Nye regler for deling av nordmenns helseopplysninger

Ved årsskiftet fikk vi nytt lovverk for deling av pasientopplysninger gjennom helseregistre og pasientjournaler.

Helseregisterloven er blitt delt i en helseregisterlov og en pasientjournallov. Mens den nye helseregisterloven i grove trekk regulerer bruk av helseopplysninger til forskning og kvalitetssikring, regulerer pasientjournalloven hvordan helseopplysninger kan brukes når det ytes helsehjelp.

- Alle innbyggere i Norge har et forhold til helsevesenet, og ingen andre sektorer har så store mengder opplysninger om den norske befolkningen. Vi må alle gi fra oss mange opplysninger i bytte mot helsehjelp, og har i tillegg begrenset kontroll med hvordan disse opplysningene spres, sa Datatilsynets direktør Bjørn Erik Thon da Datatilsynet ga departementet sitt høringssvar om lovendringene som trådte i kraft fra årsskiftet.

Videre tilganger til journaler

De største endringene er kommet i pasientjournalloven. Der helsepersonell tidligere har kunnet få utlevert helseopplysninger fra journaler, vil de nå kunne få direkte tilgang til å hente ut pasienters helseopplysninger hos andre virksomheter.
Pasientjournalloven åpner også for at helseinstitusjoner kan samarbeide om pasientjournaler, forutsatt at de har et felles journalsystem og en nærmere avtale om deling. Loven fastsetter krav til hva avtalen skal inneholde.

Regulerer hva som skal til for å gi tilgang

Det er bare helsepersonell som skal gi pasienten helsehjelp, som skal se opplysningene. Pasientene har rett til å få vite hvem som har hatt tilgang til eller fått utlevert helseopplysninger. Alle som får se opplysningene har taushetsplikt.

Den viktigste forutsetningen for å gi tilgang, er at det er nødvendig i tilknytning til akkurat den helsehjelpen som skal gis på det aktuelle tidspunktet. Dette stiller store krav til hvordan journalen føres, og hvordan tilgangene i praksis gis. Dette reguleres gjennom den nye forskriften for tilgang til helseopplysninger på tvers av virksomheter.

I 2013 viste Riksrevisjonens kontroll med statlige selskaper at noen av helseforetakene ikke hadde gode nok systemer for å sikre tilgangsstyring internt i virksomhetene. Dette samsvarer med Datatilsynets erfaringer fra tilsyn. Denne typen avvik må være rettet opp før andre virksomheter gis tilgang.

Les hele Datatilsynets høringsuttalelse (2013) (pdf)