Pasientjournalloven

Lov 20. juni 2014 nr. 42 om behandling av helseopplysninger ved ytelse av helsehjelp

Kapittel 1. Generelle bestemmelser

§ 1. Lovens formål

(1) Lovens formål er å forebygge og avdekke hvitvasking og terrorfinansiering.

(2) Tiltakene i loven skal beskytte det finansielle og økonomiske systemet samt samfunnet som helhet ved å forebygge og avdekke at rapporteringspliktige brukes eller forsøkes brukt som ledd i hvitvasking eller terrorfinansiering.

§ 2. Definisjoner

I denne loven forstås med:

a)
hvitvasking: handling som beskrevet i straffeloven § 332 og § 337.
b)
terrorfinansiering: handling som beskrevet i straffeloven § 135 eller finansiering som beskrevet i straffeloven § 136 a.
c)
rapporteringspliktig: person som nevnt i § 4 første, annet og femte ledd.
d)
transaksjon: enhver overføring, formidling, ombytting eller plassering av formuesgoder.
e)
reell rettighetshaver: fysisk person som i siste instans eier eller kontrollerer kunden, eller som en transaksjon eller aktivitet gjennomføres på vegne av.
f)
politisk eksponert person: person som har eller har hatt viktig offentlig verv. Verv eller stilling på mellomnivå eller lavere nivå omfattes ikke. Departementet fastsetter i forskrift en liste over de stillinger og verv som i Norge regnes for å være viktige offentlige verv, og kan også for øvrig fastsette hvilke stillinger og verv som skal regnes som viktige offentlige verv. Med mindre annet følger av forskrift etter tredje punktum regnes blant annet følgende stillinger og verv som viktige offentlige verv:
- 1.
  statsoverhode, regjeringssjef, minister eller assisterende minister
- 2.
  medlem av nasjonalforsamling
- 3.
  medlem av styrende organ i politisk parti
- 4.
  medlem av høyere rettsinstans hvis avgjørelser ikke kan ankes annet enn under ekstraordinære omstendigheter
- 5.
  medlem av styre i riksrevisjon, revisjonsdomstol eller sentralbank
- 6.
  ambassadør, chargé d'affaires eller militær offiser av høyere rang
- 7.
  medlem av administrativt, ledende eller kontrollerende organ i statlig foretak
- 8.
  direktør, styremedlem eller annen person i øverste ledelse i internasjonal organisasjon
g)
nært familiemedlem: foreldre, ektefelle, registrert partner, samboer og barn, samt barns ektefelle, registrert partner eller samboer.
h)
kjent medarbeider: fysisk person som er kjent for å
- 1.
  være reell rettighetshaver i juridisk person, sammenslutning eller utenlandsk juridisk arrangement i felleskap med politisk eksponert person
- 2.
  ha nær forretningsforbindelse til politisk eksponert person
- 3.
  være eneste reelle rettighetshaver i juridisk person, sammenslutning eller utenlandsk juridisk arrangement som i realiteten er etablert for å begunstige politisk eksponert person.
i)
korrespondentforbindelse:
- 1.
  yting av banktjenester fra en bank som korrespondent til en annen bank som respondent, herunder opprettelse av en foliokonto eller annen trekkonto med tilknyttede tjenester, som likviditetsstyring, internasjonale pengeoverføringer, sjekkavregning, oppgjørskontoer og valutatjenester, og
- 2.
  forbindelsene mellom rapporteringspliktige som nevnt i § 4 første ledd bokstav a til c, e, g til l og n til p seg imellom, herunder der lignende tjenester ytes av en korrespondentinstitusjon til en respondentinstitusjon, samt forbindelsene som er opprettet med sikte på verdipapirtransaksjoner, pengeoverføringer og overføringer av kryptoeiendeler.
j)
tilbyder av virksomhetstjeneste: fysisk og juridisk person som ervervsmessig tilbyr en eller flere av følgende tjenester til tredjeperson:
- 1.
  å opprette selskap eller annen juridisk person
- 2.
  å opptre som styremedlem, daglig leder eller deltaker i et selskap, eller å inneha en lignende funksjon i andre juridiske personer
- 3.
  å stille til rådighet forretningsadresse, administrativ adresse eller postadresse og tilknyttet tjeneste for selskap, annen juridisk person eller juridisk arrangement
- 4.
  å forvalte utenlandsk trust eller lignende juridisk arrangement
- 5.
  å opptre som aksjeeier for annen person, med mindre denne er et selskap som har finansielle instrumenter opptatt til notering på et regulert marked i EØS-stat eller er underlagt informasjonsplikt tilsvarende det som gjelder ved notering på et regulert marked i EØS-stat
- 6.
  å sørge for at andre personer opptrer i posisjoner som nevnt i nr. 2, 4 og 5
k)
tilbyder av spilltjeneste: fysisk eller juridisk person som arrangerer spill som krever tillatelse etter lotteriloven, pengespilloven eller totalisatorloven. Når en entreprenør arrangerer lotteri på vegne av en organisasjon eller forening, anses entreprenøren som tilbyder av spilltjenesten.
l.
kryptoeiendeler: eiendeler som nevnt i forordning (EU) 2023/1114 artikkel 3 nr. 1 punkt 5, med unntak av eiendeler som nevnt i artikkel 2 nr. 2 til 4 og eiendeler som nevnt i forordning (EU) 2023/1113 artikkel 3 punkt 8.
m.
kryptoeiendelstjenesteyter: person som nevnt i forordning (EU) 2023/1114 artikkel 3 nr. 1 punkt 15, når vedkommende yter tjenester som nevnt i artikkel 3 nr. 1 punkt 16, unntatt når vedkommende yter rådgivning som nevnt i artikkel 3 nr. 1 punkt 16 bokstav h.
n.
frittstående adresse: frittstående adresse som nevnt i forordning (EU) 2023/1113 artikkel 3 punkt 20.

§ 3. Geografisk virkeområde

(1) Loven gjelder for rapporteringspliktige som er etablert i Norge, herunder filialer av utenlandske foretak.

(2) Loven gjelder for Svalbard og Jan Mayen. Departementet kan i forskrift fastsette at deler av loven ikke skal gjelde på Svalbard og Jan Mayen, og fastsette særlige regler for disse områdene for fremme av lovens formål.

§ 4. Anvendelsesområde

(1) Loven gjelder for følgende juridiske personer:

a)
bank
b)
kredittforetak
c)
finansieringsforetak
d)
Norges Bank
e)
e-pengeforetak
f)
foretak som driver valutavirksomhet
g)
betalingsforetak og andre som har rett til å yte betalingstjenester
h)
verdipapirforetak
i)
forvaltningsselskap for verdipapirfond
j)
forsikringsforetak
k)
foretak som driver forsikringsformidling som ikke er gjenforsikringsmegling
l)
verdipapirsentraler, i tilfeller der verdipapirsentralen ikke benytter ekstern kontofører som er rapporteringspliktig. For kontohavere og utstedere som har ekstern kontofører som er rapporteringspliktig, er det kontoføreren som er rapporteringspliktig.
m)
foretak som driver depotvirksomhet
n)
forvalter av alternative investeringsfond
o)
finansmeglerforetak
p)
kryptoeiendelstjenesteytere

(2) Loven gjelder også for følgende juridiske og fysiske personer i utøvelsen av deres yrke:

a)
statsautoriserte og registrerte revisorer, godkjente revisjonsselskaper og revisorer som er ansvarlig for revisjon av regnskap for kommune, fylkeskommune eller kommunalt eller fylkeskommunalt foretak. Tilbyr personer eller foretak som nevnt i første punktum virksomhetstjenester, er de uansett underlagt loven på dette grunnlaget.
b)
statsautoriserte regnskapsførere og regnskapsselskaper. Tilbyr personer eller foretak som nevnt i første punktum virksomhetstjenester, er de uansett underlagt loven på dette grunnlaget.
c)
advokater, advokatforetak og andre som ervervsmessig eller stadig yter selvstendig rettshjelp, når de på klientens vegne utfører finansiell transaksjon eller en transaksjon som gjelder fast eiendom, eller når de bistår ved planlegging eller utføring av transaksjon for klient i forbindelse med
- 1.
  kjøp og salg av fast eiendom eller virksomhet
- 2.
  forvaltning av en klients penger, verdipapir eller andre aktiva
- 3.
  åpning eller forvaltning av bank- eller verdipapirkonto
- 4.
  fremskaffelse av nødvendig kapital til opprettelse, drift eller ledelse av selskap
- 5.
  opprettelse, drift eller ledelse av selskap, fond eller en lignende juridisk person eller formuesmasse, herunder utenlandsk trust eller tilsvarende juridisk arrangement.
d)
eiendomsmeglere og eiendomsmeglingsforetak
e)
tilbydere av virksomhetstjenester
f)
personer med begrenset tillatelse til å yte betalingstjenester
g)
tilbydere av spilltjeneste
h)
personer som ervervsmessig handler med eller formidler handler med kunst, når det gjennomføres eller kan antas at det vil bli gjennomført transaksjoner, herunder transaksjoner som gjennomføres i flere operasjoner som ser ut til å ha sammenheng, verdt 80 000 kroner eller mer
i)
personer som ervervsmessig tilbyr tjenester som er særlig egnet til, tilpasset for eller utformet med sikte på oppbevaring av kunst, når det gjennomføres eller kan antas at det vil bli gjennomført transaksjoner, herunder transaksjoner som gjennomføres i flere operasjoner som ser ut til å ha sammenheng, verdt 80 000 kroner eller mer, eller når det oppbevares kunst som er eller antas å være verdt 80 000 kroner eller mer.

(3) § 5 gjelder for forhandlere av gjenstander.

(4) Når rapporteringspliktige fysiske personer etter annet ledd er ansatt i rapporteringspliktige juridiske personer etter samme ledd, er det bare den juridiske personen som er underlagt reglene i loven om risikovurdering, rutiner, internkontroll, opplæring og varsling. Dette gjelder likevel ikke rapporteringspliktige advokater når de driver eiendomsmegling i medhold av norsk advokatbevilling etter eiendomsmeglingsloven § 2-1 første ledd nr. 2.

(5) Departementet kan i forskrift gi regler som gir loven anvendelse for foretak som formidler finansiering ved donasjon.

(6) Departementet kan i forskrift gi regler om lovens anvendelse for agenter av utenlandske betalingsforetak, herunder gjennomføring av tilsyn og ileggelse av sanksjoner.

(7) Departementet kan i forskrift gjøre unntak fra bestemmelsene i loven for rapporteringspliktige som driver sporadisk eller svært begrenset finansiell aktivitet og for tilbydere av spilltjenester.

§ 5. Forholdet til personvernforordningen og personopplysningsloven

Personvernforordningen og personopplysningsloven gjelder så langt ikke noe annet følger av loven her.

Forarbeider

Prop. 56 LS (2017–2018) kapittel 17, 32 og merknadene til personopplysningsloven § 18 i punkt 38.1. Prop. 72 L (2013–2014) merknadene til pasientjournalloven § 5 i punkt 24.1. Ot.prp. nr. 5 (1999–2000) punkt 13.1.

Litteratur

Artikkel 29-gruppen, Guidelines on Data Protection Officers (‘DPOs’), 5. april 2017. Skullerud, Åste Marie Bergseng, Marius Engh Pellerud, Cecilie Rønnevik og Jørgen Skorstad, Personvernforordningen (GDPR). Kommentarutgave à jour per 1.april 2023, kommentarene til artiklene 37 til 39 om personvernombud.

Kapittel 2. Pasientjournaler og andre behandlingsrettede helseregistre

§ 6. Rett til å behandle helseopplysninger

Behandlingsrettede helseregistre må ha hjemmel i lov.

Helseopplysninger i behandlingsrettede helseregistre kan bare behandles når det er nødvendig for å kunne gi helsehjelp, eller for administrasjon, internkontroll eller kvalitetssikring av helsehjelpen.

Ved behandling av helseopplysninger til internkontroll eller kvalitetssikring skal opplysningene så langt som mulig behandles uten at den registrertes navn og fødselsnummer fremgår.

Forarbeider

Innst. 278 L (2017–2018). Prop. 56 LS (2017–2018) kapittel 12, 32 og merknadene til pasientjournalloven § 6 i punkt 38.2. Innst. 295 L (2013–2014) (pasientjournallov og helseregisterlov). Prop. 72 L (2013–2014) punkt 10.3.2 og merknadene til pasientjournalloven § 6 i punkt 24.1. Ot.prp. nr. 5 (1999–2000) merknadene til helseregisterloven §§ 5, 29 og 30 i kapittel 6. Ot.prp. nr. 92 (1998–1999) merknadene til personopplysningsloven §§ 11, 31 og 32 i kapittel 16.

Litteratur

Skullerud, Åste Marie Bergseng, Marius Engh Pellerud, Cecilie Rønnevik og Jørgen Skorstad, Personvernforordningen (GDPR). Kommentarutgave à jour per 1.april 2023, kommentarene til artikkel 5, 6 og 9. Befring, Anne Kjersti. Persontilpasset medisin. Rettslige perspektiver. Gyldendal, 2019

§ 7. Krav til behandlingsrettede helseregistre

Behandlingsrettede helseregistre skal understøtte pasientforløp i klinisk praksis og være lett å bruke og å finne frem i.

Behandlingsrettede helseregistre skal være utformet og organisert slik at krav fastsatt i eller i medhold av lov kan oppfylles. Dette gjelder blant annet regler om:

a)
taushetsplikt, jf. § 15,
b)
forbud mot urettmessig tilegnelse av helseopplysninger, jf. § 16,
c)
retten til å motsette seg behandling av helseopplysninger, jf. § 17,
d)
retten til informasjon og innsyn, jf. § 18,
e)
helsepersonells dokumentasjonsplikt, jf. helsepersonelloven § 39,
f)
tilgjengeliggjøring av helseopplysninger, jf. §§ 19 og 20 og
g)
informasjonssikkerhet og internkontroll, jf. §§ 22 og 23

Departementet kan i forskrift gi nærmere bestemmelser om plikt til å ha elektroniske systemer, om godkjenning av programvare og sertifisering og om bruk av standarder, standardsystemer, kodeverk og klassifikasjonssystemer.

Forarbeider

Prop. 112 L (2020-2021) kapittel 7 Prop. 72 L (2013–2014) merknadene til pasientjournalloven § 7 i punkt 24.1. Prop. 91 L (2010–2011) punkt 26.7 (helse- og omsorgstjenesteloven). Ot.prp. nr. 13 (1998–1999) kapittel 8 og merknadene til helsepersonelloven §§ 39 og 40 i kapittel 26.

Litteratur

Det europeiske Personvernrådet, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default. Befring, Anne Kjersti og Inger Johanne Sand. Kunstig intelligens og big data i helsesektoren. Rettslige perspektiver, 2020 Befring, Anne Kjersti. Persontilpasset medisin. Rettslige perspektiver, 2019. Hauge, Hans Nielsen, Den digitale helsetjenesten, 2017, side 195 flg. Helse- og omsorgsdepartementet, Høring av forslag til forskrift om IKT-standarder i helse- og omsorgssektoren, 24. juni 2013.

Forskrifter

Forskrift om standarder og nasjonale e-helseløsninger (forskrift 1. juli 2015 nr. 853)

§ 8. Virksomheters plikt til å sørge for behandlingsrettede helseregistre

Virksomheter som yter helsehjelp skal sørge for å ha behandlingsrettede helseregistre for gjennomføring av helsepersonells dokumentasjonsplikt, jf. helsepersonelloven § 39.

Departementet kan gi forskrift om at virksomheter som yter helse- og omsorgstjenester etter spesialisthelsetjenesteloven, helse- og omsorgstjenesteloven, apotekloven og tannhelsetjenesteloven, skal ta i bruk følgende nasjonale e-helseløsninger i virksomheten:

a)
helsenettet: nasjonal infrastruktur med felles tjenester og felleskomponenter for utveksling av opplysninger med virksomheter i helse- og omsorgssektoren
b)
nasjonal kjernejournal opprettet etter § 13
c)
elektronisk kommunikasjonskjede for overføring av reseptinformasjon opprettet etter § 12.

Departementet kan også gi forskrift om at virksomheter nevnt i andre ledd skal gjøre digitale tjenester tilgjengelige på en nasjonal innbyggerportal.

Departementet kan gi forskrift om:

a)
betaling for bruk av helsenettet
b)
at regionale helseforetak og kommuner skal betale for at de nasjonale e-helseløsningene nevnt i andre og tredje ledd gjøres tilgjengelige for virksomheter i helse- og omsorgstjenesten eller allmennheten
c)
at apotek og bandasjister som har gjort løsningen nevnt i andre ledd bokstav c tilgjengelig i virksomheten, skal betale for løsningen
d)
det nærmere innholdet i betalingsplikten og løsningene, hvem som er dataansvarlig, og statlige foretaks ansvar for å tilby løsningene.

Virksomhetenes samlede betaling skal ikke overstige kostnadene til forvaltning og drift av løsningene.

Forskrift om kommunenes plikt etter andre og tredje ledd kan ikke fastsettes før en vesentlig andel av kommunene har tilgjengeliggjort eller tatt i bruk den enkelte løsningen.

Forarbeider

Prop. 3 L 2021–2022 Endringer i pasientjournalloven (tilgjengeliggjøring av og betaling for nasjonale e-helseløsninger m.m.) Prop. 72 L (2013–2014) merknadene til pasientjournalloven § 8 i punkt 24.1. Ot.prp. nr. 13 (1998–1999) kapittel 13 (helsepersonelloven), Prop. 3 L (2021–2022), Innst. 47 L (2021-2022).

Litteratur

Befring, Anne Kjersti og Bente Ohnstad, Helsepersonelloven: Kommentarutgave, 2019. Helsedirektoratet, Helsepersonelloven med kommentarer (rundskriv IS-8/2012). Syse, Aslak, Pasient- og brukerrettighetsloven, 2015.

Forskrifter

Forskrift 1. juli 2015 nr. 853 om standarder og nasjonale e-helseløsninger. Forskrift 16. desember 2011 nr. 1256 om habilitering og rehabilitering, individuell plan og koordinator.

§ 9. Samarbeid mellom virksomheter om behandlingsrettede helseregistre

To eller flere virksomheter kan samarbeide om behandlingsrettede helseregistre, jf. § 8. Virksomhetene skal da inngå skriftlig avtale om

a)
hva samarbeidet omfatter,
b)
hvordan pasientens eller brukerens rettigheter skal ivaretas,
c)
hvordan helseopplysningene skal behandles og sikres, også ved endringer i eller opphør av samarbeidet, og
d)
dataansvar.

Departementet kan i forskrift eller enkeltvedtak fastsette vilkår for slikt samarbeid.

Forarbeider

Prop. 56 LS (2017–2018) merknadene til pasientjournalloven § 9 i punkt 38.2. Innst. 295 L (2013–2014) (pasientjournallov og helseregisterlov). Prop. 72 L (2013–2014) kapittel 12 og merknadene til pasientjournalloven § 9 i punkt 24.1. Innst. 224 S (2012–2013) punkt 2.3 (Én innbygger – én journal). Meld. St. 9 (2012–2013) kapittel 3 (Én innbygger – én journal).

§ 9 a. Behandlingsrettet helseregister med tolkede genetiske varianter

Virksomheter som gjør undersøkelser etter bioteknologiloven § 4-1, § 5-1 annet ledd bokstav a eller § 5-1 annet ledd bokstav b, kan samarbeide om etablering av et behandlingsrettet helseregister med tolkede genetiske varianter. Direkte personidentifiserbare opplysninger, som navn eller fødselsnummer, kan ikke behandles i registeret. Opplysningene kan tilgjengeliggjøres for registeret uten hinder av taushetsplikt.

Formålet med behandlingen av helseopplysningene skal være å yte og kvalitetssikre helsehjelp til pasienter som kan knyttes til en tolket genvariant. Første ledd gir ikke grunnlag for opprettelse av et helseregister med genomer eller eksomer. Det er ikke tillatt å bruke opplysningene i registeret for å rekonstruere hele eller deler av genomer eller eksomer.

Helseopplysningene kan behandles uten samtykke fra den registrerte, men den registrerte har rett til å motsette seg behandlingen. Den dataansvarlige skal sørge for at den registrerte så snart som mulig etter at opplysningene er samlet inn, får nødvendig informasjon for at vedkommende skal få innsikt i hva retten til å motsette seg behandling av opplysningene innebærer.

Helseopplysningene kan, i samsvar med formålet i annet ledd og uten hinder av taushetsplikt, tilgjengeliggjøres fra registeret dersom den som får tilgang til opplysningene

a)
er underlagt lovbestemt taushetsplikt,
b)
godtgjør at behandlingen vil ha rettslig grunnlag etter personvernforordningen artikkel 6 og 9 og
c)
har gjort rede for hvilke egnede tekniske og organisatoriske tiltak som skal gjøres for å ivareta informasjonssikkerheten.

Den dataansvarlige skal vurdere om vilkårene for tilgjengeliggjøring er oppfylt.

Departementet gir forskrift om hvilke helseopplysninger som kan behandles i et register med hjemmel etter første ledd og på hvilken måte og i hvilken form opplysningene skal tilgjengeliggjøres for registeret.

Forarbeider

Prop. 112 L (2020–2021) kapittel 8 og merknadene til § 9 a i punkt 11.2 Innst. 617 L (2020-2021)

Forskrifter

Forskrift om hvilke helseopplysninger som kan behandles i et behandlingsrettet helseregister med tolkede genetiske varianter (FOR-2021-09-21-2807)

§ 10. Etablering av nasjonale behandlingsrettede helseregistre og nasjonal datainfrastruktur

Kongen i statsråd kan gi forskrift om etablering av nasjonale behandlingsrettede helseregistre som på bestemte områder kommer i stedet for registre etter §§ 8 og 9.

Kongen i statsråd kan gi forskrift om nasjonal datainfrastruktur for digital samhandling. Datainfrastrukturen kan omfatte helseopplysninger og andre personopplysninger som benyttes i samhandling mellom helsepersonell for å yte, administrere eller kvalitetssikre helsehjelp. Datainfrastrukturen kan tilgjengeliggjøre helseopplysninger og andre personopplysninger som er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp.

Forskriftene etter første og andre ledd skal gi nærmere bestemmelser om drift, behandling og sikring av helseopplysningene, om dataansvar, om tilgangskontroll og om hvordan rettighetene til pasienten eller brukeren skal ivaretas.

Forarbeider

Prop. 91 L (2021–2022) Endringer i pasientjournalloven mv. (nasjonal digital samhandling) punkt 5.4 og merknadene til pasientjournalloven § 10 i kapittel 9. Innst. 414 L (2021-2022). Prop. 56 LS (2017–2018) merknadene til pasientjournalloven § 10 i punkt 38.2. Innst. 295 L (2013–2014) (pasientjournallov og helseregisterlov). Prop. 72 L (2013–2014) kapittel 13 og merknadene til pasientjournalloven § 10 i punkt 24.1. Innst. 224 S (2012–2013) punkt 2.3 (Én innbygger – én journal). Meld. St. 9 (2012–2013) kapittel 3 (Én innbygger – én journal).

Forskrifter

Kongelig resolusjon 8. desember 2017: PRE-2017-12-08-1952, PRE-2017-12-08-1953, PRE-2017-12-08-1954, PRE-2017-12-08-1955 Forskrift om endring i reseptformidlerforskriften, forskrift om endring i kjernejournalforskriften, forskrift om endring i forskrift om pasientjournal og forskrift om endring i forskrift om Reseptregisteret (etablere pasientens legemiddelliste mv.).

§ 11. Systemer for saksbehandling, administrasjon mv. av helsehjelp

Ved saksbehandling, administrasjon, oppgjør og gjennomføring av helsehjelp, kan det treffes avgjørelser som utelukkende er basert på automatisert behandling av helseopplysninger eller andre personopplysninger, når avgjørelsen er lite inngripende overfor den enkelte.

Direkte identifiserbare helseopplysninger kan behandles i lukkede testmiljøer for å utvikle og teste behandlingsrettede helseregistre dersom det er umulig eller uforholdsmessig vanskelig å oppnå formålet ved å bruke pseudonyme, anonyme eller fiktive opplysninger.

Kongen i statsråd kan gi forskrift om behandling av helseopplysninger og andre personopplysninger, også ved bruk av automatiserte avgjørelser, for saksbehandling, administrasjon, oppgjør og gjennomføring av helsehjelp til enkeltpersoner. Forskriften kan gi nærmere bestemmelser om behandlingen av opplysningene, hvilke opplysninger som kan behandles, hvem det kan behandles opplysninger om, den enkeltes rett til å motsette seg behandling av opplysningene og om dataansvar. Forskriften kan gi adgang til å fatte automatiserte avgjørelser selv om avgjørelsen ikke er lite inngripende overfor den enkelte.

Taushetsplikt er ikke til hinder for behandlingen av opplysningene. Helseopplysningene kan behandles uten hensyn til samtykke fra pasienten. Graden av personidentifikasjon skal ikke være større enn nødvendig for det aktuelle formålet. Opplysninger om diagnose eller sykdom kan bare behandles når det er nødvendig for å nå formålet med behandlingen av opplysningen.

Forarbeider

Prop. 91 L (2021–2022) Endringer i pasientjournalloven mv. (nasjonal digital samhandling) punkt 6.4, 7.4 og merknadene til § 11 i kapittel 9. Innst. 414 L (2021-2022) kapittel 2. Prop. 56 LS (2017–2018) merknadene til pasientjournalloven § 11 i punkt 38.2. Prop. 72 L (2013–2014) kapittel 14 og merknadene til pasientjournalloven § 11 i punkt 24.1. Prop. 91 L (2010–2011) punkt 9.7 (helse- og omsorgstjenesteloven). Prop. 20 L (2009–2010) punkt 6.2 og 6.3 (egenandel og syketransport). Ot.prp. nr. 5 (1999–2000) merknadene til § 3 tredje ledd i kapittel 15 (helseregisterloven).

Forskrifter

Syketransportregisterforskriften (forskrift 3. juni 2016 nr. 573 om registre for administrering og samordning av syketransport). Forskrift om helseforetaksfinansierte reseptlegemidler (h-resept) (forskrift 6. desember 2015 nr. 646 om helseforetaksfinansierte reseptlegemidler til bruk utenfor sykehus). Egenandelsregisterforskriften (forskrift 18. desember 2009 nr. 1639 om behandling av helseopplysninger i Egenandelsregisteret).

§ 12. Reseptformidleren

Kongen i statsråd kan gi forskrift med nærmere bestemmelser om behandling av helseopplysninger i nasjonal database for resepter (Reseptformidleren).

Opplysningene kan behandles uten samtykke fra pasienten.

Forskriften skal gi nærmere bestemmelser om formålet med behandlingen av opplysningene, hvilke opplysninger som skal behandles, og hvem som er dataansvarlig for opplysningene.

Forarbeider

Prop. 56 LS (2017–2018) merknadene til pasientjournalloven § 12 i punkt 38.2. Prop. 72 L (2013–2014) punkt 14.3.2 og merknadene til § 12 i punkt 24.1. Ot.prp. nr. 52 (2006–2007) (reseptformidleren).

Forskrifter

Reseptformidlerforskriften (forskrift 21. desember 2007 nr. 1610 om behandling av helseopplysninger i nasjonal database for elektroniske resepter).

§ 13. Nasjonal kjernejournal

Kongen i statsråd kan gi forskrift om behandling av helseopplysninger i nasjonal kjernejournal.

Nasjonal kjernejournal er et sentralt virksomhetsovergripende behandlingsrettet helseregister. Journalen skal inneholde et begrenset sett relevante helseopplysninger som er nødvendig for å yte forsvarlig helsehjelp.

Opplysninger kan registreres og på annen måte behandles uten samtykke fra pasienten. Den registrerte har rett til å motsette seg at helseopplysninger behandles i registeret.

Helsepersonell med tjenstlig behov ved ytelse av helsehjelp, kan etter samtykke fra den registrerte gis tilgang til nødvendige og relevante helseopplysninger fra nasjonal kjernejournal. Med samtykke menes enhver frivillig, spesifikk, informert og utvetydig viljesytring fra pasienten der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til at det gis slik tilgang, jf. personvernforordningen artikkel 4 nr. 11. Når det er nødvendig for å yte forsvarlig helsehjelp, kan Kongen i statsråd i forskrift gjøre unntak fra kravet om samtykke. Ved unntak fra samtykke gjelder helsepersonelloven § 45 første ledd første punktum tilsvarende.

Kongen i statsråd kan i forskrift gi nærmere bestemmelser om innholdet i kjernejournalen, drift av kjernejournalen og behandling av helseopplysningene. Dette omfatter blant annet hvilke opplysninger som skal behandles, hvem som er dataansvarlig, regler om sletting, tilgang og tilgangskontroll, samt pasientens rettigheter.

Forarbeider

Prop. 91 L (2022–2023). Prop. 30 L (2018–2019) kapittel 5. Prop. 56 LS (2017–2018) merknadene til § 13 i punkt 38.2. Innst. 295 L (2013–2014). Prop. 72 L (2013–2014) punkt 18.1 og merknadene til pasientjournalloven § 13 i punkt 24.1. Innst. 348 L (2011–2012) (Nasjonal kjernejournal). Prop. 89 L (2011–2012) punkt 8.2.3, 10.1, 12.5 og merknadene til § 6 d i kapittel 17.

Forskrifter

Kjernejournalforskriften (forskrift 31. mai 2013 nr. 563 om nasjonal kjernejournal).

§ 14. Registrering og melding av helseopplysninger

Virksomheter og helsepersonell som tilbyr eller yter tjenester som omfattes av apotekloven, folkehelseloven, helse- og omsorgstjenesteloven, legemiddelloven, smittevernloven, spesialisthelsetjenesteloven eller tannhelsetjenesteloven, plikter uten hinder av taushetsplikt, å registrere eller melde opplysninger som bestemt i forskrifter etter §§ 11 til 13.

Kongen kan i forskrift gi nærmere bestemmelser om innhenting av helseopplysninger til registre som omfattes av §§ 11 til 13, blant annet om frister, formkrav, bruk av meldingsskjemaer og standarder.

Mottaker av opplysningene skal varsle den som har registrert eller meldt opplysningene dersom opplysningene er mangelfulle.

Forarbeider

Innst. 378 L (2016–2017) (overføring av tannhelse mv.). Prop. 71 L (2016–2017) (overføring av tannhelse mv.). Innst. 295 L (2013–2014) (pasientjournalloven og helseregisterloven). Prop. 72 L (2013–2014) merknadene til pasientjournalloven § 14 i punkt 24.1. Prop. 99 L (2011–2012) (Norsk helsearkiv). Prop. 89 L (2011–2012) (Nasjonal kjernejournal). Ot.prp. nr. 5 (1999–2000) merknadene til helseregisterloven § 9 i kapittel 15.

Forskrifter

Syketransportregisterforskriften (forskrift 3. juni 2016 nr. 573 om registre for administrering og samordning av syketransport). Forskrift om standarder og nasjonale e-helseløsninger (forskrift 1. juli 2015 nr. 853). Kjernejournalforskriften (forskrift 31. mai 2013 nr. 563 om nasjonal kjernejournal). Egenandelsregisterforskriften (forskrift 18. desember 2009 nr. 1639 om behandling av helseopplysninger i Egenandelsregisteret). Reseptformidlerforskriften (forskrift 21. desember 2007 nr. 1610 om behandling av helseopplysninger i nasjonal database for elektroniske resepter)

Kapittel 3. Taushetsplikt, innsynsrett og rett til å motsette seg behandling av opplysninger

§ 15. Taushetsplikt

Enhver som behandler helseopplysninger etter denne lov, har taushetsplikt etter helsepersonelloven §§ 21 flg. Andre som får adgang eller kjennskap til helseopplysninger fra et behandlingsrettet helseregister, har samme taushetsplikt.

Forarbeider

Prop. 112 L (2020-2021) kapittel 5, 6 og 7 og merknadene til helsepersonelloven §§ 25 a, 25 b og 29 i punkt 11.1. Prop. 63 L (2019-2020) punkt 11.4.6 og merknadene til helsepersonelloven § 29 i punkt 16.1 og merknadene til helseregisterloven § 19e i punkt 16.2, Prop. 72 L (2013–2014) merknadene til pasientjournalloven § 15 i punkt 24.1. Prop. 91 L (2010–2011) (helse- og omsorgstjenesteloven). Prop. 20 L (2009–2010) (egenandel og syketransport). Ot.prp. nr. 51 (2008–2009) (tilgang mellom virksomheter). Ot.prp. nr. 5 (1999–2000) punkt 9.3 og merknadene til helseregisterloven § 15 i kapittel 15. Ot.prp. nr. 13 (1998–1999) kapittel 11 og merknadene til helsepersonelloven § 21 i kapittel 26.

Litteratur

Befring, Anne Kjersti, Helseretten, 2022. Befring, Anne Kjersti og Bente Ohnstad, Helsepersonelloven: Kommentarutgave, 2019. Helsedirektoratet, Helsepersonelloven med kommentarer (rundskriv IS-8/2012). Helsedirektoratet, Helsepersonells taushetsplikt. Vern av pasientens integritet i helsepersonells samtaler med pasienten (rundskriv 15-6/2010 – IS-6/2010). Syse, Aslak, Pasient- og brukerrettighetsloven, 2015.

§ 16. Forbud mot urettmessig tilegnelse av helseopplysninger

Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger fra behandlingsrettede helseregistre uten at det er begrunnet i helsehjelp til den enkelte, administrasjon av slike tjenester eller har særskilt hjemmel i lov eller forskrift.

Forarbeider

Prop. 72 L (2013–2014) merknadene til pasientjournalloven § 16 i punkt 24.1. Ot.prp. nr. 25 (2007–2008) kapittel 11 (urettmessig tilegnelse).

Litteratur

Helsedirektoratet, Helsepersonelloven med kommentarer (rundskriv IS-8/2012). Helsedirektoratet, Helsepersonells taushetsplikt. Vern av pasientens integritet i helsepersonells samtaler med pasienten (rundskriv 15-6/2010 – IS-6/2010). Befring, Anne Kjersti, Helseretten (2022).

§ 17. Rett til å motsette seg behandling av helseopplysninger

Pasienten eller brukeren kan motsette seg at

a)
helseopplysninger i et behandlingsrettet helseregister etablert med hjemmel i §§ 8 til 10, gjøres tilgjengelige for helsepersonell etter § 19, jf. helsepersonelloven §§ 25 og 45 og pasient- og brukerrettighetsloven § 5-3,
b)
opplysninger om betalte egenandeler i tilknytning til vedtak om frikort og refusjon registreres automatisk i system etablert med hjemmel i § 11, og
c)
helseopplysninger registreres eller behandles på andre måter i nasjonal kjernejournal etablert med hjemmel i § 13
d)
helseopplysninger registreres eller behandles på andre måter i register etablert med hjemmel i § 9 a.

Reglene om samtykkekompetanse i pasient- og brukerrettighetsloven §§ 4-3 til 4-7 gjelder tilsvarende for retten til å motsette seg behandling av opplysningene.

Forarbeider

Prop. 112 L (2020-2021) punkt 8.4.8 og merknadene til pasientjournalloven § 17 i punkt 11.2. Innst. 295 L (2013–2014) (pasientjournallov og helseregisterlov). Prop. 72 L (2013–2014) punkt 11.1.2, punkt 18.1, punkt 18.1.2 og merknadene til pasientjournalloven § 17 i punkt 24.1. Prop. 89 L (2011–2012) kapittel 8 (Nasjonal kjernejournal). Prop. 46 L (2012–2013) merknadene til pasient- og brukerrettighetsloven § 4-3 mv. i punkt 6.1. Prop. 20 L (2009–2010) punkt 6.2.6 (egenandel og syketransport). Ot.prp. nr. 13 (1998–1999) merknadene til helsepersonelloven §§ 25 og 45 i kapittel 26. Ot.prp. nr. 12 (1998–1999) punkt 5.1 og merknadene til pasientrettighetsloven §§ 4-3 til 4-7 og § 5-3 i kapittel 12.

Litteratur

Helsedirektoratet, Helsepersonelloven med kommentarer (rundskriv IS-8/2012). Syse, Aslak, Pasient- og brukerrettighetsloven, 2015.

Forskrifter

Kjernejournalforskriften (forskrift 31. mai 2013 nr. 563 om nasjonal kjernejournal). Egenandelsregisterforskriften (forskrift 18. desember 2009 nr. 1639 om behandling av helseopplysninger i Egenandelsregisteret).

§ 18. Informasjon og innsyn

Pasienten eller brukeren har rett til informasjon og innsyn i henhold til pasient- og brukerrettighetsloven § 3-6 tredje ledd og § 5-1 og til personvernforordningen artikkel 13 og 15.

Når det er nødvendig for å gi innsyn, kan den dataansvarlige innhente personopplysninger fra Folkeregisteret. Dette gjelder uten hensyn til om opplysningene er underlagt taushetsplikt etter folkeregisterloven.

Pasienten eller brukeren har rett til informasjon og innsyn i henhold til pasient- og brukerrettighetsloven § 3-6 tredje ledd og § 5-1 og til personvernforordningen artikkel 13 og 15.

Forarbeider

Prop. 56 LS (2017–2018) punkt 32.4 og merknadene til § 18 i punkt 38.2. Prop. 71 L (2016–2017) kapittel 6 (overføring av det offentlige tannhelsetjenesteansvaret). Innst. 295 L (2013–2014) (pasientjournalloven og helseregisterloven). Prop. 72 L (2013–2014) kapittel 22 og merknadene til pasientjournalloven § 18 i punkt 24.1. Ot.prp. nr. 5 (1999–2000) kapittel 10 og merknadene til helseregisterloven §§ 23 og 25 i kapittel 15. Ot.prp. nr. 92 (1998–1999) punkt 5.3 og merknadene til personopplysningsloven §§ 18 flg. i kapittel 16. Ot.prp. nr. 13 (1998–1999) merknadene til helsepersonelloven §§ 25, 41 og 45 i kapittel 26. Ot.prp. nr. 12 (1998–1999) punkt 5.2 og merknadene til pasientrettighetsloven § 5-1 i kapittel 12.

Litteratur

Artikkel 29-gruppen, Guidelines on transparency under Regulation 2016/679, 24. januar 2018. Befring, Anne Kjersti og Bente Ohnstad, Helsepersonelloven: Kommentarutgave, 2019. Helsedirektoratet, Helsepersonelloven med kommentarer (rundskriv IS-8/2012). Helsedirektoratet, Bør pasientjournaler fortsatt være omfattet av virkeområdet til offentleglova?, 15. august 2017. Justitsministeriet, Danmark, Betænkning om Databeskyttelsesforordningen (2016/679) – og de retlige rammer for dansk lovgivning, Del I, bind 1, kapittel 4. Skullerud, Åste Marie Bergseng, Cecilie Rønnevik, Jørgen Skorstad og Marius Engh Pellerud. Personvernforordningen, Kommentarutgave à jour per 1. april 2023, kommentarene til artikkel 12, 13, 14 og 15. Syse, Aslak, Pasient- og brukerrettighetsloven, 2015.

Kapittel 4. Kundetiltak og løpende oppfølging

§ 19. Forsterkede kundetiltak ved korrespondentforbindelse

(1) Ved inngåelse av en avtale om korrespondentforbindelse med en institusjon fra stat utenfor EØS som respondentinstitusjon, skal rapporteringspliktige som nevnt i § 4 første ledd bokstav a til c, e, g til l og n til p

a)
innhente tilstrekkelige opplysninger om respondentinstitusjonen for å forstå virksomhetens art og omdømme og tilsynets kvalitet. Rapporteringspliktige etter § 4 første ledd bokstav p skal også fastslå om respondentinstitusjonen er registrert eller har konsesjon.
b)
vurdere respondentinstitusjonens tiltak mot hvitvasking og terrorfinansiering
c)
påse at det innhentes godkjenning fra overordnet før etablering av ny korrespondentforbindelse
d)
dokumentere institusjonenes ansvar
e)
ved oppgjørskonti forsikre seg om at respondentinstitusjonen
- 1.
  har bekreftet identiteten til og fører løpende oppfølging av kunder som har direkte adgang til konti hos korrespondentinstitusjonen, og
- 2.
  på anmodning kan fremlegge relevante opplysninger fra kundetiltakene og den løpende oppfølgingen til korrespondentinstitusjonen.

(2) Med oppgjørskonto som nevnt i første ledd bokstav e, menes konto eller konto for kryptoeiendeler hos rapporteringspliktig som kan disponeres av en tredjepart som er kunde av respondentinstitusjon.

(3) En kryptoeiendelstjenesteyter som avslutter en korrespondentforbindelse på grunn av egne rutiner etter denne loven, skal dokumentere begrunnelsen for beslutningen.

§ 20. Forbud mot korrespondentforbindelse med tomt bankselskap

(1) Rapporteringspliktige som nevnt i § 4 første ledd bokstav a til c, e, g til l, n og o, skal ikke inngå eller opprettholde korrespondentforbindelse med tomt bankselskap. Rapporteringspliktige som nevnt skal treffe egnede tiltak for å sikre at det ikke inngås eller opprettholdes korrespondentforbindelse med institusjon som er kjent for å tillate at konti brukes av tomt bankselskap.

(2) Med tomt bankselskap menes foretak som driver tilsvarende virksomhet som nevnt i § 4 første ledd bokstav a til c, e, g til l, n og o, som er opprettet i stat der foretaket ikke er fysisk til stede med en reell ledelse og administrasjon, og som ikke er tilknyttet et regulert finanskonsern.

§ 21. Følger av at kundetiltak ikke kan gjennomføres

(1) Dersom kundetiltak, herunder eventuelle påkrevde forsterkede kundetiltak, ikke kan gjennomføres, skal rapporteringspliktige ikke etablere kundeforholdet eller utføre transaksjonen. Rapporteringspliktige skal vurdere om det er grunnlag for nærmere undersøkelser og rapportering i samsvar med §§ 25 og 26.

(2) Første ledd gjelder ikke når en advokat eller annen som ervervsmessig eller stadig yter selvstendig rettshjelp, fastslår en klients rettsstilling eller bistår en klient i forbindelse med rettergang.

§ 22. Kundetiltak utført av tredjepart

(1) For gjennomføring av kundetiltak som nevnt i § 12 første til tredje ledd og femte ledd, § 13 første til tredje ledd og femte ledd og § 14, kan rapporteringspliktige etter skriftlig avtale legge til grunn kundetiltak utført av følgende tredjeparter:

a)
bank
b)
kredittforetak
c)
finansieringsforetak
d)
verdipapirforetak
e)
forvaltningsselskap for verdipapirfond
f)
forsikringsforetak
g)
foretak som driver forsikringsformidling som ikke er gjenforsikringsmegling
h)
verdipapirsentral som er rapporteringspliktig
i)
forvalter av alternative investeringsfond
j)
statsautorisert og registrert revisor og godkjent revisjonsselskap
k)
statsautorisert regnskapsfører og regnskapsselskap
l)
advokat og annen som ervervsmessig eller stadig yter rettshjelp
m)
eiendomsmegler og eiendomsmeglingsforetak

Er en tredjepart som nevnt i bokstav a til m fra annen stat, må denne være underlagt regler om kundetiltak, oppbevaring og tilsyn som svarer til reglene i denne lov.

(2) Adgang til å legge til grunn kundetiltak utført av en tredjepart medfører ikke unntak fra den rapporteringspliktiges plikt til å registrere og lagre opplysninger og dokumenter etter § 30 eller ansvar for at kundetiltak gjennomføres i samsvar med bestemmelser i eller i medhold av loven her.

(3) Rapporteringspliktige skal i avtalen forsikre seg om at tredjeparten overholder tilsvarende krav som følger av loven her.

(4) Rapporteringspliktige skal

a)
umiddelbart innhente opplysninger tredjeparten har innhentet i samsvar med §§ 12 til 14, og
b)
i avtalen forsikre seg om at tredjeparten uten opphold utleverer opplysninger og kopier av dokumenter brukt for å identifisere og bekrefte kundens, reelle rettighetshaveres og andres identitet.

(5) Utlevering av opplysninger og dokumenter fra en tredjepart i samsvar med denne paragrafen medfører ikke brudd på lovbestemt taushetsplikt når kunden informeres om at opplysningene og dokumentene utleveres.

(6) Rapporteringspliktige som er del av konsern, kan gis forhåndsgodkjenning av tilsynsmyndigheten til å legge til grunn kundetiltak utført av andre rapporteringspliktige i konsernet dersom

a)
konsernet anvender felles retningslinjer og rutiner for kundetiltak, lagring og registrering av opplysninger og dokumenter og andre tiltak mot hvitvasking og terrorfinansiering i samsvar med bestemmelser i eller i medhold av loven her, og
b)
det føres tilsyn på konsernnivå.

(7) Departementet kan i forskrift gi regler om unntak fra første ledd annet punktum. Departementet kan i forskrift gi regler om at andre rapporteringspliktige kan opptre som tredjepart.

§ 23. Utkontraktering av kundetiltak

(1) Reglene om tredjepart i § 22 kommer ikke til anvendelse på utkontraktering der oppdragstaker anses å være del av den rapporteringspliktige.

(2) Avtale om utkontraktering skal være skriftlig. Den rapporteringspliktige skal sikre seg at oppdragstakeren har den nødvendige evne og kapasitet til å påta seg oppdraget. Den rapporteringspliktige skal løpende kontrollere at oppdragstakeren gjennomfører den utkontrakterte oppgaven i samsvar med den rapporteringspliktiges rutiner etter § 8 og for øvrig i samsvar med bestemmelser i eller i medhold av loven her. Den rapporteringspliktige skal på bakgrunn av kontrollen løpende vurdere forsvarligheten av utkontrakteringen. Den rapporteringspliktige skal sikre at utkontrakteringen ikke medfører at tilsynsmyndighetens muligheter for å føre tilsyn forringes eller vanskeliggjøres.

(3) Utkontraktering medfører ikke unntak fra den rapporteringspliktiges ansvar for overholdelse av bestemmelser i eller i medhold av loven her.

(4) Departementet kan i forskrift gi nærmere regler om adgangen til å utkontraktere, herunder avgrense hvem det kan utkontrakteres til, og nærmere regler om krav til avtale om utkontraktering.

§ 24. Løpende oppfølging av kundeforhold

(1) Rapporteringspliktige skal løpende følge opp kundeforhold. Oppfølgingen skal blant annet omfatte å overvåke at transaksjoner som utføres i kundeforholdet, er i samsvar med den rapporteringspliktiges innhentede opplysninger om kunden, kundens virksomhet og risikoprofil, midlenes opprinnelse og kundeforholdets formål og tilsiktede art.

(2) Rapporteringspliktige skal jevnlig gjennomføre kundetiltak som ledd i løpende oppfølging. Kundetiltak skal uansett gjennomføres når det er tvil om tidligere innhentede opplysninger er korrekte eller tilstrekkelige.

(3) Dersom kunden eller reelle rettighetshavere er en politisk eksponert person eller nært familiemedlem eller kjent medarbeider til en politisk eksponert person, skal det gjennomføres forsterket løpende oppfølging av kundeforholdet.

(4) Dersom kundetiltak som ledd i løpende oppfølging ikke kan gjennomføres, skal rapporteringspliktige avvikle kundeforholdet. Rapporteringspliktige skal vurdere om det er grunnlag for nærmere undersøkelser og rapportering i samsvar med §§ 25 og 26. Departementet kan i forskrift gi nærmere regler om fremgangsmåten ved avvikling av kundeforhold.

(5) Fjerde ledd gjelder ikke når rapporteringspliktige som nevnt i § 4 annet ledd bokstav c fastslår en klients rettsstilling eller bistår en klient i forbindelse med rettergang.

§ 25. Plikt til bevaring eller sletting

Helseopplysninger skal oppbevares til det av hensyn til helsehjelpens karakter ikke lenger antas å bli bruk for dem. Det samme gjelder opplysninger om hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til pasientens eller brukerens navn eller fødselsnummer.

Hvis ikke opplysningene deretter skal bevares etter arkivloven eller annen lovgivning, skal de slettes.

Kongen kan i forskrift gi nærmere bestemmelser om bevaring eller sletting av opplysninger som nevnt i første ledd.

Forarbeider

Prop. 56 LS (2017–2018) punkt 32.4.2 og merknadene til pasientjournalloven § 25 og arkivloven § 9 i punkt 38.2. Innst. 278 L (2017–2018) (personopplysningsloven). Prop. 72 L (2013–2014) merknadene til pasientjournalloven § 25 og arkivloven § 9 i punkt 24.1. Ot.prp. nr. 5 (1999–2000) punkt 11.1.6 og merknadene til helseregisterloven § 26 og arkivloven § 9 i kapittel 15. Ot.prp. nr. 92 (1998–1999) merknadene til personopplysningsloven § 27 og arkivloven § 9 i kapittel 16. Ot.prp. nr. 13 (1998–1999) merknadene til helsepersonelloven § 42 og § 43 i kapittel 26. Ot.prp. nr. 77 (1991–1992) merknadene til arkivloven § 9 i kapittel 4.

Litteratur

Befring, Anne Kjersti og Bente Ohnstad, Helsepersonelloven: Kommentarutgave, 2019. Helsedirektoratet, Helsepersonelloven med kommentarer (rundskriv IS-8/2012).

Kapittel 5. Tilsyn og sanksjoner

§ 26. Rapporteringsplikt. Opplysningsplikt. Ansvarsfrihet

(1) Dersom det etter nærmere undersøkelser er forhold som gir grunnlag for mistanke om hvitvasking eller terrorfinansiering, skal rapporteringspliktige oversende opplysninger til Økokrim om forholdene. Etter forespørsel fra Økokrim skal rapporteringspliktige oversende andre nødvendige opplysninger, uavhengig av om den rapporteringspliktige av eget tiltak har oversendt opplysninger etter første punktum.

(2) Rapporteringsplikten og opplysningsplikten gjelder også personlig for rapporteringspliktiges styremedlemmer, ledere, ansatte og andre som utfører oppdrag på vegne av foretaket.

(3) Rapporteringspliktige som nevnt i § 4 annet ledd bokstav c skal ikke oversende opplysninger som de mottar fra eller innhenter om klienten når de fastslår en klients rettsstilling eller bistår en klient i forbindelse med rettergang. Tilsvarende gjelder for andre rapporteringspliktige når de bistår rapporteringspliktige som nevnt i § 4 annet ledd bokstav c i arbeid som nevnt i første punktum. Departementet kan i forskrift gi regler om at rapporteringspliktige som nevnt i § 4 annet ledd bokstav c skal oversende opplysninger til Økokrim via et annet organ.

(4) Oversendelse av opplysninger til Økokrim i god tro medfører ikke brudd på taushetsplikt og gir ikke grunnlag for erstatningsansvar eller straffansvar, med mindre det foreligger grov uaktsomhet.

(5) Departementet kan i forskrift pålegge rapporteringspliktige å oversende opplysninger til Økokrim elektronisk. Departementet kan i forskrift gi nærmere regler om rapportering av transaksjoner med tilknytning til land eller områder som ikke har tilfredsstillende ordninger for å avdekke og forebygge hvitvasking og terrorfinansiering.

§ 27. Gjennomføring av mistenkelig transaksjon

(1) Rapporteringspliktige skal ikke gjennomføre mistenkelige transaksjoner før Økokrim er underrettet. Økokrim kan i særlige tilfeller forby gjennomføring av en transaksjon.

(2) Dersom det er umulig å stanse transaksjonen, eller dersom stans av transaksjonen kan vanskeliggjøre undersøkelser av person som kan dra fordel av en mistenkelig transaksjon, skal Økokrim varsles umiddelbart etter at transaksjonen er gjennomført.

§ 28. Forbud mot å avsløre undersøkelser, rapportering og etterforskning

(1) Rapporteringspliktige, herunder styremedlemmer, ledere, ansatte og andre som utfører oppdrag på vegne av rapporteringspliktige, skal ikke gjøre kunden eller tredjepersoner kjent med undersøkelser, oversendelse av opplysninger til Økokrim eller etterforskning.

(2) Første ledd er ikke til hinder for meddelelse av opplysninger til påtalemyndigheten eller den rapporteringspliktiges tilsynsmyndighet etter hvitvaskingsregelverket.

(3) Første ledd er ikke til hinder for utveksling av opplysninger mellom rapporteringspliktige som nevnt i § 4 første ledd bokstav a til c, e, g, h til k, n og o, som er del av samme konsern og etablert i EØS. Tilsvarende gjelder for filialer og majoritetseide datterselskaper i tredjeland, forutsatt at filialen eller datterselskapet overholder den rapporteringspliktiges rutiner.

(4) Første ledd er ikke til hinder for utveksling av opplysninger etter § 31 annet ledd.

(5) Første ledd er ikke til hinder for utveksling av opplysninger mellom rapporteringspliktige som nevnt i § 4 annet ledd bokstav a til c, som utøver sin virksomhet innenfor samme juridiske person eller nettverk. Det samme gjelder for utveksling av opplysninger til

a)
rapporteringspliktige omfattet av direktiv (EU) 2015/849 artikkel 2 nr. 1 punkt 3 bokstav a eller b, og
b)
rapporteringspliktige i stat utenfor EØS som pålegger tilsvarende krav som fastsatt i direktiv (EU) 2015/849.

Med nettverk menes en struktur som har felles eierskap, ledelse eller internkontroll med at relevante regelverk overholdes.

(6) Første ledd er ikke til hinder for utveksling av opplysninger mellom rapporteringspliktige etter tredje og femte ledd om en felles kunde i en transaksjon hvor de aktuelle rapporteringspliktige er involvert, forutsatt at de rapporteringspliktige tilhører samme profesjonskategori og er pålagt forpliktelser med hensyn til taushetsplikt og vern av personopplysninger.

(7) Første ledd er ikke til hinder for at rapporteringspliktige som nevnt i § 4 annet ledd bokstav a til c, forsøker å få kunden til å avstå fra å begå en ulovlig handling.

(8) Departementet kan i forskrift gi nærmere regler om unntak fra forbudet i første ledd.

§ 29. Overtredelsesgebyr

Ved behandling av helseopplysninger i strid med loven eller forskrifter gitt i medhold av loven, kan Datatilsynet ilegge overtredelsesgebyr etter personvernforordningen artikkel 83 og personopplysningsloven §§ 26 og 27.

Forarbeider

Prop. 56 LS (2017–2018) kapittel 20, kommentarene til personopplysningsloven § 26 og § 27 i punkt 38.1 og merknadene til pasientjournalloven § 29 i punkt 38.2. Innst. 278 L (2017–2018) (personopplysningsloven). Prop. 72 L (2013–2014) merknadene til pasientjournalloven § 29 i punkt 24.1. Ot.prp. nr. 71 (2007–2008) kapittel 4 og merknadene til personopplysningsloven § 47 og § 47 a i punkt 7.1.

Litteratur

Artikkel 29-gruppen, Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679 (3. oktober 2017). Skullerud, Åste Marie Bergseng, Cecilie Rønnevik, Jørgen Skorstad og Marius Engh Pellerud. Personvernforordningen, Kommentarutgave à jour per 1. april 2023, kommentarene til artikkel 83.

§ 30. Straff for brudd på taushetsplikt

Overtredelse av § 15 om taushetsplikt straffes etter straffeloven § 209, likevel slik at medvirkning straffes.

Forarbeider

Prop. 30 L (2018–2019) kapittel 5. Innst. 278 L (2017–2018) (personopplysningsloven). Prop. 56 LS (2017–2018) kapittel 23 og merknadene til pasientjournalloven § 30 i punkt 38.2. Innst. 295 L (2013–2014) (pasientjournallov og helseregisterlov). Prop. 72 L (2013–2014) merknadene til pasientjournalloven § 30 i punkt 24.1. Ot.prp. nr. 25 (2007–2008) kapittel 11 («snoking»).

§ 30 a. Straff for urettmessig tilegnelse av helseopplysninger

Den som forsettlig eller grovt uaktsomt overtrer forbudet mot urettmessig tilegnelse av helseopplysninger i § 16, straffes med bøter eller fengsel i inntil 1 år.

Grov urettmessig tilegnelse av helseopplysninger straffes med fengsel i inntil 3 år.

Ved avgjørelsen av om den urettmessige tilegnelsen av helseopplysninger er grov skal det særlig legges vekt på

a)
faren for stor skade eller ulempe for pasienten eller brukeren,
b)
den tilsiktede vinningen med overtredelsen,
c)
overtredelsens varighet og omfang,
d)
den utviste skyld, og
e)
om handlingen er begått av noen som tidligere er ilagt en strafferettslig reaksjon for liknende handlinger.

Forarbeider

Prop. 30 L (2018–2019) kapittel 5 og merknadene til pasientjournalloven § 30 a i kapittel 6

§ 31. Erstatning

Den dataansvarlige og databehandleren skal erstatte skader som er oppstått som følge av at helseopplysninger er behandlet i strid med personvernforordningen, etter forordningen artikkel 82 og personopplysningsloven § 30. Ansvaret gjelder tilsvarende ved brudd på denne loven eller forskrifter gitt i medhold av loven.

Forarbeider

Prop. 56 LS (2017–2018) kapittel 22 og merknadene til pasientjournalloven § 31 i punkt 38.2. Innst. 295 L (2013–2014) (pasientjournallov og helseregisterlov). Prop. 72 L (2013–2014) merknadene til § 31 i punkt 24.1. Ot.prp. nr. 5 (1999–2000) punkt 12.3.4 og merknadene til helseregisterloven § 35 i kapittel 15. Ot.prp. nr. 92 (1998–1999) kapittel 13 og merknadene til personopplysningsloven § 49 i kapittel 16.

Kapittel 6. Behandling av personopplysninger og andre opplysninger

§ 32. Unntak fra retten til innsyn etter personopplysningsloven

(1) Rapporteringspliktige skal ikke gi innsyn i

a)
opplysninger omfattet av § 28 første ledd
b)
opplysninger innhentet gjennom nærmere undersøkelser i samsvar med § 25
c)
andre opplysninger som kan vanskeliggjøre overholdelse av denne loven, etterforskning eller lignende undersøkelser

(2) Departementet kan i forskrift gi nærmere regler om unntakene fra retten til innsyn etter personopplysningsloven etter første ledd. I forskriften kan det gis unntak fra reglene i første ledd.

§ 33. Informasjon til kunder

Rapporteringspliktige skal før etablering av et kundeforhold eller gjennomføring av en transaksjon gi kunden opplysninger om reglene for behandling av personopplysninger etter loven her og forskrifter gitt i medhold av loven.

Lovkommentar

Feil ved henting av innhold.

Pasientjournalloven

Kapittel 1. Generelle bestemmelserkommentar

§ 1. Lovens formål

§ 2. Definisjoner

§ 3. Geografisk virkeområde

§ 4. Anvendelsesområde

§ 5. Forholdet til personvernforordningen og personopplysningsloven

Kapittel 2. Pasientjournaler og andre behandlingsrettede helseregistrekommentar

§ 6. Rett til å behandle helseopplysninger

§ 7. Krav til behandlingsrettede helseregistre

§ 8. Virksomheters plikt til å sørge for behandlingsrettede helseregistre

§ 9. Samarbeid mellom virksomheter om behandlingsrettede helseregistre

§ 9 a. Behandlingsrettet helseregister med tolkede genetiske varianter

§ 10. Etablering av nasjonale behandlingsrettede helseregistre og nasjonal datainfrastruktur

§ 11. Systemer for saksbehandling, administrasjon mv. av helsehjelp

§ 12. Reseptformidleren

§ 13. Nasjonal kjernejournal

§ 14. Registrering og melding av helseopplysninger

Kapittel 3. Taushetsplikt, innsynsrett og rett til å motsette seg behandling av opplysningerkommentar

§ 15. Taushetsplikt

§ 16. Forbud mot urettmessig tilegnelse av helseopplysninger

§ 17. Rett til å motsette seg behandling av helseopplysninger

§ 18. Informasjon og innsyn

Kapittel 4. Kundetiltak og løpende oppfølgingkommentar

§ 19. Forsterkede kundetiltak ved korrespondentforbindelse

§ 20. Forbud mot korrespondentforbindelse med tomt bankselskap

§ 21. Følger av at kundetiltak ikke kan gjennomføres

§ 22. Kundetiltak utført av tredjepart

§ 23. Utkontraktering av kundetiltak

§ 24. Løpende oppfølging av kundeforhold

§ 25. Plikt til bevaring eller sletting

Kapittel 5. Tilsyn og sanksjonerkommentar

§ 26. Rapporteringsplikt. Opplysningsplikt. Ansvarsfrihet

§ 27. Gjennomføring av mistenkelig transaksjon

§ 28. Forbud mot å avsløre undersøkelser, rapportering og etterforskning

§ 29. Overtredelsesgebyr

§ 30. Straff for brudd på taushetsplikt

§ 30 a. Straff for urettmessig tilegnelse av helseopplysninger

§ 31. Erstatning

Kapittel 6. Behandling av personopplysninger og andre opplysninger

§ 32. Unntak fra retten til innsyn etter personopplysningsloven

§ 33. Informasjon til kunder

Lovkommentar

Kapittel 1. Generelle bestemmelser

Kapittel 2. Pasientjournaler og andre behandlingsrettede helseregistre

Kapittel 3. Taushetsplikt, innsynsrett og rett til å motsette seg behandling av opplysninger

Kapittel 4. Kundetiltak og løpende oppfølging

Kapittel 5. Tilsyn og sanksjoner