en forutsetning for å kunne etterleve lovbestemt taushetsplikt.

Forsettlig eller grovt uaktsom overtredelse av denne bestemmelsen straffes med hjemmel i § 7-2.

Til § 4-2 Informasjonssikkerhet

Første ledd viser til helseregisterloven § 16 flg. Bestemmelsen pålegger Helsedirektoratet og Norsk pasientregister å sørge for god informasjonssikkerhet ved behandling av helseopplysninger. Dette omfatter blant annet et ansvar for å sørge for at tilstrekkelig sikkerhetsfaglig kompetanse er tilgjengelig. I tillegg til ansvar for sikkerheten i egen organisasjon må Helsedirektoratet og Norsk pasientregister også forsikre seg om at informasjonssikkerheten er tilfredsstillende hos kommunikasjonspartnere og leverandører. Begrepet informasjonssikkerhet omfatter:

-sikring av konfidensialitet, dvs. beskyttelse mot at uvedkommende får innsyn i opplysningene, herunder sikkerhet for at reglene om taushetsplikt overholdes,
-sikring av integritet, dvs. beskyttelse mot utilsiktet endring av opplysningene,
-sikring av tilgjengelighet, dvs. sørge for at tilstrekkelige og relevante opplysninger er til stede,
-sikring av kvalitet, dvs. sørge for at opplysningene er riktige, jf. § 2-4.

Det forutsettes innført tekniske og organisatoriske hinder av høyeste kvalitet for å hindre misbruk. God informasjonssikkerhet skal oppnås ved hjelp av planlagte og systematiske tiltak. Dette innebærer at anerkjente teknikker og standarder for kvalitetsstyring, internkontroll og informasjonssikkerhet skal legges til grunn ved sikkerhetsarbeidet. De tiltak som etableres, skal være både organisatoriske og tekniske. Sikkerhetstiltakene og selve informasjonssystemet skal kunne dokumenteres.

Andre ledd gjelder ved helt eller delvis elektronisk behandling av helseopplysningene. I slike tilfeller gjelder personopplysningsforskriften § 2-1 til § 2-16.

Til § 4-3 Kryptering og tilgang til Norsk pasientregister

Bestemmelsens første ledd pålegger databehandler å kryptere direkte personidentifiserbare kjennetegn, (i dette tilfellet fødselsnummer eller et annet entydig identifikasjonsnummer der hvor vedkommende ikke har et fødselsnummer) i Norsk pasientregister. Dette betyr i praksis at personidentifiserende kjennetegn ikke skal ligge tilgjengelig i registeret for andre enn spesielt autoriserte personer. Det anses ikke hensiktsmessig å pålegge hvordan kryptering skal skje, da dette kan binde registeret til de teknologiske løsningene vi kjenner i dag og hindre forbedring av den personvernfremmende teknologi. Men det forutsettes at følgende løsninger foreligger for å forhindre misbruk:

-Fødselsnummer skal ikke kobles til pasientdata, verken i kommunikasjon eller i registeret
-Fødselsnummer skal ikke lagres, verken i krypteringsløsning eller i selve registeret
-All kommunikasjon skal krypteres
-Alle brukere og maskiner skal autentiseres
-Brannmur skal etableres foran hver maskin i systemet
-All utlevering krever egen hjemmel
-Kun et fåtall spesielt autoriserte medarbeidere kan utløse dekryptering
-Dekryptering og utlevering forutsetter involvering av kvalitetssikrer i alle trinn
-Alle prosesser skal logges.

Andre ledd angir hvem som kan få tilgang til selve registeret. Det oppstilles et nødvendighetskrav i forhold til vedkommendes arbeid. Kan arbeidet utføres uten tilgang til opplysningene i Norsk pasientregister, er det ikke nødvendig med tilgang til registeret. Videre kan tilgang kun gis når det er i samsvar med gjeldende taushetspliktbestemmelser. Utlevering av opplysninger som skal brukes i tråd med registerets formål, følger av kapittel 3.

Tredje ledd viser til at det kun er spesielt autoriserte personer som kan behandle ukrypterte opplysninger i registeret, og det oppstilles et vilkår om at det må være et behov for ukrypterte opplysninger i arbeidet.

Til § 4-4 Plikt til internkontroll

Bestemmelsen pålegger Helsedirektoratet og Norsk pasientregister en plikt til å innføre og utøve internkontroll i samsvar med helseregisterloven § 17. Tiltakene skal ifølge § 17 andre ledd dokumenteres, og dokumentasjonen skal være tilgjengelig for medarbeidere og tilsynsmyndighetene.

Norsk pasientregister skal behandle opplysninger i samsvar med rutiner Helsedirektoratet har oppstilt.

Til § 4-5 Internkontrollens innhold

Bestemmelsen gir regler om internkontrollens innhold. Formuleringen av bestemmelsen har tatt mønster av internkontrollbestemmelsen i personopplysningsforskriften og de øvrige registerforskriftene.

Til § 4-6 Forsterket tilsyn med Norsk pasientregister

Under Lagtingets behandling av Norsk pasientregister i Stortinget ble det vedtatt at forskriften for Norsk pasientregister bør inneholde bestemmelser om forsterket tilsyn fra Datatilsynets side. Dette fremkommer av Innst.O.nr.40 (2006-2007) hvor det står følgende under pkt. 2.2: «For å styrke befolkningens tillit til at personvernet blir ivaretatt på en så god måte som mulig, mener disse medlemmer at forskriften til Norsk pasientregister bør inneholde bestemmelser om forsterket tilsyn fra Datatilsynets side med Norsk pasientregister.» Departementet vil presisere at Datatilsynet allerede er tilsynsmyndighet og fører tilsyn med at bestemmelsene i helseregisterloven blir fulgt og at feil og mangler blir rettet, jf. helseregisterloven § 31 og personopplysningsloven § 42. Departementet vil bemerke at det er ulike måter å gjennomføre et forsterket tilsyn på, og det vil være Datatilsynet som fastsetter vilkårene og omfanget av et forsterket tilsyn.

Som en del av det forsterkede tilsynet skal Norsk pasientregister årlig rapportere om virksomheten sin til Datatilsynet. En slik rapportering skal blant annet inneholde opplysninger om hvem som har fått utlevert opplysninger fra Norsk pasientregister og hjemmelsgrunnlaget for utleveringene, hvem Norsk pasientregister har sammenstilt opplysninger med for kvalitetskontroll, Norsk pasientregisters statistikkproduksjon, m.m.

Til § 5-1 Den registrertes rett til informasjon og innsyn

Første ledd viser til helseregisterloven § 22 til § 25. Bestemmelsene gir den registrerte rett til informasjon om helseregistre og rett til innsyn i behandling av helseopplysninger om seg selv. Første ledd andre punktum viser til at den registrerte har rett til innsyn i utleveringer som gis i personidentifiserbar form. Den registrerte kan få opplyst hvem som har fått utlevert hvilke opplysninger, til hvilket formål og hjemmelsgrunnlaget for utleveringene. Utlevering av anonyme og avidentifiserte filer omfattes ikke av innsynsretten da disse ikke vil inneholde personentydige kjennetegn og således ikke lenger kan knyttes til en enkeltperson. Avidentifiserte opplysninger er etter helseregisterloven § 2 nr. 2 anonyme på mottakers hånd. Bruk av opplysninger til kvalitetssikring i registeret og for gjennomføring av den aktivitetsbaserte finansieringen omfattes ikke av innsynsretten.

Enhver har rett til generell informasjon om Norsk pasientregister og behandling av helseopplysninger i registeret. Dette følger av helseregisterloven § 20 og § 21. Videre følger det av helseregisterloven § 23 og § 24 at Helsedirektoratet har en informasjonsplikt overfor den registrerte.

Det skal foreligge rutiner ved utlevering av helseopplysninger etter begjæring om innsyn. Dette gjelder først og fremst krav til at den som ber om innsyn legitimerer at han eller hun er den de utgir seg for å være, verifiserer sin påståtte identitet. Dette kan for eksempel gjøres ved at opplysningene fra Norsk pasientregister sendes rekommandert, slik at vedkommende får en plikt til å legitimere seg for å hente ut opplysningene. Det vil i alle tilfeller ikke være tilstrekkelig å oppgi fødselsnummer for å få utlevert opplysninger.

Til § 6-1 Bevaring av helseopplysninger

Det går fram av bestemmelsen at opplysninger i Norsk pasientregister skal bevares i ubegrenset tid, med mindre annet følger av helseregisterloven § 26 eller § 28.

Helseregisterloven § 26 regulerer retting av mangelfulle opplysninger. Bestemmelsen pålegger Helsedirektoratet et ansvar for at opplysninger som er uriktige eller ufullstendige rettes. Det samme gjelder dersom det er behandlet helseopplysninger etter forskriften som det ikke er adgang til å behandle. Norsk pasientregister kan foreta opprettingen av eget tiltak eller etter begjæring fra den registrerte. Norsk pasientregister skal om mulig sørge for at feilen ikke får betydning for den registrerte. Dersom helseopplysningene er utlevert, skal Norsk pasientregister varsle mottakere av utleverte opplysninger om dette.

Helseregisterloven § 28 gir regler om sletting eller sperring av helseopplysninger som føles belastende for den registrerte. Bestemmelsen fastslår at den registrerte kan kreve at helseopplysninger som behandles etter denne forskriften, skal slettes eller sperres, dersom behandling av opplysningene føles sterkt belastende for den registrerte og det ikke finnes sterke allmenne hensyn som tilsier at opplysningene behandles. Krav om sletting eller sperring av slike opplysninger rettes til Helsedirektoratet. Datatilsynet kan, etter at Riksarkivaren er hørt, treffe vedtak om at retten til sletting etter første ledd går foran reglene i arkivloven av 4. desember 1992 nr. 126 § 9 og § 18. Hvis dokumentet som inneholdt de slettede opplysningene, gir et åpenbart misvisende bilde etter slettingen, skal hele dokumentet slettes.

Til § 6-2 Bruk av opplysninger underlagt tidligere konsesjoner

For bestemmelsens første ledd gjelder de samme regler som følger av forskriftens § 6-1.

Andre ledd presiserer at opplysningene bare kan benyttes i tråd med det avidentifiserte registerets konsesjon og formål. I overgangen mellom et avidentifisert og et personidentifiserbart register vil det være nødvendig å benytte det avidentifiserte registeret frem til man får komplette data i det personidentifiserbare registeret. Bestemmelsen presiserer at det avidentifiserte registeret ikke har anledning til å inneholde flere opplysninger enn det som fremkommer av daværende konsesjon og formål, selv om det personidentifiserbare registeret har anledning til å inneholde noen flere data om for eksempel skader og ulykker.

Til § 7-1 overgangsbestemmelse

Datoen for ikrafttredelse av lovendringen som gjorde Norsk pasientregister til et personidentifiserbart register oppstiller et rent skille for aktivitetsdata (lov 16. februar 2007 nr. 7 om endring i helseregisterloven (Norsk pasientregister)). For å ta innleggelser som eksempel, så er det kun innleggelser etter at lovendringen trådte i kraft, 16. februar 2007, som kan registreres i det personidentifiserbare registeret. Selv om det er et behandlingsforløp som har sammenheng med innleggelsen, vil ikke dette kunne registreres i Norsk pasientregister såfremt det har skjedd før lovens ikrafttredelse. For eksempel vil ikke polikliniske undersøkelser i forkant av en forestående innleggelse registreres hvis innleggelsen skjer etter lovens ikrafttredelse. Derimot vil det være slik at hvis man legges inn etter lovens ikrafttredelse, men henvisningen ble utferdiget før lovendringen trådte i kraft, vil henvisningsdata kunne registreres i Norsk pasientregister. Ved å ha med henvisningsdata vil man ikke ved overgangen fra et avidentifisert til et personidentifiserbart register miste nødvendige administrative data knyttet til klinisk aktivitet etter ikrafttredelse. Med andre ord forsøker man på denne måten å ta vare på ventelistedata som ellers ville gått tapt, og få en komplett ventelistestatistikk.

Til § 7-2 Pålegg, tvangsmulkt og straff

Første ledd viser til helseregisterloven § 32 og § 33. Helseregisterloven § 32 gir Datatilsynet adgang til å gi pålegg ved brudd på bestemmelser om behandling av helseopplysninger og Helsetilsynet adgang til å gi pålegg dersom det må antas behandlingen av helseopplysningene i tillegg kan ha skadelige følger for pasienter. Helseregisterloven § 33 gir Datatilsynet adgang til å fastsette tvangsmulkt.

Bestemmelsens andre ledd må sammenholdes med helseregisterloven § 34 som gir hjemmel for straff av overtredelser av lovens egne bestemmelser. Videre må bestemmelsen sammenholdes med aktuelle straffebestemmelser i andre lover, for eksempel straffeloven § 121 om brudd på taushetsplikt. Brudd på bestemmelsene om utlevering av opplysninger i kapittel 3 sanksjoneres ikke med straff i denne forskrift, men slik utlevering vil samtidig være brudd på taushetsplikten, og således være straffbart i medhold av helseregisterloven § 34 og straffeloven § 121.

Det at enkeltbestemmelser i denne forskrift ikke er belagt med straff i form av bøter eller fengsel, betyr ikke at brudd på bestemmelsen ikke sanksjoneres. For eksempel når det gjelder brudd på krav om informasjonssikkerhet, kryptering og tilgang og internkontroll, § 4-2 til § 4-5, mener departementet at Datatilsynet er nærmere til å avdekke og sanksjonere brudd på bestemmelsene enn politi- og påtalemyndighet.

Helseregisterloven gir også andre sanksjonsmuligheter ved overtredelse av loven eller forskrift i medhold av loven. Den registrerte kan i visse tilfeller kreve erstatning, dersom det er behandlet helseopplysninger i strid med forskriften, jf. helseregisterloven § 32, § 33 og § 35.

Til § 7-3 Ikraftsetting

Bestemmelsen fastslår at denne forskriften trer i kraft den tid departementet bestemmer. 

0Merknadene endret ved forskrifter 16 des 2011 nr. 1250 (i kraft 1 jan 2012), 17 jan 2013 nr. 61.