Helseregisterloven

Lov 20. juni 2014 nr. 43 om helseregistre og behandling av helseopplysninger

Kapittel 1. Generelle bestemmelserkommentar icon_arrow_rightCreated with Sketch.

kommentar icon_arrow_rightCreated with Sketch.
§ 1. Lovens formål

Formålet med loven er å legge til rette for innsamling og annen behandling av helseopplysninger, for å fremme helse, forebygge sykdom og skade og gi bedre helse- og omsorgstjenester. Loven skal sikre at behandlingen foretas på en etisk forsvarlig måte, ivaretar den enkeltes personvern og brukes til individets og samfunnets beste.

kommentar icon_arrow_rightCreated with Sketch.
§ 2. Definisjoner

I denne loven forstås med:

  • helseopplysninger:personopplysninger om en fysisk persons fysiske eller psykiske helse, medregnet om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand, jf. personvernforordningen artikkel 4 nr. 15

  • behandling av helseopplysninger:enhver operasjon eller rekke av operasjoner som gjøres med helseopplysninger, enten automatisert eller ikke, for eksempel innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring, jf. personvernforordningen artikkel 4 nr. 2

  • helseregister:enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier, og som inneholder helseopplysninger, jf. personvernforordningen artikkel 4 nr. 6

  • dataansvarlig:ansvarlig for behandling av helseopplysninger, jf. personvernforordningen artikkel 4 nr. 7

  • samtykke:enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av helseopplysninger som gjelder vedkommende, jf. personvernforordningen artikkel 4 nr. 11

  • indirekte identifiserbare helseopplysninger:helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, men hvor opplysningene likevel kan knyttes til en enkeltperson.

kommentar icon_arrow_rightCreated with Sketch.
§ 3. Saklig virkeområde

Loven gjelder for behandling av helseopplysninger til statistikk, helseanalyser, forskning, kvalitetsforbedring, planlegging, styring og beredskap i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten.

For opplysninger som er taushetsbelagte etter helsepersonelloven § 21, og for opplysninger om avdøde personer gjelder bestemmelsene her om behandling av helseopplysninger så langt de passer.

Loven gjelder også tilsvarende for behandling av opplysninger i Helsearkivregisteret i Norsk helsearkiv.

Loven gjelder ikke for behandling av helseopplysninger som reguleres av helseforskningsloven eller pasientjournalloven.

Kongen i statsråd kan i forskrift bestemme at loven helt eller delvis skal gjelde for behandling av helseopplysninger utenfor helse- og omsorgsforvaltningen eller helse- og omsorgstjenesten.

kommentar icon_arrow_rightCreated with Sketch.
§ 4. Geografisk virkeområde

Loven gjelder for dataansvarlige som er etablert i Norge. Kongen kan i forskrift bestemme at loven helt eller delvis skal gjelde for Svalbard og Jan Mayen, og kan fastsette særlige regler om behandling av helseopplysninger for disse områdene.

kommentar icon_arrow_rightCreated with Sketch.
§ 5. Forholdet til personvernforordningen og personopplysningsloven

Personvernforordningen og personopplysningsloven gjelder så langt ikke noe annet følger av denne loven.

Kapittel 2. Tillatelse til å behandle helseopplysninger og etablering av helseregistrekommentar icon_arrow_rightCreated with Sketch.

kommentar icon_arrow_rightCreated with Sketch.
§ 6. Alminnelige vilkår for å behandle helseopplysninger

Helseopplysninger skal behandles i samsvar med prinsippene for behandling i personvernforordningen artikkel 5.

Graden av personidentifikasjon skal ikke være større enn nødvendig for det aktuelle formålet. Graden av personidentifikasjon skal begrunnes. Tilsynsmyndigheten kan kreve at den dataansvarlige legger frem begrunnelsen.

Departementet kan gi forskrift om godkjenning av programvare, sertifisering og om bruk av standarder, klassifikasjonssystemer og kodeverk, samt hvilke nasjonale eller internasjonale standardsystemer som skal følges ved behandling av helseopplysninger etter denne loven.

kommentar icon_arrow_rightCreated with Sketch.
§ 7. (Opphevet ved lov 15 juni 2018 nr. 38.)
kommentar icon_arrow_rightCreated with Sketch.
§ 8. Vilkår for etablering av helseregistre ved forskrift

Kongen i statsråd kan i forskrift gi nærmere bestemmelser om etablering av helseregistre og behandling av helseopplysninger i registre etter §§ 9, 10 eller 11, når vilkårene i denne bestemmelsen og § 6 er oppfylt.

Den helsefaglige eller samfunnsmessige nytten av registeret må klart overstige personvernulempene.

Registrene skal ivareta oppgaver etter apotekloven, folkehelseloven, helse- og omsorgstjenesteloven, legemiddelloven, smittevernloven, spesialisthelsetjenesteloven og tannhelsetjenesteloven.

Forskriften skal blant annet angi

  • formålet med behandlingen av helseopplysningene,

  • hvilke typer opplysninger som kan behandles,

  • krav til identitetsforvaltning,

  • krav til sikring av opplysningene, og

  • hvem som er dataansvarlig.

kommentar icon_arrow_rightCreated with Sketch.
§ 9. Registre som er samtykkebaserte eller uten direkte personidentifiserende kjennetegn

Kongen i statsråd kan, i samsvar med vilkår i § 8, gi forskrift om behandling av opplysninger i helseregistre dersom

  • den registrerte samtykker, eller

  • opplysningene behandles uten at den dataansvarlige har tilgang til navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn.

kommentar icon_arrow_rightCreated with Sketch.
§ 10. Helseregistre der den registrerte har rett til å motsette seg behandling av helseopplysninger

Kongen i statsråd kan i samsvar med vilkårene i § 8 gi forskrift om behandling av opplysninger i helseregistre der navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn skal kunne behandles uten samtykke fra den registrerte. Slike forskrifter kan gis dersom

  • det for å oppnå formålet med behandlingen av opplysningene, og av hensyn til registerets kvalitet, ikke kan kreves at samtykke innhentes, og

  • den registrerte har rett til å motsette seg at helseopplysninger behandles i registeret.

kommentar icon_arrow_rightCreated with Sketch.
§ 11. Lovbestemte helseregistre

Kongen i statsråd kan i samsvar med vilkårene i § 8 gi forskrift om behandling av opplysninger i helseregistre der navn, fødselsnummer og andre direkte personidentifiserende kjennetegn skal kunne behandles uten samtykke fra den registrerte i den utstrekning det er nødvendig for å nå formålet med registeret.

Det kan gis forskrifter om følgende registre:

  • Dødsårsaksregisteret

  • Kreftregisteret

  • Medisinsk fødselsregister

  • Meldingssystem for smittsomme sykdommer (MSIS)

  • System for vaksinasjonskontroll (SYSVAK)

  • Forsvarets helseregister

  • Norsk pasientregister

  • Nasjonalt register over hjerte- og karlidelser

  • System for bivirkningsrapportering.

  • Kommunalt pasient- og brukerregister (KPR).

Kreftregisteret kan inneholde helseopplysninger om personer som har deltatt i undersøkelsesprogram for tidlig diagnose og kontroll for kreftsykdom. Ved negativt funn kan opplysninger om navn, fødselsnummer, adresse, bostedskommune og sivilstand registreres permanent, med mindre den registrerte motsetter seg det. Dersom den registrerte har motsatt seg permanent registrering, skal opplysningene slettes etter at de er kvalitetssikret og senest seks måneder etter innsamlingen. Dette leddet gjelder også funn som er innsamlet før 1. januar 2014.

kommentar icon_arrow_rightCreated with Sketch.
§ 12. Helsearkivregisteret

Kongen i statsråd kan i forskrift gi bestemmelser om etablering av Helsearkivregisteret.

Helsearkivregisteret er et helseregister med personidentifiserbar pasientdokumentasjon om avdøde pasienter. Opplysningene i Helsearkivregisteret behandles uten de registrertes samtykke.

Riksarkivaren er dataansvarlig for opplysningene i Helsearkivregisteret, jf. arkivlova § 4.

Kongen i statsråd kan i forskrift gi nærmere bestemmelser om behandlingen av helseopplysningene i registeret og formålet med behandlingen. Forskriften skal angi den dataansvarliges plikt til å gjøre data tilgjengelig.

Kongen i statsråd kan i forskriften gi nærmere bestemmelser om bevaring, kassasjon og avlevering av pasientdokumentasjon for private virksomheter som yter tjenester etter spesialisthelsetjenesteloven.

kommentar icon_arrow_rightCreated with Sketch.
§ 13. Innmelding av helseopplysninger til helseregistre

Virksomheter og helsepersonell som tilbyr eller yter tjenester som omfattes av apotekloven, folkehelseloven, helse- og omsorgstjenesteloven, legemiddelloven, smittevernloven, spesialisthelsetjenesteloven eller tannhelsetjenesteloven plikter å melde opplysninger som bestemt i forskrifter etter §§ 8 til 12. Innmelding til registre etter §§ 9 bokstav b, 10, 11 og 12 kan skje uten hinder av taushetsplikt.

Kongen kan gi forskrifter om innmelding av helseopplysninger til registre som omfattes av §§ 8 til 12, blant annet om hvem som skal gi og motta opplysningene og om frister, formkrav, bruk av meldingsskjemaer og standarder. Den som mottar opplysningene, skal varsle avsenderen dersom opplysningene er mangelfulle.

kommentar icon_arrow_rightCreated with Sketch.
§ 14. Opplysninger fra Folkeregisteret

Dataansvarlige kan innhente personopplysninger de har tillatelse til å behandle etter §§ 8 til 12, fra Folkeregisteret.

kommentar icon_arrow_rightCreated with Sketch.
§ 15. Hvem som har samtykkekompetanse

Rett til å samtykke til behandling av helseopplysninger har

  • myndige personer, og

  • mindreårige etter fylte 16 år.

For samtykke til behandling av opplysninger som gjelder personer under 16 år, gjelder pasient- og brukerrettighetsloven § 4-4 tilsvarende. Dersom barn mellom 12 og 16 år, av grunner som bør respekteres, ikke ønsker at foreldrene, andre med foreldreansvar eller barnevernstjenesten gjøres kjent med opplysninger om barnet, skal dette ivaretas.

For personer uten samtykkekompetanse etter pasient- og brukerrettighetsloven § 4-3 andre ledd, skal nærmeste pårørende etter pasient- og brukerrettighetsloven § 1-3 bokstav b gi samtykke.

For personer som er fratatt rettslig handleevne på det personlige området, gjelder pasient- og brukerrettighetsloven § 4-7 tilsvarende.

Departementet kan i forskrift bestemme at barn mellom 12 og 16 år kan samtykke til behandling av helseopplysninger for nærmere bestemte spesielle formål.

kommentar icon_arrow_rightCreated with Sketch.
§ 16. Plikt til å innrapportere data til statistikk

Departementet kan i forskrift eller ved enkeltvedtak pålegge regionale helseforetak, helseforetak, fylkeskommuner og kommuner å innrapportere anonyme data eller indirekte identifiserbare helseopplysninger, uten hensyn til taushetsplikt, til statistikk. Forskriften kan ha nærmere regler om blant annet bruk av standarder, klassifikasjonssystemer og kodeverk.

Kapittel 3. Alminnelige bestemmelser om behandling av helseopplysningerkommentar icon_arrow_rightCreated with Sketch.

kommentar icon_arrow_rightCreated with Sketch.
§ 17. Taushetsplikt

Enhver som behandler helseopplysninger etter denne loven, har taushetsplikt etter helsepersonelloven §§ 21 flg. Andre som får adgang eller kjennskap til helseopplysninger fra helseregistre, har samme taushetsplikt.

kommentar icon_arrow_rightCreated with Sketch.
§ 18. Forbud mot urettmessig tilegnelse av taushetsbelagte helseopplysninger

Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger som behandles etter denne loven, uten særskilt hjemmel i lov eller forskrift.

kommentar icon_arrow_rightCreated with Sketch.
§ 19. Sammenstilling av helseopplysninger

Kongen i statsråd kan gi forskrift om sammenstilling av helseopplysninger innsamlet etter § 13. Sammenstilling kan tillates for opplysninger i helseregistre etablert med hjemmel i §§ 8 til 12. Kongen i statsråd kan bestemme at opplysningene i disse registrene også skal kunne sammenstilles med opplysninger i Folkeregisteret eller andre registre.

Den dataansvarlige kan tilgjengeliggjøre helseopplysninger for sammenstillingen. Med mindre annet følger av lov eller i medhold av lov, skal resultatet av sammenstillingen ikke inneholde navn, fødselsnummer eller andre direkte identifiserende kjennetegn. Sammenstillingen skal gjøres av den dataansvarlige for et av registrene eller en virksomhet departementet bestemmer.

Ut over dette kan helseopplysninger bare sammenstilles med andre opplysninger når dette er tillatt etter personvernforordningen, personopplysningsloven eller annen lov.

kommentar icon_arrow_rightCreated with Sketch.
§ 20. Unntak fra taushetsplikten for indirekte identifiserbare helseopplysninger

Taushetsplikt er ikke til hinder for at den dataansvarlige kan tilgjengeliggjøre indirekte identifiserbare helseopplysninger til forskning, helseanalyser, og kvalitetssikring, administrasjon, planlegging eller styring av helse- og omsorgstjenesten. Dette gjelder bare helseopplysninger i registre som er etablert med hjemmel i § 11.

Helseopplysningene kan bare tilgjengeliggjøres dersom behandlingen av dem er av vesentlig interesse for samfunnet, hensynet til pasientens integritet og konfidensialitet er ivaretatt, og behandlingen er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn. Den dataansvarlige kan stille vilkår for tilgjengeliggjøringen for å verne den registrertes grunnleggende rettigheter og interesser.

kommentar icon_arrow_rightCreated with Sketch.
§ 21. Informasjonssikkerhet

Den dataansvarlige og databehandleren skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32. Den dataansvarlige og databehandleren skal blant annet sørge for tilgangsstyring, logging og etterfølgende kontroll. I registre som er etablert med hjemmel i §§ 10 eller 11, skal direkte personidentifiserende kjennetegn lagres kryptert.

Departementet kan i forskrift fastsette nærmere krav til informasjonssikkerhet ved behandling av helseopplysninger.

kommentar icon_arrow_rightCreated with Sketch.
§ 22. Internkontroll

Den dataansvarlige skal gjennomføre tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med personvernforordningen, personopplysningsloven og denne loven, jf. forordningen artikkel 24.

Departementet kan i forskrift gi nærmere regler om tekniske og organisatoriske tiltak etter første ledd.

Kapittel 4. Informasjon, innsyn, retting, sletting og sperringkommentar icon_arrow_rightCreated with Sketch.

kommentar icon_arrow_rightCreated with Sketch.
§ 23. Informasjon til allmennheten om behandling av helseopplysninger

En dataansvarlig som behandler opplysninger etter forskrift i medhold av §§ 8 til 11, skal av eget tiltak informere allmennheten om hva slags behandling av helseopplysninger som foretas.

kommentar icon_arrow_rightCreated with Sketch.
§ 24. Rett til informasjon og innsyn

Den registrerte har rett til informasjon og innsyn i henhold til personvernforordningen artikkel 13 til 15. Retten til informasjon og innsyn gjelder ikke opplysninger som omfattes av unntakene i personopplysningsloven §§ 16 og 17.

Den registrerte har også rett til innsyn i hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til den registrertes navn eller fødselsnummer, fra helseregistre etter §§ 8 til 11. Departementet kan i særlige tilfeller gi den dataansvarlige en tidsbegrenset dispensasjon fra plikten til å gi innsyn etter dette leddet.

Når det er nødvendig for å vurdere innsynskrav, kan den dataansvarlige innhente personopplysninger fra Folkeregisteret. Dette gjelder uten hensyn til taushetsplikt.

Kongen kan i forskrift gi nærmere bestemmelser om retten til informasjon og innsyn.

kommentar icon_arrow_rightCreated with Sketch.
§ 25. Retting, sperring eller sletting

Den registrerte kan kreve retting eller sletting etter personvernforordningen artikkel 16 og 17. Unntaket i personopplysningsloven § 17 andre og tredje ledd gjelder. Den registrerte kan også kreve at helseopplysninger som behandles etter §§ 8 til 11, skal slettes eller sperres, dersom behandling av opplysningene føles sterkt belastende for den registrerte, og det ikke finnes sterke allmenne hensyn som tilsier at opplysningene behandles. Krav om retting, sletting eller sperring av opplysninger rettes til den dataansvarlige for opplysningene.

Datatilsynet kan, etter at Riksarkivaren er hørt, treffe vedtak om at retten til sletting etter første ledd går foran reglene i arkivloven §§ 9 og 18. Hvis dokumentet som inneholdt de slettede opplysningene, gir et åpenbart misvisende bilde etter slettingen, skal hele dokumentet slettes.

Kapittel 5. Tilsyn og sanksjoner

kommentar icon_arrow_rightCreated with Sketch.
§ 26. Tilsynsmyndighetene

Datatilsynet fører tilsyn med overholdelsen av loven og forskrifter gitt i medhold av loven. Dette gjelder ikke for tilsynsoppgaver som påligger Statens helsetilsyn eller Fylkesmannen etter helsetilsynsloven.

kommentar icon_arrow_rightCreated with Sketch.
§ 27. (Opphevet ved lov 15 juni 2018 nr. 38.)
kommentar icon_arrow_rightCreated with Sketch.
§ 28. (Opphevet ved lov 15 juni 2018 nr. 38.)
kommentar icon_arrow_rightCreated with Sketch.
§ 29. Overtredelsesgebyr

Ved behandling av helseopplysninger i strid med loven eller forskrifter gitt i medhold av loven, kan Datatilsynet ilegge overtredelsesgebyr etter personvernforordningen artikkel 83 og personopplysningsloven §§ 26 og 27.

kommentar icon_arrow_rightCreated with Sketch.
§ 30. Straff

Den som forsettlig eller grovt uaktsomt overtrer § 17 om taushetsplikt eller § 18om forbud mot urettmessig tilegnelse av helseopplysninger, straffes med bøter eller fengsel i inntil tre måneder.

Ved særdeles skjerpende omstendigheter kan fengsel inntil tre år idømmes. Ved avgjørelsen av om det foreligger særdeles skjerpende omstendigheter skal det blant annet legges vekt på faren for stor skade eller ulempe for den registrerte, den tilsiktede vinningen ved overtredelsen, overtredelsens varighet og omfang, utvist skyld, og om den databehandlingsansvarlige tidligere er straffet for å ha overtrådt tilsvarende bestemmelser.

kommentar icon_arrow_rightCreated with Sketch.
§ 31. Erstatning

Den dataansvarlige og databehandleren skal erstatte skader som er oppstått som følge av at helseopplysninger er behandlet i strid med personvernforordningen, etter forordningen artikkel 82 og personopplysningsloven § 30. Ansvaret gjelder tilsvarende ved brudd på denne loven eller forskrifter gitt i medhold av loven.

Kapittel 6. Ikraftsetting m.m.

kommentar icon_arrow_rightCreated with Sketch.
§ 32. Ikraftsetting

Loven trer i kraft fra den tid Kongen bestemmer. Fra samme tid oppheves lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger.

Kongen kan bestemme at de enkelte bestemmelsene i loven skal tre i kraft til ulik tid.

kommentar icon_arrow_rightCreated with Sketch.
§ 33. Videreføring av forskrifter

Forskrifter gitt i medhold av lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger gjelder også etter at loven her har trådt i kraft. Dette gjelder selv om forskriften ikke har alle bestemmelser som kreves etter § 8 fjerde ledd.