Melde- og konsesjonsplikt ved behandling av helseopplysninger

Dersom opplysninger og vurderinger om helseforhold kan knyttes til en enkeltperson, kan de vanligvis bare behandles om man har konsesjon fra Datatilsynet.

Helsevesenet og helseforvaltningen har krav om å søke konsesjon eller å melde fra behandling av personopplysninger. Dette reguleres av helseregisterloven og i personopplysningsloven.

Selvstendig næringsdrivende må sende melding eller søke konsesjon selv. I et større helsesenter der helsepersonell er ansatt, vil daglig leder være ansvarlig for melding eller konsesjon. Ved et helseforetak vil ledelsen ved direktøren ha ansvaret.

Meldeplikt

Fra 1. januar 2017 er meldeplikten sterkt begrenset. Ikke-autorisert helsepersonell har imidlertid fortsatt meldeplikt.

Om meldeplikt

Meldeplikta fell bort i mai 2018 når vi får ny personvernlov i Noreg. Fram til dette tidspunktet gjeld meldeplikta i dei tilfella der du behandlar personopplysingar med elektroniske hjelpemiddel, og i tilfella der du behandlar sensitive opplysingar manuelt. Unntaka frå denne regelen finn du i personopplysingsforskrifta § 7 II.

Konsesjonsplikt

Konsesjonsplikten gjelder når behandlingen av helseopplysninger ikke er hjemlet i lov.

Dette gjelder for eksempel

  1. registre i blodbanker
  2. forskningsprosjekter som ikke omfattes av unntaket i personopplysningsforskriften § 7-27 og som ikke kan sies å være et lokalt, regionalt eller sentralt helseregister.

Forskningsprosjekter som faller inn under helseregisterloven har konsesjonsplikt, med mindre de har fått den enklere meldeplikten gjennom unntak i personopplysningsforskriften.

Forskriftsregulering av enkelte registre

Helseregisterloven stiller krav om forskriftsregulering av lokale, regionale eller sentrale helseregistre i regi av det offentlige. Dette gjelder blant annet registre med svært følsomme opplysninger, stort omfang og mange diagnosetyper.

Personopplysningsloven eller helseregisterloven?

Helseregisterloven regulerer helsetjenestens og helseforvaltningens bruk av personopplysninger for pasientbehandling og kunnskapsoppbygging. Loven gjelder helsevesenet i tradisjonell forstand. Det vil si at ikke-autorisert helsepersonells bruk av helseopplysninger ikke faller inn under helseregisterloven, men derimot under personopplysningsloven. Behandling av personopplysninger som ikke har til formål å yte helsehjelp blir regulert av personopplysningsloven. Legemiddelprodusenter skal for eksempel følge personopplysningsloven for behandling av opplysninger om deltakere i forskningsvirksomhet og i klinisk utprøving av medisiner.

Ikke-autorisert helsepersonell følger personopplysningsloven

Ikke-autorisert helsepersonell har også registre for oppfølging av pasienter/klienter. Disse registrene har blitt unntatt konsesjonsplikt etter forskriften til personopplysningsloven § 7-25. Personopplysningsloven har også som utgangspunkt at det bare er lov å bruke personopplysninger dersom man har samlet inn et informert samtykke fra den opplysningene gjelder.