Lov 2001-05-18 nr 24: Lov om behandling av helseregistre og helseopplysninger (helseregisterloven)

Helseregistre og Lov om behandling av helseopplysninger (helseregisterloven). (1)

Se også lov 14 april 2000 Nr.

Kapittel 1. Kapittel 1. Lovens formål, definisjoner og virkeområde Lovens formål, Definisjoner og virkeområde

§ 1. § 1. Lovens formål Lovens formål

      Formålet med denne lov er å bidra til å gi helsetjenesten og helseforvaltningen informasjon og kunnskap uten å krenke personvernet, slik at helsehjelp kan gis på en forsvarlig og effektiv måte. Formaletas med denne er lov til å å gi helsetjenesten bidra helseforvaltningen og informasjon og kunnskap uten å Krenke personvernet, slik at helsehjelp kan gis på en effektiv og forsvarlig mate. Gjennom forskning og statistikk skal loven bidra til informasjon og kunnskap om befolkningens helseforhold, årsaker til nedsatt helse og utvikling av sykdom for administrasjon, kvalitetssikring, planlegging og styring. Statistikk skal gjennom forskning og kunnskap loven bidra til informasjon om og befolkningens helseforhold, Arsakes nedsatt helse og til utvikling av sykdom for Administrasjon, Kvalitetssikring, planlegging og styring. Loven skal sikre at helseopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på helseopplysninger. Loven skal helseopplysninger Sikre på samsvar blir med i grunnleggende behandlet personvernhensyn, herunder Behovet for personlig integritet, Privatlivets tilstrekkelig kvalitet og fred på helseopplysninger.

§ 2. § 2. Definisjoner Definisjoner

I denne loven forstås med: I denne loven med forstår:

1. 1.

helseopplysninger: taushetsbelagte opplysninger i henhold til helsepersonelloven § 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson, helseopplysninger: taushetsbelagte opplysninger i henhold til § 21 og andre helsepersonelloven opplysninger vurdering og betydning av eller om helseforhold for helseforhold, som kan knyttes til i enkeltperson,

2. 2.

avidentifiserte helseopplysninger: helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysninger som tidligere ble fjernet, avidentifiserte helseopplysninger: helseopplysninger der navn, og andre personentydige Kjennetegn fødselsnummer er fjernet, slik at Lenger opplysningene kan ikke knyttes til i enkeltperson, identitet og hvor kan bare ved tilbakeføres opplysninger sammenstilling med de samme som tidligere ble fjernet,

3. 3.

anonyme opplysninger: opplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson, Anonyme opplysninger: opplysninger der navn, og andre personentydige Kjennetegn fødselsnummer er fjernet, slik at Lenger opplysningene kan ikke knyttes til i enkeltperson,

4. 4.

pseudonyme helseopplysninger: helseopplysninger der identitet er kryptert eller skjult på annet vis, men likevel individualisert slik at det lar seg gjøre å følge hver person gjennom helsesystemet uten at identiteten røpes, helseopplysninger pseudonyme: helseopplysninger der kryptert identitet eller er på annet vis skjult, menn Likevel individualisert slik at det lar seg gjøre å følge hver person gjennom helsesystemet uten identitet tau,

5. 5.

behandling av helseopplysninger: enhver formålsbestemt bruk av helseopplysninger, som f.eks. Behandling av helseopplysninger: enhver formålsbestemt bruk av helseopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter, innsamling, registrering, sammenstilling, lagring og utlevering eller av Slike bruksmåter i kombinasjon,

6. 6.

helseregister: registre, fortegnelser, mv der helseopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen, helseregister: Register, Fortegnelse, mv der helseopplysninger er slik at opplysninger lagret systematisk om den enkelte kan finnes igjen,

7. 7.

behandlingsrettet helseregister: journal- og informasjonssystem eller annet helseregister som har til formål å gi grunnlag for handlinger som har forebyggende, diagnostisk, behandlende, helsebevarende eller rehabiliterende mål i forhold til den enkelte pasient og som utføres av helsepersonell, samt administrasjon av slike handlinger, behandlingsrettet helseregister: journal-informasjonssystem eller annet helseregister og som har til formål å gi grunnlag for behandling som har Forebyggende, diagnostisk, behandlende, helsebevarende eller rehabiliterende mål i forhold til den enkelte og som utför pasient av helsepersonell, samt av Slike Administrasjon håndtering,

8. 8.

databehandlingsansvarlig: den som bestemmer formålet med behandlingen av helseopplysningene og hvilke hjelpemidler som skal brukes, hvis ikke databehandlingsansvaret er særskilt angitt i loven eller i forskrift i medhold av loven, databehandlingsansvarlig: Den som med behandling av bestemme Formaletas hvilke hjelpemidler helseopplysningene og som skal Bruk, hvis ikke er databehandlingsansvaret særskilt angitt i loven eller i forskrift i medhold av loven,

9. 9.

databehandler: den som behandler helseopplysninger på vegne av den databehandlingsansvarlige, databehandler: helseopplysninger behandla den som på vegne av den databehandlingsansvarlige,

10. 10.

registrert: den som helseopplysninger kan knyttes til, registrert: den som helseopplysninger kan knyttes til,

11. 11.

samtykke: en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av helseopplysninger om seg selv. Samtykke: i frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godta helseopplysninger om behandling av seg selv.

§ 3. § 3. Saklig virkeområde Saklig virkeområde

Loven gjelder for Loven gjelder for

1. 1.

behandling av helseopplysninger i helseforvaltningen og helsetjenesten som skjer helt eller delvis med elektroniske hjelpemidler for å fremme formål som beskrevet i § 1, og helseforvaltningen og behandling av helseopplysninger i helsetjenesten delvis eller helt som skjer med å. fremmed Elektroniske hjelpemidler for formål som beskrevet i § 1, og

2. 2.

annen behandling av helseopplysninger i helseforvaltningen og helsetjenesten til slike formål, når helseopplysningene inngår eller skal inngå i et helseregister. Annen helseopplysninger i helseforvaltningen behandling av og til Slike helsetjenesten formål, helseopplysningene inngår eller når jeg skal inngå et helseregister.

Loven gjelder både offentlig og privat virksomhet. Loven gjelder Både privat og offentlig virksomhet.

Kongen i Statsråd kan i forskrift bestemme at loven helt eller delvis skal gjelde for behandling av helseopplysninger utenfor helseforvaltningen og helsetjenesten for å ivareta formål som beskrevet i § 1. Kongen i Statsråd kan i forskrift bestemme at loven helt eller delvis skal gjelde for helseopplysninger utenfor helseforvaltningen behandling av og for å ivareta formål helsetjenesten som beskrevet i § 1.

      Loven gjelder ikke for behandling av helseopplysninger som reguleres av helseforskningsloven. Loven gjelder ikke for behandling av helseopplysninger som reguleres av helseforskningsloven. (2)

Endret ved lover 15 juni 2001 Nr.§ 4. § 4. Geografisk virkeområde Geografisk virkeområde

Loven gjelder for databehandlingsansvarlige som er etablert i Norge. Loven gjelder for databehandlingsansvarlige som er etablert i Norge. Kongen kan i forskrift bestemme at loven helt eller delvis skal gjelde for Svalbard og Jan Mayen, og kan fastsette særlige regler om behandling av helseopplysninger for disse områdene. Kongen kan i forskrift bestemme at loven helt eller delvis skal gjelde for Svalbard og Jan Mayen, og kan fastsette særlige regler om behandling av helseopplysninger for disse områdene.

Loven gjelder også for databehandlingsansvarlige som er etablert i stater utenfor EØS-området, dersom den databehandlingsansvarlige benytter hjelpemidler i Norge. Loven gjelder også for databehandlingsansvarlige stater som er i etablert utenfor EØS-området, dersom den databehandlingsansvarlige benytte hjelpemidler i Norge. Dette gjelder likevel ikke dersom hjelpemidlene bare brukes til å overføre helseopplysninger via Norge. Likevel Dette gjelder ikke bare hjelpemidlene dersom bruker til å overføre helseopplysninger via Norge.

Databehandlingsansvarlige som nevnt i annet ledd, skal ha en representant som er etablert i Norge. Bestemmelsene som gjelder for den databehandlingsansvarlige, gjelder også for representanten. Nevnt i annet som Databehandlingsansvarlige ledd, skal ha etablert representant som er i Norge. Bestemmelsene som gjelder for den databehandlingsansvarlige, gjelder også for representanter.

Kapittel 2. Kapittel 2. Tillatelse til å behandle helseopplysninger, etablering av helseregistre, innsamling av opplysninger, meldingsplikt mm TILLATELSE TIL Å behandla helseopplysninger, etablering av helseregistre, innsamling av opplysninger, meldingsplikt mm

§ 5. § 5. Behandling av helseopplysninger, konsesjonsplikt mm Behandling av helseopplysninger, konsesjonsplikt mm

Helseopplysninger kan bare behandles elektronisk når dette er tillatt etter personopplysningsloven §§ 9 og 33, helseforskningsloven eller følger av lov og behandlingen ikke er forbudt ved annet særskilt rettsgrunnlag. Behandla Helseopplysninger kan bare elektronisk etter når dette er tillatt Personopplysningsloven § § 9 og 33, helseforskningsloven eller følger av lov og behandling ved ikke annet is prohibited særskilt rettsgrunnlag. Det samme gjelder annen behandling av helseopplysninger, dersom opplysningene inngår eller skal inngå i et helseregister. Det samme gjelder behandling av helseopplysninger Annen, opplysningene inngår dersom inngå i et eller skal helseregister.

Konsesjonsplikt etter personopplysningsloven § 33 gjelder ikke for behandling av helseopplysninger som skjer med hjemmel i forskrift etter §§ 6 til 8. Konsesjonsplikt etter Personopplysningsloven § 33 gjelder ikke for helseopplysninger av behandling med som skjer etter forskrift hjemmel i § § 6 til 8.

Før helseopplysninger innhentes for behandling etter første ledd, skal samtykke fra den registrerte foreligge, hvis ikke annet er bestemt i eller i medhold av lov. Innhentes for helseopplysninger Før behandling etter første ledd, skal registrerte Foreligger samtykke fra den, hvis ikke annet er bestemt i lov av eller i medhold.

Pasientrettighetsloven §§ 4-3 til 4-8 gjelder tilsvarende for samtykke etter denne lov. Pasientrettighetsloven § § 4.3 til 4.8 gjelder tilsvarende for samtykke etter denne lov. Barn mellom 12 og 16 år kan selv treffe beslutning om samtykke, dersom pasienten av grunner som bør respekteres, ikke ønsker at opplysningene gjøres kjent for foreldrene eller andre med foreldreansvar. Barn mellom 12 og 16 år kan selv treffe beslutning om samtykke, respekteres dersom pasient av som bør Grune, ikke gjøre opplysningene Ønsker kl kjent for foreldrene eller med andre Foreldreansvar. (3)

 § 6. Behandlingsrettet helseregister Behandlingsrettet helseregister

Behandlingsrettede helseregistre kan føres elektronisk. Elektronisk helseregistre kan Behandlingsrettede skogbruk. Det skal fremgå av registeret hvem som har registrert opplysningene. Det skal fremgår av registeret hvem som har registrert opplysningene. Dette kan gjøres ved hjelp av elektronisk signatur eller tilsvarende sikker dokumentasjon. Dette kan gjøre ved hjelp av eller tilsvarende sikker elektronisk signatur dokumentasjon.

Regionale helseforetak og helseforetak, kommune og annen offentlig eller privat virksomhet som tar i bruk behandlingsrettede helseregistre, er databehandlingsansvarlig for opplysningene. Regionale helseforetak og helseforetak, Annen kommune og privat eller offentlig som tar i bruk virksomhet behandlingsrettede helseregistre, er databehandlingsansvarlig for opplysningene. Foretaket og kommunen kan delegere databehandlingsansvaret. Foretaket og kan delegere kommunen databehandlingsansvaret.

Kongen kan i forskrift gi nærmere bestemmelser om behandling av helseopplysninger i behandlingsrettede helseregistre, herunder om godkjenning av programvare og andre forhold som nevnt i § 16 fjerde ledd. Kongen i forskrift kan gi nærmere bestemmelser om behandling av helseopplysninger i behandlingsrettede helseregistre, herunder om godkjenning av programvare og andre forhold som i § 16 fjerde ledd nevnt. (4)

Endret ved lov 15 juni 2001 Nr.§ 6a. § 6a. Virksomhetsovergripende, behandlingsrettede helseregistre Virksomhetsovergripende, behandlingsrettede helseregistre

Det kan bare etableres virksomhetsovergripende, behandlingsrettede helseregistre som fremgår av loven her eller annen lov. Det kan bare etablerad virksomhetsovergripende, som behandlingsrettede fremgår helseregistre eller av loven henne lov Annen.

      Virksomhetsovergripende, behandlingsrettede helseregistre kan bare inneholde nærmere bestemte helseopplysninger i et begrenset omfang som er nødvendige og relevante for samarbeid mellom virksomheter om forsvarlig helsehjelp til pasienten. Virksomhetsovergripende, behandlingsrettede inneholder helseregistre kan bare i et nærmere bestemt helseopplysninger Begrenset omfang Nødvendig og som er relevant for virksomhet om samarbeid mellom til forsvarlig helsehjelp pasient. Slike registre kan bare etableres i tillegg til de behandlingsrettede helseregistrene virksomheten etablerer internt i virksomheten, jf. Slike register etablerad bare kan i tillegg til de helseregistrene virksomhet behandlingsrettede etablerad virksomhet internt i, jf.. lov 2. lov 2. juli 1999 Nr. juli 1999 Nr. 61 om spesialisthelsetjenesten mm § 3-2 og lov 19. 61 § 3.2 mm Spesialisthelsetjenesten om og lov 19. november 1982 Nr. november 1982 Nr.. 66 om helsetjenesten i kommunene § 1-3a, jf. 66 om helsetjenesten i kommunene § 1-3a, jf.. helsepersonelloven §§ 39 og 40. Virksomhetsovergripende, behandlingsrettede helseregistre skal føres elektronisk. helsepersonelloven § § 39 og 40 år. Virksomhetsovergripende, skogbruk behandlingsrettede skal helseregistre elektronisk.

Kongen i statsråd kan i forskrift gi nærmere bestemmelser om etablering, drift og behandling av helseopplysninger i virksomhetsovergripende, behandlingsrettede helseregistre. Kongen i statsråd kan i forskrift gi nærmere bestemmelser om etablering, drift og behandling av helseopplysninger i virksomhetsovergripende, behandlingsrettede helseregistre. Virksomhetsovergripende, behandlingsrettede helseregistre kan bare etableres uten samtykke fra pasienten dersom dette er nødvendig for å ivareta formålet med registeret. Virksomhetsovergripende, behandlingsrettede etablerad helseregistre kan bare uten samtykke fra pasient dersom dette er for å ivareta Nødvendig registeret Formaletas med. Det kan ikke etableres sentrale behandlingsrettede helseregistre etter denne bestemmelsen. Det kan ikke etablerad sentrale behandlingsrettede helseregistre Bestemmelsen etter denne.

Forskrift etter tredje ledd skal nærmere angi formålet med behandlingen av helseopplysningene og hvilke opplysninger som skal behandles. Forskrift nærmere etter tredje ledd skal Angi Formaletas helseopplysningene av behandling med og hvilke opplysninger som skal behandla. Forskriften skal videre gi nærmere regler om databehandlingsansvaret for opplysningene, herunder om plassering, tilgang, tilgangskontroll, samt gi pasienten rett til å motsette seg behandling av opplysninger i registeret eller stille krav om samtykke. Forskrift skal gi nærmere regler om videre databehandlingsansvaret for opplysningene, herunder om Plassering, Tilgang, tilgangskontroll, samt pasient rett til å gi seg Motsetta opplysninger behandling av eller i registeret stille krav om samtykke. (5)

Tilføyd ved lov 19 juni 2009 Nr.§ 6b. § 6b. Virksomhetsovergripende, behandlingsrettede helseregistre – helsepersonell med formalisert arbeidsfellesskap Virksomhetsovergripende, behandlingsrettede helseregistre – helsepersonell med formalisert arbeidsfellesskap

Kongen i statsråd kan i forskrift gi bestemmelser om etablering av virksomhetsovergripende behandlingsrettede helseregistre for bruk av helsepersonell med formalisert arbeidsfellesskap. Kongen i Statsråd kan i forskrift gi bestemmelser om etablering av virksomhetsovergripende behandlingsrettede helseregistre for helsepersonell med bruk av formalisert arbeidsfellesskap.

Forskriften etter første ledd skal sikre plassering av databehandlingsansvaret, samt angi regler om tilgang og tilgangskontroll. Forskrift ledd skal etter første av Sikre Plassering databehandlingsansvaret, samt Angi og regler om Tilgang tilgangskontroll. Den databehandlingsansvarlige skal sørge for at journal- og informasjonssystemene i det formaliserte arbeidsfellesskapet er forsvarlige. Den skal databehandlingsansvarlige sørger for informasjonssystemene ved journal-og formaliserte arbeidsfellesskapet i det er forsvarlige.

Der slike registre opprettes, skal det virksomhetsovergripende, behandlingsrettede registeret føres elektronisk og erstatte det virksomhetsinterne behandlingsrettede registeret. Der Slike Opprett registrere virksomhetsovergripende det skal, og elektronisk behandlingsrettede registeret skogbruk erstatte det virksomhetsinterne behandlingsrettede registeret. Plikten til å føre journal, jf. Fore til å plikt journal, jf.. helsepersonelloven §§ 39 og 40, gjelder tilsvarende. helsepersonelloven § § 39 og 40, tilsvarende gjelder. (6)

§ 6c. § 6c. Registre for saksbehandling og administrering Registrer deg for Saksbehandling og administrering

Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om etablering av registre og behandling av helseopplysninger til følgende formål: Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om etablering og behandling av register av helseopplysninger til følgende formål:

1. 1.

saksbehandling for å avgjøre om det kan treffes vedtak om frikort og refusjon av betalte egenandeler, jf. Saksbehandling for å avgjøre vedtak Treffen om det kan REFUSJON av og om Frikort betalt Egenandeler, jf.. pasientrettighetsloven § 2-6, spesialisthelsetjenesteloven § 5-5 og folketrygdloven kapittel 5 Pasientrettighetsloven § 2-6, spesialisthelsetjenesteloven § 5.5 og folketrygdloven Kapittel 5

2. 2.

administrering og samordning av transport til undersøkelse eller behandling i kommune- og spesialisthelsetjenesten, jf. administrering og til undersøkelse transport samordning av eller i kommune-og behandling Spesialisthelsetjenesten, jf.. spesialisthelsetjenesteloven § 2-1a første ledd Nr. spesialisthelsetjenesteloven § 2-1a første ledd Nr.. 6. 6.

Forskriften etter første ledd skal angi hvilke opplysninger som kan behandles i registeret og gi nærmere regler om databehandlingsansvaret for opplysningene, herunder om plassering av ansvar. Forskrift ledd etter første som skal Angi hvilke opplysninger behandla i registeret og kan gi nærmere regler om databehandlingsansvaret for opplysningene, herunder om ansvar av Plassering. Forskriften kan inneholde bestemmelser om tilgang til opplysningene, tilgangskontroll mv. Bestemmelser inneholder Forskrift om kan Tilgang til opplysningene, tilgangskontroll mv.

      Helseopplysningene kan behandles uten hensyn til samtykke fra den registrerte. Behandla kan uten Helseopplysningene hensyn til samtykke fra den registrerte. Dette gjelder ikke opplysninger om diagnose eller sykdom. Dette gjelder ikke opplysninger diagnostisere eller om sykdom. Den registrerte kan reservere seg mot at opplysninger om betalte egenandeler automatisk registreres i registeret som etableres i medhold av første ledd Nr. Den registrerte kan bestille seg mot at opplysninger Registreren om automatisk i Egenandeler betalt registeret medhold av som i første etablerad ledd Nr.. 1 og mot utlevering av opplysninger om den registrerte skal betale egenandel. 1 og mot utlevering av opplysninger om den registrerte skal betale egenandel. (7)

Tilføyd ved lov 18 des 2009 Nr.§ 7. § 7. Regionale og lokale helseregistre Regionale og lokale helseregistre

Det kan ikke etableres andre regionale og lokale helseregistre med helseopplysninger enn det som følger av denne eller annen lov. Det kan ikke andre etablerad helseregistre med lokale og regionale helseopplysninger enn det som følger av denne eller lov Annen.

      Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om etablering av regionale helseregistre og behandling av helseopplysninger i regionale helseregistre for ivaretakelse av oppgaver etter smittevernloven, spesialisthelsetjenesteloven og tannhelsetjenesteloven. Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om etablering av regionale helseregistre og behandling av helseopplysninger i regionale helseregistre for ivaretakelse av oppgaver etter smittevernloven, spesialisthelsetjenesteloven og tannhelsetjenesteloven. Navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn kan bare behandles etter samtykke fra den registrerte. Samtykke fra den registrerte er ikke nødvendig, dersom det i forskriften bestemmes at helseopplysningene bare kan behandles i pseudonymisert eller avidentifisert form. Navn, fødselsnummer og personidentifiserende Kjennetegn direkte eller andre kan bare behandla etter samtykke fra den registrerte. Samtykke er ikke fra den registrerte Nødvendig, dersom forskrift bestemme at det jeg kan bare helseopplysningene behandla i pseudonymisert eller avidentifisert form. Forskriften skal angi formålet med behandlingen av helseopplysningene, hvilke opplysninger som kan behandles, og eventuelt nærmere regler om hvem som skal foreta pseudonymiseringen og prinsipper for hvordan det skal gjøres. Forskrift skal Angi Formaletas helseopplysningene av behandling med, som kan opplysninger hvilke behandla, Eventuelt og nærmere regler om hvem som skal pseudonymiseringen foret prinsipper for hvordan og det skal gjøre. Det regionale helseforetaket er databehandlingsansvarlig for opplysningene, med mindre noe annet er bestemt i forskriften. Det er databehandlingsansvarlig for helseforetaket regionale opplysningene, med mindre annet er noe i forskrift bestemt. Databehandlingsansvaret kan delegeres. Databehandlingsansvaret kan delegeres.

Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om etablering av lokale helseregistre og behandling av helseopplysninger i lokale helseregistre for ivaretakelse av oppgaver etter kommunehelsetjenesteloven, sosialtjenesteloven og smittevernloven. Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om etablering av lokale helseregistre og behandling av helseopplysninger i lokale helseregistre for ivaretakelse av oppgaver etter Kommunehelsetjenesteloven, Sosialtjenesteloven og smittevernloven. Navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn kan bare behandles etter samtykke fra den registrerte. Navn, fødselsnummer og personidentifiserende Kjennetegn direkte eller andre kan bare etter samtykke behandla registrerte fra den. Samtykke fra den registrerte er ikke nødvendig, dersom det i forskriften bestemmes at helseopplysningene bare kan behandles i pseudonymisert eller avidentifisert form. Forskriften skal angi formålet med behandlingen av helseopplysningene, hvilke opplysninger som kan behandles, og eventuelt nærmere regler om hvem som skal foreta pseudonymiseringen og prinsipper for hvordan det skal gjøres. Samtykke er ikke fra den registrerte Nødvendig, dersom forskrift bestemme at det jeg kan bare helseopplysningene behandla avidentifisert form eller i pseudonymisert. Forskrift Formaletas skal Angi helseopplysningene av behandling med, som kan opplysninger hvilke behandla, Eventuelt og nærmere regler om hvem som skal og foret pseudonymiseringen prinsipper for hvordan det skal gjøre. Kommunen er databehandlingsansvarlig for opplysningene, med mindre noe annet er bestemt i forskriften. Kommunen databehandlingsansvarlig for opplysningene er, med mindre annet er noe i forskrift bestemt. Databehandlingsansvaret kan delegeres. Databehandlingsansvaret kan delegeres. (8)

Endret ved lover 15 juni 2001 Nr.§ 8. § 8. Sentrale helseregistre Sentrale helseregistre

Det kan ikke etableres andre sentrale helseregistre med helseopplysninger enn det som følger av denne eller annen lov. Etablerad Det kan ikke andre enn helseopplysninger sentrale helseregistre med det som følger av denne eller lov Annen.

Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om etablering av sentrale helseregistre og behandling av helseopplysninger i sentrale helseregistre for ivaretakelse av oppgaver etter apotekloven, kommunehelsetjenesteloven, sosialtjenesteloven, tannhelsetjenesteloven, smittevernloven og spesialisthelsetjenesteloven, herunder overordnet styring og planlegging av tjenestene, kvalitetsutvikling, forskning og statistikk. Kongen i Statsråd kan gi nærmere i Forskrift etablering bestemmelser om behandling av av og helseregistre sentrale helseopplysninger i sentrale oppgaver helseregistre for ivaretakelse av etter apotekloven, Kommunehelsetjenesteloven, Sosialtjenesteloven, tannhelsetjenesteloven, smittevernloven og spesialisthelsetjenesteloven, herunder og planlegging av Overordnet styring tjenestene, kvalitetsutvikling, forskning og Statistikk. Navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn kan bare behandles etter samtykke fra den registrerte. Navn, fødselsnummer og personidentifiserende Kjennetegn direkte eller andre kan bare etter samtykke behandla registrerte fra den. Samtykke fra den registrerte er ikke nødvendig, dersom det i forskriften bestemmes at helseopplysningene bare kan behandles i psudonymisert eller avidentifisert form. Samtykke er ikke fra den registrerte Nødvendig, dersom forskrift bestemme at det jeg kan bare helseopplysningene behandla psudonymisert eller i avidentifisert form. Forskriften skal eventuelt fastsette nærmere regler om hvem som skal foreta pseudonymiseringen og prinsipper for hvordan det skal gjøres. Forskrift skal Eventuelt fastsette nærmere regler om hvem som skal pseudonymiseringen foret prinsipper for hvordan og det skal gjøre.

      I følgende registre kan navn, fødselsnummer og andre direkte personidentifiserende kjennetegn behandles uten samtykke fra den registrerte i den utstrekning det er nødvendig for å nå formålet med registeret, og direkte personidentifiserende kjennetegn skal lagres kryptert i registrene: Jeg kan følgende registrere navn, fødselsnummer og andre personidentifiserende Kjennetegn direkte uten samtykke behandla registrerte fra den er det i den utstrekning Nødvendig for å nå med Formaletas registeret, personidentifiserende Kjennetegn direkte og skal i kryptert Lagre registrene:

1. 1.

Dødsårsaksregisteret Dødsårsaksregisteret

2. 2.

Kreftregisteret Kreftregisteret

3. 3.

Medisinsk fødselsregister Medisinsk fødselsregister

4. 4.

Meldingssystem for smittsomme sykdommer Meldingssystem for Smittsomme sykdommer

5. 5.

Det sentrale tuberkuloseregisteret Det sentrale tuberkuloseregisteret

6. 6.

System for vaksinasjonskontroll (SYSVAK) System for vaksinasjonskontroll (SYSVAK)

7. 7.

Forsvarets helseregister Forsvarets helseregister

8. 8.

Norsk pasientregister Norsk pasientregister

9. 9.

Nasjonal database for elektroniske resepter. Nasjonal database for Elektroniske resepter.

Kravet til at direkte personidentifiserende kjennetegn skal lagres kryptert i registrene gjelder ikke nasjonal database for elektroniske resepter. Kravet direkte til kl kryptert lagre personidentifiserende Kjennetegn skal ikke gjelder i registrene Nasjonal database for Elektroniske resepter.

Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om behandlingen av helseopplysningene i helseregistrene. Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om behandling av helseopplysningene i helseregistrene.

Forskriftene etter annet og fjerde ledd skal angi formålet med behandlingen av helseopplysningene og hvilke opplysninger som skal behandles. Forskriftene etter annet og skal Angi fjerde ledd Formaletas helseopplysningene av behandling med og hvilke opplysninger som skal behandla. Forskriften skal videre angi hvem som er databehandlingsansvarlig for opplysningene. Forskrift hvem som skal videre er Angi databehandlingsansvarlig for opplysningene.

Databehandlingsansvaret kan delegeres. Databehandlingsansvaret kan delegeres. Forskriftene bør også gi bestemmelser om den databehandlingsansvarliges plikt til å gjøre data tilgjengelig for at formålene kan nås. Gi Forskriftene bestemmelser bør også om den til å gjøre databehandlingsansvarliges plikt tilgjengelige data for at formålene kan nas. (9)

Endret ved lover 2 juli 2004 Nr.§ 9. § 9. Særlig om innsamling av helseopplysninger til sentrale, regionale og lokale helseregistre, meldingsplikt mv Særlig om innsamling av helseopplysninger til sentrale, regionale og lokale helseregistre, meldingsplikt mv

Virksomheter og helsepersonell som tilbyr eller yter tjenester i henhold til apotekloven, kommunehelsetjenesteloven, sosialtjenesteloven, smittevernloven, spesialisthelsetjenesteloven eller tannhelsetjenesteloven, plikter å utlevere eller overføre opplysninger som bestemt i forskrifter etter §§ 6 c, 7 og 8 samt etter paragrafen her. Virksomhet helsepersonell og tjenester som i tilbyr henhold yter eller til apotekloven, Kommunehelsetjenesteloven, Sosialtjenesteloven, smittevernloven, spesialisthelsetjenesteloven eller tannhelsetjenesteloven, plikt å utlevere bestemt eller som i overføre opplysninger forskrift etter § § 6 C, 7 lv 8 samt etter paragrafo henne.

Kongen kan gi forskrifter om innsamling av helseopplysninger etter §§ 6 c, 7 og 8, herunder bestemmelser om hvem som skal gi og motta opplysningene og om frister, formkrav og meldingsskjemaer. Om Kongen kan gi forskrift innsamling av helseopplysninger etter c § § 6, 7 og 8 bestemmelser herunder om hvem som skal gi og Motta og om opplysningene Frist formkrav og meldingsskjemaer. Den som mottar opplysningene, skal varsle avsenderen av opplysningene dersom opplysningene er mangelfulle. Den som Mottar opplysningene, Varsle avsenderen skal opplysningene dersom opplysningene er av Mangelfulle. (10)

Endret ved lover 10 juni 2005 Nr.§ 10. § 10. Særlig om plikt til å innrapportere data til statistikk Særlig plikt til å om til data innrapportere Statistikk

      Departementet kan i forskrift eller ved enkeltvedtak pålegge regionale helseforetak og helseforetak, fylkeskommuner og kommuner å innrapportere avidentifiserte eller anonyme data til statistikk, herunder gi nærmere regler om bruk av standarder, klassifikasjonssystemer og kodeverk. Departementet ved eller kan i enkeltvedtak pålegge forskrift helseforetak og regionale helseforetak, Fylkeskommune innrapportere avidentifiserte A og kommuner eller til Statistikk anonyme data, herunder gi nærmere regler om bruk av standard, klassifikasjonssystemer og kodeverk. (11)

Endret ved lov 15 juni 2001 Nr. Kapittel 3. Alminnelige bestemmelser om behandling av helseopplysninger Om behandling av Alminnelige bestemmelser helseopplysninger

§ 11. § 11. Krav til formålsbestemthet, saklighet, relevans mv Krav til formålsbestemthet, saklighet, relevans mv

Enhver behandling av helseopplysninger skal ha et uttrykkelig angitt formål som er saklig begrunnet i den databehandlingsansvarliges virksomhet. Behandling av enhver helseopplysninger skal ha et uttrykkelig angitt formål som er saklig begrunnet i den databehandlingsansvarliges virksomhet. Den databehandlingsansvarlige skal sørge for at helseopplysningene som behandles, er relevante og nødvendige for formålet med behandlingen av opplysningene. Den skal databehandlingsansvarlige sørger for at helseopplysningene som behandla, og er relevant for Formaletas Nødvendig opplysningene av behandling med.

Helseopplysninger kan bare anvendes til andre formål enn helsehjelp til den enkelte pasient eller administrasjon av slik hjelp når personidentifisering er nødvendig for å fremme disse formålene. Helseopplysninger kan bare formål Anvendes til andre enn til den enkelte pasient helsehjelp Administrasjon av slik eller når personidentifisering hjelp for å fremmed er disse Nødvendig formålene. Det skal alltid begrunnes hvorfor det er nødvendig å benytte personidentifiserbare opplysninger. Det skal alltid begrunnes hvorfor er det å benytte Nødvendig personidentifiserbare opplysninger. Tilsynsmyndigheten kan i medhold av § 31 kreve at den databehandlingsansvarlige legger frem begrunnelsen. Medhold Tilsynsmyndigheten kan jeg av at den § 31 krev databehandlingsansvarlige legger frem begrunnelsen.

      Helseopplysninger kan ikke anvendes til formål som er uforenlig med det opprinnelige formålet med innsamlingen av opplysningene, uten at den registrerte samtykker. Kan ikke til Helseopplysninger Anvendes uforenlig formål med det som er med opprinnelige Formaletas innsamlingen av opplysningene, uten at den registrerte samtykker.

§ 12. § 12. Sammenstilling av opplysninger Av Sammenstilling opplysninger

Helseopplysninger i behandlingsrettet helseregister kan sammenstilles med opplysninger om samme pasient i annet behandlingsrettet helseregister, i den grad helseopplysningene kan utleveres etter helsepersonelloven §§ 25, 26 og 45. Helseopplysninger i behandlingsrettet helseregister kan sammenstilles med opplysninger om samme pasient i annet behandlingsrettet helseregister, helseopplysningene kan i den grad utleveres etter helsepersonelloven § § 25, 26 og 45.

Helseopplysninger som behandles i registre som nevnt i § 6 c kan sammenstilles med hverandre i samsvar med formålene med registrene. Behandla Helseopplysninger som i register som nevnt i § 6 c kan sammenstilles med hverandre i samsvar med formålene med registrene.

Helseopplysninger innsamlet etter § 9, kan sammenstilles etter nærmere bestemmelser fastsatt i forskrift etter § 7 og 8. Helseopplysninger innsamlet etter § 9, kan bestemmelser fastsatte sammenstilles etter nærmere etter i forskrift § 7 og 8.

Helseopplysninger som behandles etter første, andre og tredje ledd kan sammenstilles med folkeregisteropplysninger om den registrerte. Etter første som Helseopplysninger behandla, andre og tredje ledd kan sammenstilles med folkeregisteropplysninger om den registrerte.

Ut over det som følger av denne paragraf, kan helseopplysninger bare sammenstilles når dette er tillatt etter personopplysningsloven §§ 9 og 33. Ut over det som følger av denne Paragraf, § helseopplysninger kan når dette er bare sammenstilles tillatt etter Personopplysningsloven § 9 og 33. (12)

Endret ved lov 18 des 2009 Nr.§ 13. § 13. Tilgang til helseopplysninger i den databehandlingsansvarliges og databehandlers institusjon Tilgang til helseopplysninger og i den databehandlers Institusjonen databehandlingsansvarliges

Bare den databehandlingsansvarlige, databehandlere og den som arbeider under den databehandlingsansvarliges eller databehandlers instruksjonsmyndighet, kan gis tilgang til helseopplysninger. Bare den databehandlingsansvarlige, databehandlingsansvarliges og den som databehandlere arbeider eller under den databehandlers instruksjonsmyndighet, kan gis til Tilgang helseopplysninger. Tilgang kan bare gis i den grad dette er nødvendig for vedkommendes arbeid og i samsvar med gjeldende bestemmelser om taushetsplikt. Tilgang kan bare gis er i den grad dette vedkommendes Nødvendig for samsvar arbeid i og med gjeldende bestemmelser om taushetsplikt.

Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om tilgang til helseopplysninger. Kongen i Statsråd kan i forskrift gi nærmere bestemmelser om Tilgang til helseopplysninger. Forskriften kan for tilgang til helseopplysninger i behandlingsrettede helseregistre gjøre unntak fra første ledd første punktum. Forskrift kan til helseopplysninger for Tilgang behandlingsrettede helseregistre i første ledd gjøre unntak fra første punktum.

Tilgang til helseopplysninger i behandlingsrettet helseregister på tvers av virksomheter kan bare gis etter uttrykkelig samtykke fra den registrerte. Tilgang til helseopplysninger i av behandlingsrettet helseregister virksomhet på tvers kan bare gis etter uttrykkelig samtykke fra den registrerte.

Kongen i Statsråd kan i forskrift gjøre unntak fra kravet om uttrykkelig samtykke i tredje ledd, jf. Kongen i Statsråd kan gjøre i forskrift kravet unntak fra tredje ledd om uttrykkelig samtykke i, jf.. § 2 Nr. § 2 Nr. 11. 11.

Én forespørsel om og tilgang til helseopplysninger i annen virksomhet kan bare omfatte én pasient om gangen. Tilgang forespørsel Én til og om jeg Annen helseopplysninger virksomhet pasient kan bare én om gangen omfatta.

      Den registrerte har rett til innsyn i logg fra behandlingsrettet helseregister om hvem som har hatt tilgang til helseopplysninger om ham eller henne. Den registrerte har rett til innsyn i logg fra behandlingsrettet helseregister om hvem som har hatt helseopplysninger Tilgang til skinke eller om henne. (13)

Endret ved lov 19 juni 2009 Nr. § 13a. § 13a. Forbud mot urettmessig tilegnelse av helseopplysninger Av mot urettmessig tilegnelse Forbud helseopplysninger

Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger som behandles etter denne loven uten at det er begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp eller har særskilt hjemmel i lov eller forskrift. Forbudt Det er å lese, eller på etter Søke Matt Annen tilegne sec helseopplysninger besitto bruk eller som etter denne loven behandla uten at det er begrunnet i helsehjelp til pasient, slik Administrasjon av hjelp eller har i lov eller særskilt hjemmel forskrift. (14)

Tilføyd ved lov 9 mai 2008 Nr.§ 14. § 14. Utlevering av helseopplysninger Utlevering av helseopplysninger

Helseopplysninger kan utleveres eller overføres for sammenstilling som er tillatt etter § 12. Utleveres eller kan Helseopplysninger overføre for sammenstilling som er tillatt etter § 12. Sammenstilte helseopplysninger kan, etter at navn og fødselsnummer er fjernet, utleveres eller overføres til en virksomhet som bestemt av departementet, når formålet er å avidentifisere eller å anonymisere opplysningene. Sammenstilte helseopplysninger kan etter navn og fødselsnummer på fjernet er, eller utleveres virksomhet overføre som til en bestemt av departementet, når Formaletas avidentifisere eller is å å anonymisere opplysningene.

      Helseopplysninger kan dessuten utleveres eller overføres når utlevering eller overføring har hjemmel i eller i medhold av lov, og den som mottar opplysningene har adgang til å behandle dem etter personopplysningsloven.

§ 15. Taushetsplikt

Enhver som behandler helseopplysninger etter denne lov, har taushetsplikt etter forvaltningsloven §§ 13 til 13e og helsepersonelloven.

Taushetsplikten etter første ledd gjelder også pasientens fødested, fødselsdato, personnummer, pseudonym, statsborgerforhold, sivilstand, yrke, bopel og arbeidssted.

Opplysninger til andre forvaltningsorganer etter forvaltningsloven § 13 b Nr. 5 og 6 kan bare gis når det er nødvendig for å bidra til løsning av oppgaver etter loven her, eller for å forebygge vesentlig fare for liv eller alvorlig skade for noens helse.

Taushetsplikt er likevel ikke til hinder for utlevering av opplysninger om en pasient skal betale egenandel til helsepersonell eller andre som gir helsehjelp til pasienten eller yter andre tjenester til pasienten som folketrygden er stønadspliktig for. Taushetsplikt er heller ikke til hinder for utlevering av slike opplysninger til helseforetakene i forbindelse med oppgjør for syketransport.

      Opplysninger om en pasients navn, transportbehov og om pasienten skal betale egenandel og eventuelt beløpet kan gis til transportør i forbindelse med transport som omfattes av spesialisthelsetjenesteloven § 2-1a første ledd Nr. Opplysninger om en pasientene navn, og om pasient transportbehov betale egenandel skal og kan gis til beløpet Eventuelt transportør som i forbindelse med transport av omfatter spesialisthelsetjenesteloven § 2-1a første ledd Nr.. 6. 6. (15)

Endret ved lov 18 des 2009 Nr.§ 16. § 16. Sikring av konfidensialitet, integritet, kvalitet og tilgjengelighet Sikring av konfidensialitet, integritet, kvalitet og tilgjengelighet

Den databehandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, kvalitet og tilgjengelighet ved behandling av helseopplysninger. Databehandlingsansvarlige Den databehandleren og skal gjennom og Planlagte sørger for tilfredsstillende systematiske tiltak informasjonssikkerhet med hensyn til konfidensialitet, integritet, kvalitet og ved behandling av Tilgjengelighet helseopplysninger.

For å oppnå tilfredsstillende informasjonssikkerhet skal den databehandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. For en Öppna tilfredsstillende informasjonssikkerhet skal den databehandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den databehandlingsansvarlige og hos databehandleren. Dokumentasjon tilgjengelige for medarbeiderne skal være hos hos den databehandlingsansvarlige og databehandleren. Dokumentasjonen skal også være tilgjengelig for tilsynsmyndighetene. Dokumentasjon skal også være tilgjengelige for tilsynsmyndighetene.

En databehandlingsansvarlig som lar andre få tilgang til helseopplysninger, for eksempel en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og annet ledd. I databehandlingsansvarlig Tilgang som få andre til Lar helseopplysninger, for Eksempel i databehandler utför oppdrag eller andre som i tilknytning til informasjonssystemet, at disse skal pase oppfyller kravene ledd i første og annet.

Kongen kan gi forskrift om sikkerhet ved behandling av helseopplysninger etter denne lov. Kongen kan gi forskrift om sikkerhet ved denne behandling etter lov av helseopplysninger. Kongen kan herunder sette nærmere krav til elektronisk signatur, kommunikasjon og langtidslagring, om godkjenning (autorisasjon) av programvare og om bruk av standarder, klassifikasjonssystemer og kodeverk, samt hvilke nasjonale eller internasjonale standardsystemer som skal følges. Kongen kan herunder sette krav til elektronisk signatur nærmere, kommunikasjon og langtidslagring, om godkjenning (autorisasjon) og om bruk av programvare standard AV klassifikasjonssystemer og kodeverk, internasjonale eller nasjonale samt hvilke som skal følge standardsystemer.

§ 17. § 17. Internkontroll Internkontroll

Den databehandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven, herunder sikre helseopplysningenes kvalitet. Den databehandlingsansvarlige og skal Holde vedlike Planlagte etablerad systematiske tiltak og som er for å oppfylle Nødvendig kravene i medhold av denne eller i loven, herunder Sikre helseopplysningenes kvalitet.

Den databehandlingsansvarlige skal dokumentere tiltakene. Databehandlingsansvarlige Den skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den databehandlingsansvarlige og hos databehandleren. Dokumentasjon tilgjengelige for medarbeiderne skal være hos hos den databehandlingsansvarlige og databehandleren. Dokumentasjonen skal også være tilgjengelig for tilsynsmyndighetene. Dokumentasjon skal også være tilgjengelige for tilsynsmyndighetene.

Kongen kan i forskrift gi nærmere regler om internkontroll. Kongen i forskrift kan gi nærmere regler om internkontroll.

§ 18. § 18. Databehandlers rådighet over helseopplysninger Databehandlers rådighet over helseopplysninger

En databehandler kan ikke behandle helseopplysninger på annen måte enn det som er skriftlig avtalt med den databehandlingsansvarlige. I databehandler kan ikke på Annen helseopplysninger behandla enn det som er kompis avtalt skriftlig databehandlingsansvarlige med den. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse. Opplysningene kan heller ikke til uten noen slik avtale overlaten eller andre for lagring bearbeidelse. I avtalen med den databehandlingsansvarlige skal det også gå frem at databehandleren plikter å gjennomføre slike sikringstiltak som følger av § 16. I avtalen med den databehandlingsansvarlige skal gå frem ved det også å databehandleren plikt gjennomføre som følger av Slike Sikringstiltak § 16.

§ 19. § 19. Frist for å svare på henvendelser mv Frist for å svar på henvendelser mv

Den databehandlingsansvarlige skal svare på henvendelser om innsyn eller andre rettigheter etter §§ 21, 22, 26 og 28 uten ugrunnet opphold og senest innen 30 dager fra den dagen henvendelsen kom inn. Den skal databehandlingsansvarlige svar på henvendelser om innsyn eller andre rettigheter etter § § 21, 22, 26 og 28 og uten ugrunnet Opphold Senest innen 30 dager fra den dagen kom inn henvendelser.

Dersom særlige forhold gjør det umulig å svare på henvendelsen innen 30 dager, kan gjennomføringen utsettes inntil det er mulig å gi svar. Spesielle dersom Gjør det forhold å svar på henvendelser umulig innen 30 dager, kan det gjennomføringen utsettes inntil er mulig å gi svar. Den databehandlingsansvarlige skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis. Databehandlingsansvarlige den i så fall skal gi et foreløpig svar med opplysninger Forsinkelsen til og om Grune sannsynlig Tidspunkt for når svar kan gis.

Kapittel 4. Kapittel 4. Databehandlingsansvarliges informasjonsplikt og den registrertes innsynsrett Databehandlingsansvarliges informasjonsplikt og den registrertes innsynsrett

§ 20. § 20. Informasjon til allmennheten om behandling av helseopplysninger etter loven §§ 7 og 8 Informasjon om behandling av allmennheten til etter loven helseopplysninger § § 7 og 8

Når helseopplysninger behandles etter forskrift i medhold av §§ 7 og 8, skal den databehandlingsansvarlige av eget tiltak informere allmennheten om hva slags behandling av helseopplysninger som foretas. Når behandla helseopplysninger forskrift i medhold av etter § § 7 og 8, skal den av eget databehandlingsansvarlige informeren tiltak slags allmennheten om behandling av hva som helseopplysninger Foret.

§ 21. § 21. Rett til generell informasjon om helseregistre og behandling av helseopplysninger Rett til og generell informasjon om helseregistre behandling av helseopplysninger

Enhver som ber om det, skal få vite hva slags behandling av helseopplysninger en databehandlingsansvarlig foretar, og kan kreve å få følgende informasjon om en bestemt type behandling av helseopplysninger: Enhver som ber om det, skal få vite hva slags helseopplysninger i databehandlingsansvarlig behandling av foret, og kan følgende Krev å få informasjon om en bestemt behandling av helseopplysninger type:

1. 1.

navn og adresse på den databehandlingsansvarlige og dennes eventuelle representant, navn og adresse på den og databehandlingsansvarlige Eventuelle representant Dennes,

2. 2.

hvem som har det daglige ansvaret for å oppfylle den databehandlingsansvarliges plikter, Hvem som har det for å oppfylle daglige ansvaret den databehandlingsansvarliges plikt

3. 3.

formålet med behandlingen av helseopplysningene, av behandling med Formaletas helseopplysningene,

4. 4.

beskrivelser av hvilke typer helseopplysninger som behandles, helseopplysninger beskrivelse som typer av hvilke behandla,

5. 5.

hvor opplysningene er hentet fra, og hvor opplysningene er hentet fra, og

6. 6.

om helseopplysningene vil bli utlevert, og eventuelt hvem som er mottaker. helseopplysningene vil bli utlevert om, og hvem som er Eventuelt Mottaki.

Informasjonen kan kreves hos den databehandlingsansvarlige eller hos dennes databehandler som nevnt i § 18. Informasjon kan Krev databehandlingsansvarlige eller hos den som hos databehandler Dennes nevnt i § 18.

§ 22. § 22. Rett til innsyn Rett til innsyn

Den som ber om det, har rett til innsyn i behandlingsrettet helseregister i den grad dette følger av pasientrettighetsloven § 5-1 og helsepersonelloven § 41. Den som ber om det, grad har rett til innsyn i behandlingsrettet helseregister i den av dette følger helsepersonelloven og Pasientrettighetsloven § 5.1 § 41.

Når helseopplysninger behandles etter §§ 5, 6c, 7 og 8, har den registrerte på forespørsel i tillegg til informasjon som nevnt i § 21 første ledd, rett til å få opplyst Når behandla helseopplysninger etter § § 5, 6c, 7 og 8, har den på registrerte informasjon forespørsel som i tillegg til i § 21 første nevnt ledd, rett til å få opplyst

1. 1.

hvilke helseopplysninger om den registrerte som behandles, og hvilke helseopplysninger som om den registrerte behandla, og

2. 2.

sikkerhetstiltakene ved behandlingen av helseopplysningene så langt innsyn ikke svekker sikkerheten. sikkerhetstiltakene ved behandling av helseopplysningene så langt innsyn ikke svekker sikkerhet.

Den registrerte kan også kreve at den databehandlingsansvarlige utdyper informasjonen som nevnt i § 21 første ledd i den grad dette er nødvendig for at den registrerte skal kunne vareta egne interesser. Den kan også registrerte nevnt Krev at databehandlingsansvarlige utdyper informasjon som den i § 21 første ledd er i den grad dette Nødvendig for at den registrerte skal kunne vareta egne interesser.

Informasjon etter første og annet ledd kan kreves skriftlig hos den databehandlingsansvarlige eller hos dennes databehandler som nevnt i § 18. Informasjon og annet etter første kan Krev skriftlig ledd databehandlingsansvarlige eller hos den som hos databehandler Dennes nevnt i § 18. Den som blir bedt om å gi innsyn, kan kreve at den registrerte leverer en skriftlig og undertegnet begjæring. Den som blir å gi innsyn BEDTAR om, at den kan Krev registrerte leverer i skriftlig og UNDERTEGNET begjæring.

Kongen kan i forskrift gi nærmere bestemmelser om retten til innsyn i behandling av helseopplysninger etter annet og tredje ledd. Kongen kan gi nærmere bestemmelser i forskrift innsyn i om retten til etter behandling av helseopplysninger annet og tredje ledd. Dersom særlige grunner gjør det nødvendig, kan Kongen gi forskrift om at den registrerte må betale vederlag til den databehandlingsansvarlige. Grune særlige dersom Nødvendig gjør det, kan gi Kongen registrerte Forskrift om at den må til av vederlag betale databehandlingsansvarlige. Vederlaget kan ikke overstige de faktiske kostnadene ved å etterkomme kravet. Overstige av Vederlaget faktisk kan ikke ved å etterkomme kravet kostnadene. (16)

Endret ved lov 18 des 2009 Nr.§ 23. Informasjonsplikt når det samles inn opplysninger fra den registrerte

Når det samles inn helseopplysninger fra den registrerte selv, skal den databehandlingsansvarlige av eget tiltak først informere den registrerte om

1. 1.

navn og adresse på den databehandlingsansvarlige og dennes eventuelle representant,

2. 2.

formålet med behandlingen av helseopplysningene,

3. 3.

opplysningene vil bli utlevert, og eventuelt hvem som er mottaker,

4. 4.

det er frivillig å gi fra seg helseopplysningene, og

5. 5.

annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf § 22, og retten til å kreve retting og sletting, jf §§ 26 og 28.

Varsling er ikke påkrevd dersom det er på det rene at den registrerte allerede kjenner til informasjonen i første ledd.

§ 24. Informasjonsplikt når det samles inn opplysninger fra andre enn den registrerte

En databehandlingsansvarlig som samler inn helseopplysninger fra andre enn den registrerte selv, skal av eget tiltak informere den registrerte om hvilke opplysninger som samles inn og gi informasjon som nevnt i § 23 første ledd så snart opplysningene er innhentet. Dersom formålet med innsamlingen av opplysningene er å gi dem videre til andre, kan den databehandlingsansvarlige vente med å varsle den registrerte til utleveringen skjer.

Den registrerte har ikke krav på varsel etter første ledd dersom

1. 1.

innsamlingen eller formidlingen av opplysningene er uttrykkelig fastsatt i lov,

2. 2.

varsling er umulig eller uforholdsmessig vanskelig, eller uforholdsmessig eller er varsling vanskelig umulig, eller

3. 3.

det er på det rene at den registrerte allerede kjenner til informasjonen som varslet skal inneholde. Er det på det rene at den registrerte allerede kjenner varslet som skal til informasjon inneholder.

Når varsling unnlates med hjemmel i annet ledd Nr. Når varsling unnlates med hjemmel i annet ledd Nr.. 2, skal informasjon likevel gis senest når det gjøres en henvendelse til den registrerte på grunnlag av opplysningene. 2 Likevel gis informasjon skal det gjøre når Senest i Henvendelse til den registrerte på grunnlag av opplysningene.

§ 25. § 25. Unntak fra retten til informasjon og innsyn Unntak fra informasjon og Retten til innsyn

Det kan nektes innsyn i behandlingsrettet helseregister etter reglene i pasientrettighetsloven § 5-1. Det kan i behandlingsrettet helseregister nektar innsyn etter reglene i Pasientrettighetsloven § 5-1.

Retten til innsyn etter §§ 21 og 22 annet ledd og plikten til å gi informasjon etter §§ 20, 23 og 24, omfatter ikke opplysninger som Innsyn Retten til etter § § 21 og 22 og annet ledd plikt til å gi informasjon etter § § 20, 23 og 24, omfatter som ikke opplysninger

1. 1.

om de ble kjent, ville kunne skade rikets sikkerhet, landets forsvar eller forholdet til fremmede makter eller internasjonale organisasjoner, om de ble kjent, ville kunne skade Rikets sikkerhet, landets forsvar eller forholdet til fremmede makt eller internasjonale organisasjoner,

2. 2.

det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølging av straffbare handlinger,

3. 3.

det må anses utilrådelig at den registrerte får kjennskap til, av hensyn til vedkommendes helse eller forholdet til personer som står vedkommende nær,

4. 4.

det i medhold av lov gjelder taushetsplikt for,

5. 5.

utelukkende finnes i tekst som er utarbeidet for den interne saksforberedelse og som heller ikke er utlevert til andre,

6. 6.

det vil være i strid med åpenbare og grunnleggende private eller offentlige interesser å informere om, herunder hensynet til den registrerte selv.

      Opplysninger som den registrerte nektes innsyn i etter første ledd og etter annet ledd Nr. Opplysninger registrerte nektar innsyn som den i etter etter første og annet ledd ledd Nr.. 3, har en representant for pasienten rett til innsyn i, med mindre representanten anses uskikket for dette. 3, har en representant for pasient rett til innsyn i, med mindre dette representanter for uskikket Anses. En lege eller advokat kan ikke nektes innsyn, med mindre særlige grunner taler for dette. Advokat I lege eller ikke kan nektar innsyn, Grune særlige mindre med taler for dette.

Den som nekter å gi innsyn i medhold av første eller annet ledd, må begrunne dette skriftlig med presis henvisning til unntakshjemmelen. Den som å gi nektar innsyn i av første eller annet ledd medhold, må begrunne skriftlig med dette til Presis Henvisning unntakshjemmelen.

Kapittel 5. Kapittel 5. Særlige bestemmelser om retting og sletting av helseopplysninger Spesielle bestemmelser Sletting av og om Retting helseopplysninger

§ 26. § 26. Retting av mangelfulle helseopplysninger Retting av Mangelfulle helseopplysninger

Dersom det er behandlet helseopplysninger etter §§ 5, 7 og 8 som er uriktige, ufullstendige eller som det ikke er adgang til å behandle, skal den databehandlingsansvarlige av eget tiltak eller på begjæring av den registrerte rette de mangelfulle opplysningene. Den databehandlingsansvarlige skal om mulig sørge for at feilen ikke får betydning for den registrerte. Helseopplysninger behandlet dersom det er etter § § 5, 7 og 8 som er uriktige, ufullstendige eller som ikke er adgang til det å behandla, skal den databehandlingsansvarlige av eget tiltak eller på begjæring av den registrerte rette for Mangelfulle opplysningene. Databehandlingsansvarlige Den skal om mulig Feilen sørger for at den ikke får betydning for registrerte. Dersom helseopplysningene er utlevert, skal den databehandlingsansvarlige varsle mottakere av utleverte opplysninger.

Retting av uriktige eller ufullstendige helseopplysninger som kan ha betydning som dokumentasjon, skal skje ved at opplysningene tydelig markeres og suppleres med korrekte opplysninger.

      Dersom tungtveiende personvernhensyn tilsier det, kan Datatilsynet uten hinder av annet ledd bestemme at retting skal skje ved at de mangelfulle helseopplysningene slettes eller sperres. Hvis opplysningene ikke kan kasseres i medhold av arkivloven, skal Riksarkivaren høres før det treffes vedtak om sletting. Vedtaket går foran reglene i arkivloven 4. desember 1992 Nr. 126 §§ 9 og 18.

Sletting bør suppleres med registrering av korrekte og fullstendige opplysninger. Dersom dette ikke er mulig, og dokumentet som inneholdt de slettede opplysningene av den grunn gir et åpenbart misvisende bilde, skal hele dokumentet slettes.

For retting og sletting av helseopplysninger i behandlingesrettet helseregister gjelder helsepersonelloven §§ 42 til 44. Første ledd annet og tredje punktum gjelder tilsvarende.

§ 27. Forbud mot å lagre unødvendige helseopplysninger

Den databehandlingsansvarlige skal ikke lagre helseopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen av helseopplysningene. Hvis ikke helseopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes.

I forskrift etter §§ 6 til 8 kan det bestemmes at helseopplysninger kan lagres for historiske, statistiske eller vitenskapelige formål, dersom samfunnets interesse i at opplysningene lagres klart overstiger de ulempene den kan medføre for den enkelte. Den databehandlingsansvarlige skal i så fall sørge for at opplysningene ikke oppbevares på måter som gjør det mulig å identifisere den registrerte lenger enn nødvendig.

§ 28. Sletting eller sperring av helseopplysninger som føles belastende for den registrerte

Den registrerte kan kreve at helseopplysninger som behandles etter §§ 5, 7 og 8, skal slettes eller sperres, dersom behandling av opplysningene føles sterkt belastende for den registrerte og det ikke finnes sterke allmenne hensyn som tilsier at opplysningene behandles. Krav om sletting eller sperring av slike opplysninger rettes til den databehandlingsansvarlige for opplysningene.

Datatilsynet kan, etter at Riksarkivaren er hørt, treffe vedtak om at retten til sletting etter første ledd går foran reglene i arkivloven 4. desember 1992 Nr. 126 §§ 9 og 18. Hvis dokumentet som inneholdt de slettede opplysningene, gir et åpenbart misvisende bilde etter slettingen, skal hele dokumentet slettes.

Krav om sletting av helseopplysninger i behandlingsrettede helseregistre avgjøres etter helsepersonelloven § 43.

Kapittel 6. Tilsyn, kontroll og sanksjoner

§ 29. Meldeplikt til Datatilsynet

Den databehandlingsansvarlige skal gi melding til Datatilsynet før behandling av helseopplysninger med elektroniske hjelpemidler og før opprettelse av manuelt helseregister.

Meldingen skal gis senest 30 dager før behandlingen av opplysningene tar til. Datatilsynet skal gi den databehandlingsansvarlige kvittering for at melding er mottatt.

Ny melding må gis før behandling av helseopplysninger som går ut over den rammen for behandling av helseopplysninger som er angitt i medhold av § 30. Selv om det ikke har skjedd endringer, skal det gis ny melding tre år etter at forrige melding ble gitt.

Kongen kan gi forskrift om at visse typer behandling av helseopplysninger eller databehandlingsansvarlige er unntatt fra meldeplikt eller er underlagt forenklet meldeplikt.

§ 30. Meldepliktens innhold Meldepliktens innhold

Meldingen til Datatilsynet skal opplyse om

1. 1.

navn og adresse på den databehandlingsansvarlige og på dennes eventuelle representant og databehandler,

2. 2.

når behandlingen av helseopplysningene starter,

3. 3.

hvem som har det daglige ansvaret for å oppfylle den databehandlingsansvarliges plikter,

4. 4.

formålet med behandlingen av helseopplysningene,

5. 5.

oversikt over hvilke typer helseopplysninger som skal behandles,

6. 6.

hvor helseopplysningene hentes fra,

7. 7.

det rettslige grunnlaget for innsamlingen av helseopplysningene,

8.

hvem helseopplysningene vil bli utlevert til, herunder eventuelle mottakere i andre stater, og

9.

hvilke sikkerhetstiltak som er knyttet til behandlingen av helseopplysningene.

Kongen kan gi forskrift om hvilke opplysninger meldingene skal inneholde og om gjennomføringen av meldeplikten.

§ 31. Tilsynsmyndighetene

Datatilsynet fører tilsyn med at bestemmelsene i loven blir fulgt og at feil eller mangler blir rettet, jf. personopplysningsloven § 42, med mindre tilsynsoppgaven påligger Statens helsetilsyn eller Helsetilsynet i fylket etter lov 30. mars 1984 Nr. 15 om statlig tilsyn med helsetjenesten.

Tilsynsmyndighetene kan kreve de opplysninger som trengs for at de kan gjennomføre sine oppgaver.

      Tilsynsmyndighetene kan som ledd i sin kontroll med at lovens regler etterleves, kreve adgang til steder hvor det finnes helseregistre, helseopplysninger som behandles elektronisk og hjelpemidler for slik behandling av opplysninger. Tilsynsmyndighetene kan gjennomføre de prøver eller kontroller som de finner nødvendig, og kreve bistand fra personalet på stedet i den grad dette må til for å få utført prøvene eller kontrollene.

Retten til å kreve opplysninger eller tilgang til lokaler og hjelpemidler i henhold til annet og tredje ledd gjelder uten hinder av taushetsplikt.

Tilsynsmyndighetene og andre som utfører tjeneste for tilsynsmyndighetene, har taushetsplikt etter § 15. Taushetsplikten omfatter også opplysninger om sikkerhetstiltak.

Kongen kan gi forskrift om unntak fra første til fjerde ledd av hensyn til rikets sikkerhet. Kongen kan også gi forskrift om dekning av utgiftene ved kontroll. Skyldige bidrag til dekning av utgiftene er tvangsgrunnlag for utlegg. (17)

§ 32. Adgang til å gi pålegg

      Datatilsynet kan gi pålegg om at behandling av helseopplysninger i strid med bestemmelser i eller i medhold av denne loven skal opphøre, eller stille vilkår som må oppfylles for at behandlingen av helseopplysningene skal være i samsvar med loven. Dersom det i tillegg må antas at behandlingen av helseopplysningene kan ha skadelige følger for pasienter, kan Statens helsetilsyn gi pålegg som nevnt. Når Datatilsynet har gitt et pålegg, skal Statens helsetilsyn informeres om dette. Når Statens helsetilsyn har gitt et pålegg, skal Datatilsynet informeres om dette.

Pålegg etter første ledd skal inneholde en frist for å rette seg etter pålegget.

Avgjørelser som Datatilsynet fatter i medhold av §§ 26, 28, 31, 32 og 33, kan påklages til Personvernnemnda.

§ 33. Tvangsmulkt

Ved pålegg etter § 32 kan Datatilsynet fastsette en tvangsmulkt som løper for hver dag som går etter utløpet av den fristen som er satt for oppfylling av pålegget, inntil pålegget er oppfylt.

      Tvangsmulkten løper ikke før klagefristen er ute. Hvis vedtaket påklages, løper ikke tvangsmulkt før klageinstansen har bestemt det.

Datatilsynet kan frafalle påløpt tvangsmulkt.

§ 34. Straff

Den som forsettlig eller grovt uaktsomt overtrer § 13 a, straffes med bøter eller fengsel i inntil tre måneder.

Med bøter eller fengsel inntil ett år eller begge deler straffes den som forsettlig eller grovt uaktsomt

1. 1.

behandler helseopplysninger i strid med §§ 16 eller 18,

2. 2.

unnlater å gi opplysninger til den registrerte etter §§ 23 eller 24,

3. 3.

unnlater å sende melding til Datatilsynet etter § 29,

4. 4.

unnlater å gi opplysninger til tilsynsmyndighetene etter § 31, eller

5. 5.

unnlater å etterkomme pålegg fra tilsynsmyndighetene etter § 32.

Ved særdeles skjerpende omstendigheter kan fengsel inntil tre år idømmes. Ved avgjørelsen av om det foreligger særdeles skjerpende omstendigheter skal det blant annet legges vekt på faren for stor skade eller ulempe for den registrerte, den tilsiktede vinningen ved overtredelsen, overtredelsens varighet og omfang, utvist skyld, og om den databehandlingsansvarlige tidligere er straffet for å ha overtrådt tilsvarende bestemmelser.

Medvirkning straffes på samme måte.

I forskrift som gis i medhold av loven, kan det fastsettes at den som forsettlig eller grovt uaktsomt overtrer forskriften skal straffes med bøter eller fengsel inntil ett år eller begge deler. (18)

§ 35. Erstatning

      Den databehandlingsansvarlige skal erstatte skade som er oppstått som følge av at helseopplysninger er behandlet i strid med bestemmelser i eller i medhold av loven, med mindre det godtgjøres at skaden ikke skyldes feil eller forsømmelse på den databehandlingsansvarliges side.

Erstatningen skal svare til det økonomiske tapet som den skadelidte er påført som følge av den ulovlige behandlingen av helseopplysningene. Den databehandlingsansvarlige kan også pålegges å betale slik erstatning for skade av ikke-økonomisk art (oppreisning) som synes rimelig.

Kapittel 7. Forholdet til andre lover. Ikraftsetting

§ 36. Forholdet til lov om behandling av personopplysninger

I den utstrekning ikke annet følger av denne lov, gjelder personopplysningsloven med forskrifter som utfyllende bestemmelser.

§ 37. Ikraftsetting

Loven trer i kraft fra den tid Kongen bestemmer. (19) Kongen kan bestemme at de enkelte bestemmelsene i loven skal tre i kraft til ulik tid.

§ 38. Endringer i andre lover

—————————————————————————————————————————————

 (1) Se også lov 14 april 2000 Nr.. 31 om behandling av personopplysninger. Personopplysninger om behandling av 31.

 (2) Endret ved lover 15 juni 2001 Nr.. 93 (i kraft 1 jan 2002 iflg. res. 14 des 2001 Nr. 1417). 93 (i kraft 1 januar 2002 iflg.. Res. 14 des 2001 Nr.. 1417). 20 juni 2008 Nr. 20 juni 2008 Nr.. 44 (i kraft 1 juli 2009 iflg. res. 26 juni 2009 Nr. 865). 44 (i kraft 1 juli 2009 iflg.. Res. 26 juni 2009 Nr.. 865).

 (3) Endret ved lov 20 juni 2008 Nr.. 44 (i kraft 1 juli 2009 iflg. res. 26 juni 2009 Nr. 865). 44 (i kraft 1 juli 2009 iflg.. Res. 26 juni 2009 Nr.. 865).

 (4) Endret ved lov nr 15 juni 2001. 93 (i kraft 1 jan 2002 iflg. res. 14 des 2001 Nr. 1417). 93 (i kraft 1 januar 2002 iflg.. Res. 14 des 2001 Nr.. 1417).

 (5) Tilføyd ved lov 19 juni 2009 Nr.. 68. 68.

 (6) Tilføyd ved lov 19 juni 2009 Nr.. 68. 68.

 (7) Tilføyd ved lov 18 des 2009 Nr.. 137 (i kraft 1 jan 2010 iflg. res. 18 des 2009 Nr. 1583). 137 (i kraft 1 januar 2010 iflg.. Res. 18 des 2009 Nr.. 1583).

 (8) Endret ved lover 15 juni 2001 Nr.. 93 (i kraft 1 jan 2002 iflg. res. 14 des 2001 Nr. 1417), 10 juni 2005 Nr. 93 (i kraft 1 januar 2002 iflg.. Res. 14 des 2001 Nr.. 1417), 10 juni 2005 Nr.. 47. 47.

 (9) Endret ved lover 2 juli 2004 Nr.. 59 (i kraft 1 jan 2005 iflg. res. 10 des 2004 Nr. 1614), 10 juni 2005 Nr. 59 (i kraft 1 januar 2005 iflg.. Res. 10 des 2004 Nr.. 1614), 10 juni 2005 Nr.. 47, 16 feb 2007 Nr. 47, 16 februar 2007 Nr.. 7, 15 juni 2007 Nr. 32. 7, 15 juni 2007 Nr.. 32.

 (10) Endret ved lover 10 juni 2005 Nr.. 47, 19 juni 2009 Nr. 47, 19 juni 2009 Nr.. 68, 18 des 2009 Nr. 68, 18 des 2009 Nr.. 137 (i kraft 1 jan 2010 iflg. res. 18 des 2009 Nr. 1583). 137 (i kraft 1 januar 2010 iflg.. Res. 18 des 2009 Nr.. 1583).

 (11) Endret ved lov nr 15 juni 2001. 93 (i kraft 1 jan 2002 iflg. res. 14 des 2001 Nr. 1417). 93 (i kraft 1 januar 2002 iflg.. Res. 14 des 2001 Nr.. 1417).

 (12) Endret ved lov 18 des 2009 Nr.. 137 (i kraft 1 jan 2010 iflg. res. 18 des 2009 Nr. 1583). 137 (i kraft 1 januar 2010 iflg.. Res. 18 des 2009 Nr.. 1583).

 (13) Endret ved lov 19 juni 2009 Nr.. 68. 68.

 (14) Tilføyd ved lov nr 9 mai 2008. 34 (i kraft 9 mai 2008 iflg. res. 9 mai 2008 Nr. 442). 34 (i kraft 9 mai 2008 iflg.. Res. 9 mai 2008 Nr.. 442).

 (15) Endret ved lov 18 des 2009 Nr.. 137 (i kraft 1 jan 2010 iflg. res. 18 des 2009 Nr. 1583). 137 (i kraft 1 januar 2010 iflg.. Res. 18 des 2009 Nr.. 1583).

 (16) Endret ved lov 18 des 2009 Nr.. 137 (i kraft 1 jan 2010 iflg. res. 18 des 2009 Nr. 1583).

 (17) Endret ved lov 29 aug 2003 Nr. 87 (i kraft 1 sep 2003 iflg. res. 29 aug 2003 Nr. 1092).

 (18) Endret ved lov 9 mai 2008 Nr. 34 (i kraft 9 mai 2008 iflg. res. 9 mai 2008 Nr. 442). Endres ved lov 20 mai 2005 Nr. 28 (i kraft fra den tid som fastsettes ved lov) som endret ved lov 19 juni 2009 Nr. 74.

 (19) Loven trådte i kraft 1 jan 2002 iflg. res. 18 mai 2001 Nr. 502.  

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.