4 Unntak fra taushetsplikten – helsepersonell med behandlerrelasjon

4.1 Høringsforslaget

Departementet foreslo i høringen en ny § 23 i helsepersonelloven om tilgjengeliggjøring av opplysninger til helsehjelpsformål. Forslaget var i stor grad en sammenslåing av helsepersonelloven § 25 første ledd og § 45 første og andre ledd. I tillegg ble det foreslått å regulere direkte tilgang til helseopplysninger mellom virksomheter. Videre ble det foreslått at det er helsepersonellet som skal behandle pasienten, som må vurdere hvilke opplysninger som er relevante og nødvendige for å yte forsvarlig helsehjelp. Det ble også foreslått en ny forskriftshjemmel for utfyllende regulering av tilgjengeliggjøringen.

Departementet forslo at reguleringen av pasienters rett til å motsette seg tilgjengeliggjøring av helseopplysninger til helsehjelp, skulle flyttes fra pasient- og brukerrettighetsloven til helsepersonelloven. Departementet foreslo derfor at pasient- og brukerrettighetsloven § 5-3 skulle oppheves, og at rettigheten skulle reguleres nærmere og uttømmende i helsepersonelloven.

Departementet foreslo å tydeliggjøre og skjerpe kravene til virksomhetenes loggføring av tilgjengeliggjøring av opplysninger, i en ny § 22 a i pasientjournalloven. Hvilke opplysninger eller dokumenter som blir tilgjengeliggjort skal også fremkomme av loggen, og ikke bare tidsrom, hvem som har fått tilgang og grunnlaget for tilgjengeliggjøringen som etter gjeldende regler. Departementet foreslo samtidig å oppheve kravet i helsepersonelloven § 45 om at det skal fremgå av journalen at (annet) helsepersonell er gitt helseopplysninger.

4.2 Høringsinstansenes syn

Datatilsynet presiserer at plikten til å ivareta personvernet, herunder konfidensialitet, ligger til den dataansvarlige og at kontrollen ikke kan overlates til pasientene. Rett til logginnsyn er en viktig personvernrettighet, men kan ikke legitimere økt deling av journalopplysninger. Tilliten til et system der journalopplysninger deles på tvers av helsevirksomheter, forutsetter at den enkelte virksomhet har et systematisk forhold til etterkontroll av loggene.

Digitaliseringsdirektoratet støtter departementets forslag om endringer i taushetsplikt som kan bidra til bedre tilgang til helseinformasjon og mer sammenhengende pasientforløp. Digitalisering har skapt nye muligheter for deling av data, men stiller også krav til informasjonssikkerhet og personvern. Direktoratet støtter videre regulering av rammer i forskrift eller rundskriv, som gir fleksibilitet og tilpasning til fremtidige endringer.

Helsedirektoratet støtter forslagene i ny § 23, som samlet sett vil bidra til bedre og raskere tilgang til relevante og nødvendige opplysninger i forbindelse med helsehjelp. Forslaget tydeliggjør handlingsrommet og øker sjansene for gode pasientforløp, hvor behandling ofte skjer på ulike steder, og i ulike deler av tjenesten. Forslaget vil øke pasientsikkerheten og redusere problemer i overgang mellom ulike tjenester i og utenfor samme virksomhet, og på tvers av omsorgsnivå og mellom sykehus. Videre støtter direktoratet forslaget om at det er helsepersonellet som gis tilgang til opplysninger, som har ansvar for å vurdere om opplysningene er relevante og nødvendige for å yte helsehjelp til pasienten. Direktoratet mener imidlertid at en slik ansvarsoverføring bør komme tydelig frem også av lovteksten da plassering av dataansvaret for den konkrete tilgjengeliggjøring er viktig for virksomhetene.

Helsedirektoratet støtter ikke forslaget om å oppheve pasient- og brukerrettighetsloven § 5-3, som angir pasienter og brukeres rett til å motsette seg tilgjengeliggjøring av helseopplysninger. Av pedagogiske årsaker bør bestemmelsen videreføres også i pasient- og brukerrettighetsloven.

Helsedirektoratet støtter forslaget om at krav om logging også skal omfatte hvilke opplysninger som er gjort tilgjengelig, ikke bare tidsrom, hvem som har fått tilgang og grunnlaget for tilgjengeliggjøringen slik det er i dag. Direktoratet foreslår i tillegg at krav om logg utvides til også å omfatte informasjon om rolle.

Helse Midt-Norge RHF støtter i all hovedsak forslagene og mener at endringene er viktige for i større grad å kunne dele helseopplysninger på tvers av virksomheter og et viktig skritt på veien fra institusjonsfokus til pasientfokus ved deling av helseopplysninger. Det er viktig at lovendringene understøtter bedre digital samhandling om pasientbehandling, administrasjon og kvalitetsforbedring av helsehjelp, og bidrar til å etablere mer funksjonelle rammer for informasjonsdeling. Helse Midt-Norge RHF støtter forslagets intensjon, men er usikre på om det vil det føre til raskere implementering og mindre rom for tolkning. De foreslåtte lovendringene vil føre til behov for oppdatering av dagens IKT-løsninger.

Helse Nord RHF støtter forslagene og mener at en tydeliggjøring og forenkling av regelverket er positivt. Dette er nødvendige endringer for at helsepersonell skal kunne ha tilgang til oppdatert pasientinformasjon i det helsehjelpen skal ytes. Endringene vil kunne bidra til å øke kvaliteten på de samlede helsetjenestene, samt gi innbyggerne bedre styring med hvilken informasjon som deles med hvem. Det vil være spesielt viktig at det er enklere tilgang på informasjon i de tilfellene der pasienter mottar spesialisert helsehjelp i en annen geografisk region enn der de bor.

Regionalt brukerutvalg i Helse Nord RHF mener det er viktig å ha fokus på at pasienter får tilstrekkelig informasjon og bistand til å skjerme egne opplysninger dersom dette er ønskelig. Dette gjelder skjerming basert på geografiske avgrensninger og hvilken informasjonstype. Brukerutvalget uttaler også at pasientloggen bør videreutvikles og bli mer brukervennlig for pasientene.

Helse Sør-Øst RHF støtter at forslagene tar utgangspunkt i pasientforløpene og behovet for at informasjon følger pasient gjennom tjenesten. Helse Sør-Øst RHF støtter tilrettelegging for økt deling, også på tvers av virksomhetsgrenser, både når det gjelder bruk til helsehjelp og til andre formål, som kvalitetsforbedring.

Helse Sør-Øst RHF mener at prinsippet om at helsepersonellet må gjøre vurderingen av aktuelt tjenstlig behov, og at mottakervirksomheten må sørge for autorisasjon og autentisering av den ansatte er viktige utgangspunkt for reguleringen av ansvar for informasjonsflyten. Ansvaret for å ha et konkret behov ligger på helsepersonellet som skal yte helsehjelp. Dataansvarlig arbeidsgiver til dette helsepersonellet må ha egnede tiltak for å hindre snoking.

Høringsnotatet legger opp til at noen opplysninger ikke skal kunne være tilgjengelige ved deling på tvers basert på en forhåndsvurdering gjort av avgivervirksomheten (alternativt forskriftsbestemt). Å hindre tilgang til noen opplysninger basert på en forhåndsvurdering gjort av avgivervirksomheten vil bryte med ovennevnte ansvarsplassering, og innebære at avgiver vurderer mottakers mulige tjenstlige behov. Det gir fare for skjeve risikovurderinger og svake incentiver for å dele opplysninger. Det vil også neppe være mulig for avgivervirksomheten/nedtegnende helsepersonell i praksis å kunne forutse hvilke opplysninger som senere kan være nyttige og relevante for helsepersonell i egen eller andre virksomheter.

Helse Sør-Øst RHF påpeker at god sporbarhet er viktig for å kunne avdekke og sanksjonere snoking. Dokumentasjonen må være tjenlig både for å identifisere mulig snoking, for å saksbehandle slike tilfeller av mulig snoking og for å sanksjonere tilfeller av faktisk snoking. Det er viktig at loggen, også ved oppslag på tvers, viser hvilke opplysninger som helsepersonellet (eller andre, eksempelvis et KI-system) faktisk har sett på, og ikke kun hvilke opplysninger det kunne vært sett på.

Helse Sør-Øst RHF mener videre at pasient- og brukerrettighetsloven § 5-3 bør bestå, fordi loven har en viktig pedagogisk funksjon for å synliggjøre viktige pasient- og brukerrettigheter. Derfor bør den gi opplysninger om retten til å motsette seg at taushetsbelagte opplysninger spres eller deles til nærmere angitte formål.

Brukerutvalget til Helse Sør-Øst RHF er positive til forslaget, men ønsker å presisere at reservasjonsrett er viktig. Informasjon om hvordan pasienter kan reservere seg vil være svært viktig og det må være enkelt for pasienter å reservere seg. Brukerutvalget er skeptiske til at helsepersonell selv skal vurdere om de bør ha tilgang til journal og mener dette kan svekke pasientsikkerheten.

Helse Vest RHF støtter forslaget om å presisere ansvarsfordelingen mellom avgivende virksomhet og mottakende virksomhet. Helse Vest RHF viser spesielt til at ansvaret for hvorvidt det konkrete oppslaget er rettmessig, vurdering av tjenstlig behov, tilligger virksomheten som foretar oppslaget. Det er for Helse Vest RHF noe uklart hva som søkes regulert med forslag til bestemmelsen om direkte tilgang til andre virksomheters pasientjournalsystemer. Når det gjelder forslaget om å flytte pasient- og brukerrettighetslov § 5-3 til helsepersonelloven, stiller Helse Vest RHF spørsmål med hvor hensiktsmessig det er å flytte en rettighetsbestemmelse til helsepersonelloven som regulerer pliktene til helsepersonellet og virksomhetene. Helse Vest RHF stiller i utgangspunktet spørsmål til hva forslag til ny § 20 i pasientjournalloven tilfører ut over gjeldende rett og viser til kravene som følger av pasientjournalloven § 22 og § 23, samt pasientjournalforskriften § 13 og § 14.

Akershus universitetssykehus HF presiserer at tilgang basert på tjenstlig behov vil variere fra virksomhet til virksomhet. I ett sykehus kan for eksempel enkelte avdelinger samarbeide og dermed ha behov for tilgang på tvers av pasientgruppene i avdelingene, mens på andre sykehus vil dette behovet i mindre grad være til stede. Dersom ikke all dokumentasjon knyttet til helsehjelp skal være tilgjengelig, bør dette spesifiseres. At det skilles mellom helsepersonell og samarbeidende personell kan føre til at man blir usikker på om det er ulik informasjon som skal være tilgjengelig for de to gruppene. Dersom dette ikke er tilfelle bør bestemmelsene slås sammen for å unngå usikkerhet. Helseforetaket støtter forslaget om tydeliggjøring av hvem som har «tjenstlig behov» og hva som kreves for å oppfylle dette vilkåret.

Oslo universitetssykehus HF (OUS) er overordnet positiv til endringsforslagene og støtter i hovedsak departementets forslag, men flere av forslagene fremstår likevel uklare og oppfattes krevende for både helsepersonell og helsevirksomheter å forvalte. Samtidig er OUS usikker på om endringsforslagene er egnet til å oppnå de nevnte målsetningene. Helseforetaket mener det er behov for en mer helhetlig gjennomgang av regelverket, «hvor lovgiver tenker helt nytt».

OUS støtter at det er helsepersonell med tjenstlig behov som er ansvarlig for oppslaget er rettmessig. Helseforetaket vil imidlertid påpeke at det kan være vanskelig for helsepersonell å forstå og vite hvor relevante og nødvendige opplysninger finnes i pasientjournalen. Det kan også oppstå problemstillinger knyttet til den forhåndsvurderingen som foretas av virksomheten som har nedtegnet opplysningene, og videre der pasienten har sperret journalen eller motsatt seg deling av opplysninger.

For at pasienter skal ha en reell rett til å nekte deling av helseopplysninger, må de vite om reglene og hvordan helsetjenesten samarbeider. Mange unntak fra taushetsplikten i helsepersonelloven tillater deling av opplysninger uten å spørre pasienten, med mindre man er usikker på hva pasienten ønsker. OUS støtter tydeliggjøringen av at den enkelte innbygger får informasjon som setter vedkommende i stand til å ivareta sine rettigheter, blant annet retten til a motsette seg tilgjengeliggjøring av helseopplysninger.

OUS støtter forslaget om at kravet til logging også skal omfatte hvilke opplysninger som er gjort tilgjengelige.

Helse Bergen HF støtter forslaget i helsepersonelloven § 23 med tydeliggjøringen av det er behandlende helsepersonell som må vurdere hvilke opplysninger som er som er nødvendige for å yte forsvarlig helsehjelp til pasienten. Helseforetaket savner en grundigere drøfting om kravet til systematisk loggkontroll er hensiktsmessig, realistisk og om det vil stå i forhold til ressursbruken, og i hvilken grad en så finmasket tilgangsbegrensning er formålstjenlig.

Helse Stavanger HF støtter forslag til ny § 23 om lovfesting av at helsepersonell kan få direkte tilgang til relevante og nødvendige helseopplysninger i andre virksomheters journalsystemer. Helseforetaket støtter også forslaget om at det er helsepersonellet som skal behandle pasienten, som må vurdere hvilke opplysninger som er relevant og nødvendig for å yte forsvarlig helsehjelp.

Sykehuset Innlandet HF støtter at helsepersonelloven § 25 og § 45 slås sammen, men ber også om at § 23 beholdes som den er i dag da bestemmelsene er godt innarbeidet og har blitt et begrep ute i klinikkene. En endring vil lett skape forvirring. Sykehuset mener det å styrke deling av informasjon og utnytte de muligheter lovverket gir, som en forutsetning for å kunne yte forsvarlig helsehjelp, samtidig som pasientens adgang til å motsette seg slik deling skal «fremheves og tydeliggjøres», blir selvmotsigende. Sykehuset slutter seg ikke til en slik tydeliggjøring. Pasientens selvbestemmelse over opplysninger i en journal og bruken av dette må ikke trekkes for langt. Skjermes for mye, vil det gå på bekostning av en forsvarlighet. I praksis oppleves det vanskelig for helsepersonell å vite hvordan de skal forholde seg der deler av eller hele journalen er sperret for dem når pasienten skal behandles.

Universitetssykehuset Nord-Norge HF (UNN) støtter forslagets overordnede mål, men påpeker at gjeldende regler gir godt grunnlag for deling av informasjon når dette er nødvendig for å gi helsehjelp til en pasient. UNN mener at påstanden om at helsepersonell ikke har enkel nok tilgang til informasjon fra pasientjournaler i andre helseforetak, og at dette gi negativ effekt i pasientbehandlingen, er en problemstilling som er betydelig overdrevet. UNN støtter derfor ikke en endring av lovverket som gir åpning for at helsepersonell kan få direkte tilgang til helseopplysninger i andre virksomheters journalsystemer.

UNN påpeker videre at det i høringsnotatet mange steder er understreket behov for etterfølgende kontroll. Det er uklart hvordan den etterfølgende kontrollen skal foregå, herunder hvem som har ansvaret overfor pasienten ved mistanke om journalsnoking.

Avdeling for medisinsk genetikk, Helse Bergen HF har gitt felles høringssvar fra de medisinsk-genetiske avdelingene ved Oslo Universitetssykehus, Sykehuset Telemark, St. Olavs hospital og Universitetssykehuset i Nord-Norge. Avdelingene støtter i all hovedsak de foreslåtte lovendringene. Disse er også positive til at lovreglene skiller klarere mellom virksomhetens ansvar (pasientjournalloven) og det enkelte helsepersonell sitt ansvar (helsepersonelloven) og de støtter også intensjonen om å legge bedre til rette for deling av helseopplysninger. Når det gjelder forslaget til ny § 23 i helsepersonelloven oppfattes endringen som påkrevd for å bringe lovreglene i samsvar med det å yte forsvarlig helsehjelp etter dagens standard med tverrfaglige team og samarbeid. Avdelingene foreslår at det etableres et nasjonalt reservasjonsregister for enklere oversikt over hvilke pasienter som har reservert seg mot ulike typer innsyn.

Nasjonalt kompetansesenter for legevaktmedisin støtter forslagene og uttaler at det er viktig å sikre behandlende helsepersonell tilgang til nødvendige helseopplysninger, også i andre virksomheters journalsystemer. Det er naturlig at helsepersonell som utøver helsehjelpen vurderer hvilke opplysninger som er nødvendige. I en akutt situasjon kan det være stor hast, og umiddelbar tilgang til nødvendige helseopplysninger kan være avgjørende. Imidlertid vil det ikke alltid være mulig å avgjøre om opplysningene får noen konsekvens for vurdering og behandling før helseopplysningene foreligger. Om helseopplysningene er nødvendige, må altså baseres på vurderingene før opplysningene foreligger, det vil si om det er et berettiget behov for avklaring. Dette bør fremkomme. Som følge av endringene bør kravene til loggføring og innsyn i hvem som har hatt tilgang til helseopplysningene styrkes for å sikre personvernet for pasientene. I dag er dette bedre utviklet for spesialisthelsetjenesten enn for primærhelsetjenesten.

Norsk helsenett SF støtter arbeidet for et tydelig og digitaliseringsvennlig regelverk. En forutsetning for digital samhandling er avklarte ansvarsforhold. Norsk helsenett SF anbefaler at departementet i det videre lovarbeidet presiserer:

• Dataansvaret for de ulike behandlingsaktivitetene i en delingskjede.

• Ansvarsforholdenes betydning for hvilke organisatoriske tiltak de ulike dataansvarlige i en delingskjede skal gjennomføre.

• Rekkevidden av ansvarlighetsprinsippet ved digital samhandling.

Norsk helsenett SF støtter også forslaget til ny § 23 i helsepersonelloven om at ansvaret for hvorvidt det konkrete oppslaget er rettmessig, ligger til virksomheten hvor oppslaget foretas og at det er helsepersonellets konkrete tjenstlige behov som styrer tilgang til helseopplysninger.

Norsk helsenett SF støtter ikke forslag til ny § 20 i pasientjournalloven om krav til loggføring, uten en nærmere begrunnelse for behovet for endringen. Dette kan skape usikkerhet og hindre fremdrift i digital samhandling.

Helseplattformen AS støtter initiativ til å regulere enkelte rammer i forskrift, som foreslått i helsepersonelloven § 23 og i pasientjournalloven § 19. En slik regulering kan gi tydeligere retningslinjer for hvordan «tjenstlig behov» vurderes, spesielt i situasjoner hvor direkte tilgang til pasientopplysninger gis. Det er imidlertid utfordringer knyttet til vurdering av pasientens vilje. Når pasienten motsetter seg eller det er grunn til å tro at pasienten ville motsatt seg deling av opplysningene, skal opplysningene unntas fra direktetilgangen. Det at ansvaret for å vurdere pasientens vilje («grunn til å tro») til deling av opplysninger legges til virksomheten som gir direkte tilgang kan skape usikkerhet hos de som gir tilgang, da de ikke nødvendigvis har innsikt i pasientens konkrete situasjon. Mens helsepersonellet med behov for å få tilgang til opplysningene ikke har tilsvarende ansvar for å vurdere det. Forhåndsvurderinger kan være hensiktsmessige for å avgjøre hvilke opplysninger som generelt kan deles, men disse kan være utilstrekkelige for å vurdere unntak i spesifikke tilfeller. Det er vanskelig å automatisere en vurdering knyttet til «grunn til å tro».

Bergen kommune mener generelt at det er viktig at taushetsplikten ikke må være til hinder for å gi forsvarlig helsehjelp og ivareta pasientsikkerhet. Dette gjelder særlig i samarbeidsrelasjoner. Samtidig er det viktig at en sikrer god kontroll med deling av opplysninger, slik at den enkeltes privatliv skjermes i størst mulig grad. De endringene som er foreslått vil kunne bidra til bedre kvalitet i helsetjenestene ved at behandlere kan få tilgang til riktig og nødvendig informasjon til riktig tid, når beslutninger skal tas.

Bergen kommune mener endrede muligheter for helsepersonell til å gi seg selv tilgang, vil kunne bidra til å sikre tillit til behandlingen av opplysninger i journal. Det er en forutsetning at det følges opp med utvidet krav om logging, noe som styrker personvernet, konfidensialitet og tilgjengelighet. Forslaget vil kunne bidra til å øke helsepersonells bevissthet rundt journaloppslag, fordi personellet i større grad gjøres ansvarlig for egne oppslag. Kommunen er i hovedsak enig i endringene som foreslås, blant annet ny helsepersonelloven § 23 om tilgjengeliggjøring av opplysninger til helsehjelpsformål. At det samtidig er foreslått en endring der det tydeliggjøres at helsepersonell selv må vurdere om de har tjenstlig behov for oppslagene de gjør i journal, gir en enklere praktisk og administrativ gjennomføring av tilgangsstyring. Fordi det er det enkelte helsepersonell som har behov for tilgangen, som er nærmerest til å vurdere situasjonen, og vurdere om det er et helserelatert formål. Kompetansen til å foreta vurderingen flyttes dermed til utøver, fra ledernivå.

Bærum kommune støtter forslagene, inkludert forslagene til materielle endringer støttes. Bærum kommune støtter forslaget om at helsepersonell skal få direkte tilgang til relevante og nødvendige helseopplysninger i andre virksomheters journalsystemer. Det har over tid vært påpekt behov for at helsepersonell får nødvendig tilgang til helseopplysninger om aktuell pasient på tvers av ulike journalsystemer. Samtidig ser kommunen at selv om det juridisk åpnes for tilgang til nødvendige helseopplysninger, er det mye som må på plass teknisk før det er mulig.

Bærum kommune støtter forslaget om at det er helsepersonellet som trenger opplysningene, som har ansvar for å vurdere om de er relevante og nødvendige for å yte helsehjelp til pasienten. Det er primært det helsepersonellet som trenger opplysningene som kan, og bør, vurdere om opplysningene er relevante og nødvendige for å yte helsehjelp til pasienten. Kommunen støtter også forslaget til regulering av pasientens adgang til å motsette seg tilgjengeliggjøring av taushetsbelagte opplysninger. Også forslaget om at tilgjengeliggjøring kan skje mot pasientens vilje, støttes. På den annen side, vil manglende tilgjengeliggjøring av helseopplysninger fordi pasienten ikke ønsker det, kunne være uheldig i en del situasjoner.

Bærum kommune ser utfordringer med forslaget om logging. Selv om mange kommuner har løsninger for logg, er det ikke gitt at det i seg selv er det eneste som er forbundet med økte kostnader. Det tas for eksempel ikke høyde for økt ansvar og behov for tid og ressurser til dataansvarlig for å utføre dette arbeidet. Tilsvarende vil flere kommuner kunne ha systemer for logging som ikke er gode nok. De vil dermed kunne få økte kostnader i en tid der mange kommuner sliter økonomisk.

Stjørdal kommune, Malvik kommune, Overhalla kommune og Flatanger kommune ser behovet for og nytten av, endringene som foreslås. I praksis kan uklar tolkning av helsepersonells taushetsplikt bidra til at opplysninger som burde ha vært delt, ikke blir delt fordi helsepersonell tolker regelverket feil. Dette kan igjen føre til at pasientsikkerheten ikke blir ivaretatt. Ved å lovfeste «at helsepersonell kan få direkte tilgang til relevante og nødvendige helseopplysninger i andre virksomheters journalsystemer» gir det helsepersonellet nødvendig juridisk handlingsrom. For at helsepersonell effektivt skal kunne nyttiggjøre seg en slik mulighet, fordrer det at det med loven følger forskrift som utdyper hvordan dette skal gjennomføres i praksis. Når det gjelder automatisering av system for logging av snoking i journal, innebærer det at ulovlig eller uvanlig oppslag skal varsles automatisk. Teknologi for automatisering er per i dag ikke i bruk av kommunene. Dagens kommunale elektroniske pasientjournalsystem logger alle oppslag, men kontrollen av oppslagene gjennomføres manuelt. Dette er oppgaver som er ressurskrevende. Framtidige journalsystemer må ha denne type funksjonalitet innebygd og dette kravet bør inngå i lov eller forskrift.

Molde kommune støtter departementets vurdering om at innebygget personvern og informasjonssikkerhet må være en sentral del av digitaliseringsarbeidet i helsevesenet. Videre mener kommunen at det er viktig med klare prosedyrer for hvordan tilgang til helseopplysninger skal tildeles, samt rutiner for etterfølgende kontroll og oppfølging av tilgangslogger.

Trondheim kommune stiller spørsmål ved om pasientsikkerheten vil bli godt nok ivaretatt ved å flytte ansvaret for oppslag i journal fra den virksomheten hvor opplysningene er nedtegnet til den virksomheten hvor oppslaget foretas. Det vil i svært mange tilfeller ikke være mulig å forutse hvilke opplysninger som er inntatt i de ulike journaldokumentene. Dette vil først vise seg etter at opplysningene er gjort tilgjengelige. Kommunen stiller videre spørsmål ved om logging og loggkontroll vil være tilstrekkelige avbøtende tiltak. Kommunen er enig i at pasient/bruker i større grad bør få bestemme når og hvem opplysningene skal gjøres tilgjengelig for.

Innlandet fylkeskommune støtter forslaget og at hjemlene for tilgang til helseopplysninger mellom helsepersonell gis utvidet forankring i lovverket. Fylkeskommunen påpeker at pasientens rett til å motsette seg deling av helseopplysninger er nødvendig, og at forsterket ansvar for helsepersonell for å informere pasienten om retten til å ikke gi samtykke til utveksling av helseopplysning er en styrke.

KS støtter de foreslåtte endringene, med noen ytterligere forslag og presiseringer. Direkte tilgang kan gi bedre tilgang til helseinformasjon fra andre virksomheter, men vil ikke nødvendigvis støtte deling av helseinformasjonen mellom virksomheter. Dette er bare en av flere tekniske løsninger for å dele helseinformasjon. Det kan være krevende om virksomheter skal gi helsepersonell i (flere) andre virksomheter direkte tilgang til eget journalsystem for å tilgjengeliggjøre helseinformasjon. KS mener det bør vurderes om det bør være plikt til å dele for virksomheter (gjelder informasjonen som ikke må skjermes for deling), og også plikt til å tilrettelegge for (digital) deling. I motsatt fall kan vi risikere at noen helseaktører motsetter seg eller i liten grad arbeider for å tilrettelegge for å kunne dele med andre.

Universitetet i Oslo, juridisk fakultet påpeker at forslaget blant annet innebærer en opprydning i regelverket som vil gjøre dette bedre tilgjengelig. Forslaget om å slå sammen helsepersonellov § 25 og § 45, og å modernisere språket, er hensiktsmessig.

Bipolarforeningen er bekymret for at alt autorisert helsepersonell skal få adgang til andres pasientopplysninger, vil øke risikoen for at sensitiv pasientinformasjon deles unødig. Dette kan svekke tilliten for pasienten/brukeren til å dele informasjon. Samtidig stiller foreningen spørsmål ved hvordan man rent praktisk skal sikre at kun de som skal ha det, får tilgang på informasjonen om pasienten/brukeren. Når det gjelder opphevelse av pasient- og brukerrettighetsloven § 5-3 og at adgangen til å motsette seg reguleres i forslag til helsepersonelloven § 23, frykter foreningen at flytting kan gjøre det vanskeligere for pasienten/brukeren å navigere seg frem til den.

Brukerutvalget ved Diakonhjemmet sykehus er positiv til endringer for at regelverket skal bli bedre egnet til å gjøre helseopplysninger tilgjengelige for behandling av pasientene (informasjonsdeling) og mer digitaliseringsvennlig. Dette vil kunne bidra til bedre pasientsikkerhet. Det er vesentlig at regelverket gjøres lettere å forstå og bruke.

Forandringsfabrikkens undersøkelser viser at en av hovedgrunnene til at barn ikke forteller det viktigste, vondeste eller mest strevsomme til fagfolk, er at de ikke vet hvem som får vite det de forteller. Mange barn opplever at fagfolk deler opplysninger med andre fagfolk uten at de snakker med barnet først. Dette kan gjøre at barn mister tillit både til den voksne som delte opplysningene, og til andre fagfolk. For å bevare tilliten og tryggheten til barnet, er det viktig at helsetjenesten gir barnet informasjon og anledning til å si sin mening, før de avgjør spørsmål om å dele opplysninger. Forandringsfabrikken foreslår videre at det lovfestes i helsepersonelloven at barn under 18 år skal bli informert når helsepersonell vurderer å tilgjengeliggjøre taushetsbelagte opplysninger og om at de kan motsette seg at opplysninger gjøres tilgjengelig.

Landsforeningen for hjerte- og lungesyke (LHL) mener at regelverket i større grad må bidra til at helseopplysninger kan deles når det er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp. LHL er i hovedsak enig i forslagene, men forslagene reiser også noen problemstillinger knyttet til ivaretakelse av pasientens personvern. Pasient- og brukerrettighetsloven retter seg direkte mot de som er brukere av helse- og omsorgstjenester. LHL motsetter seg derfor at pasient- og brukerrettighetsloven § 5-3 oppheves. At reservasjonsretten kommer frem av helsepersonelloven, erstatter ikke informasjonsverdien av § 5-3. Også Mental Helse er bekymret for forslaget om å oppheve § 5-3 i pasient- og brukerrettighetsloven, og å flytte denne retten til helsepersonelloven.

Mental Helse Ungdom mener at endringene må sees i lys av barn og unges særegne behov for medvirkning, personvern og tilgjengelighet i helsevesenet. Oppsummert så støtter Mental Helse Ungdom endringer i reglene for hvordan helsepersonell kan dele informasjon om pasienter som kan gi bedre helsehjelp, men mener at de må legges vekt på følgende:

• Personvern: Helseopplysninger må deles trygt og bare når det er nødvendig.

• Medvirkning: Barn og unge må bli hørt, og deres rett til privatliv må respekteres.

• Må være informert: Barn og unge må få vite hvem som har tilgang til deres informasjon på et alderstilpasset vis.

• Lov å si nei: Det må være enkelt å si nei til deling av opplysninger.

• Digitalisering: Digitalisering er bra, men det må ikke gå utover barn og unges sikkerhet eller rett til privatliv.

Mental Helse Ungdom støtter endringene hvis de gjør helsetjenestene tryggere og bedre, men vil at barn og unge skal få være med og bestemme hvordan reglene lages. Mental Helse Ungdom ser verdien av å gi helsepersonell tilgang til nødvendige opplysninger, men understreker at denne tilgangen må vurderes individuelt, basert på relevans og nødvendighet. Åpenhet om tilgangskriterier og formål er avgjørende for å unngå feilbruk.

Minoritetenes interesseorganisasjon mener at å fjerne § 5-3 i pasient- og brukerrettighetsloven, vil svekke minoritetspasientens rettigheter til personvern, redusere tilliten til helsevesenet, svekke rettssikkerheten og undergrave viktige etiske prinsipper i helsetjenesten. Tilliten mellom pasient og helsevesen bygger på tryggheten om at sensitive opplysninger kun deles med samtykke. Når denne retten svekkes, kan det forsterke skepsisen blant minoriteter og redusere deres åpenhet med helsepersonell, spesielt om forhold som oppleves som svært private og/eller bryter med kulturelle eller religiøse preferanser.

Nasjonalt senter for erfaringskompetanse innen psykisk helse støtter ikke forslaget. Senteret mener at taushetsplikten over tid har fått så mange unntaksbestemmelser, at det er på tide å stille spørsmål ved smerteterskelen for slike unntak. Senteret påpeker at taushetsbelagte opplysninger om forhold knyttet til psykiske plager og behandling av disse kan være særlig sensitivt, og at mange brukere kan være bekymret for hvordan slik informasjon forvaltes. Behandling av psykiske helseutfordringer forutsetter at pasienter og brukere opplever det trygt å dele slike vært sensitive opplysninger og slik tillit baserer seg tungt på taushetsplikten. På psykisk helsefeltet er endringen av ansvaret for å vurdere hva som er relevante og nødvendige opplysninger fra den som deler slik informasjon til den som skal motta slik informasjon svært komplisert. Mange forhold kan vurderes eller begrunnes å være «nødvendig og relevant informasjon» for å yte forsvarlig psykisk helsehjelp, mens det synes prinsipielt umulig å vurdere hva som er, og hva som ikke er, nødvendig og relevant informasjon, før informasjonen faktisk er kjent. Da er lovens krav allerede er brutt. Her synes forslaget å være logisk inkonsistent. Forslaget om å oppheve pasient- og brukerrettighetsloven § 5-3 og forankre tilsvarende lovbestemmelse i helsepersonelloven støttes ikke.

Norges Døveforbund støtter endringsforslagene. Den viktigste faktoren for sikker pasientbehandling og deling av viktige og riktige pasientopplysninger for døve og hørselshemmede pasienter er tilgang på tolk og tolketjenester.

Norsk Forbund for Utviklingshemmede støtter at pasienter skal få bestemme hvem som skal kunne få se informasjon om dem og presiserer viktigheten av ikke bare god informasjon om dette, men også at informasjonen om denne rettigheten er lettfattelig og individuelt tilpasset.

Ivareta anerkjenner behovet for å oppdatere lovverket slik at helseopplysninger kan gjøres godt tilgjengelig for behandling av pasienter (informasjonsdeling), og for endringer som kan føre til en mer effektiv og digitaliseringsvennlig praksis. Pasienter med samtidig ruslidelse og psykisk lidelse må få bedre tilbud (koordinering, utredning og behandling). Et fleksibelt lovverk som tilgjengeliggjør viktig informasjon mellom ulike hjelpeinstanser vil kunne bidra til bedre helhetlige pasientforløp for denne gruppen pasienter. Både pasienter og deres pårørende har store forventninger til at sensitive opplysninger i pasientjournaler forvaltes trygt. Tillit mellom pasienter, pårørende og helsepersonell baserer seg tungt på taushetsplikten. Ivareta er skeptisk til forslaget om at det skal være helsepersonell med «tjenstlig behov» for opplysningene, som selv skal få vurdere hva som er relevant eller nødvendig motta fra andre virksomheters pasientjournaler, for å yte nødvendig helsehjelp til pasientene. Personell som ber om opplysninger kan ikke vite sikkert om opplysningene er nødvendige eller behandlingsrelevante, før informasjonen faktisk er mottatt. Det er det pasientjournalansvarlige som har best forutsetninger for å vurdere. En slik endring i lovverket kan derfor etter Ivaretas oppfatning kunne føre til en praksis hvor flere sensitive opplysninger deles, uten at informasjonsutvekslingen verken er relevant eller nødvendig. En slik praksis kan på sikt kan gå ut over den tilliten som pasienter med rett til nødvendig helsehjelp, deres pårørende og befolkningen ellers, skal ha til helsetjenestene.

Rådet for psykisk helse uttaler at det innenfor rus og psykisk helse er de med de alvorligste lidelsene som trenger de sammensatte tjenestene mest, og det er i denne gruppen behovet for tillit er viktigst. Denne gruppen trenger god informasjonsflyt mellom tjenestene for å få en best mulig helsehjelp. Rådet er bekymret for mulige negative konsekvenser av endringene som foreslås og peker på det store handlingsrommet som allerede er innenfor gjeldende regler. En kvalitativt god bruk av dette handlingsrommet krever kompetanse og tid til samhandling, samtidig som vi beholder det viktige prinsippet om at den som skriver journalen er ansvarlig for å ivareta taushetsplikten og pasientens rett til å velge om hens helseopplysninger eller deler av disse, skal tilgjengeliggjøres.

Rådet for psykisk helse støtter forslaget om å tydeliggjøre pasienters rett til å motsette seg tilgjengeliggjøring av helseopplysninger. Dette er nødvendig for å ivareta pasientens autonomi og personvern. Samtidig framstilles pasientenes rett til å motsette seg som et enten eller. Rådet savner flere nyanser og inkludering av samvalg i praksis også i loven. Helsepersonell plikter å beskytte pasientens privatliv og helseopplysninger. Ved å flytte dette ansvaret fra den som skriver journalen til den som leser den, er det fare for at taushetsplikten uthules. Rådet for psykisk helse mener videre at kravet om logging av journalinnsyn og etterfølgende kontroll ikke er tilstrekkelig for å ivareta pasientens rettigheter. Da kan pasienten allerede ha mistet kontrollen over sine opplysninger og en reaksjon i etterkant vil ikke kunne rette opp den potensielle belastningen det har påført pasienten. Rådet mener også at loggføring av innsyn må automatiseres.

Spiseforstyrrelsesforeningen ser behovet for at pasienter skal få bedre koordinering av helsehjelp. Forbedret informasjonsdeling kan føre til mer nøyaktige diagnoser og behandlinger, og øke pasientsikkerheten. For å redusere risikoen for brudd på personvernet må pasienter informeres om sine rettigheter og muligheten til å reservere seg mot deling. Forslaget om å flytte ansvaret for å vurdere hvilke opplysninger som er relevante og nødvendige fra den som yter helsehjelp til den som skal motta opplysningene, kan føre til at flere får tilgang til sensitiv informasjon. Dette kan svekke pasientenes tillit til helsevesenet. Foreningen er kritisk til forslaget. Ved å tilgjengeliggjøre opplysninger for fremtidig bruk, mister behandlende helsepersonell muligheten til å forhindre at andre får tilgang til taushetsbelagt informasjon. Dette kan skape utrygghet og redusere tilliten til helsetjenesten i sin helhet. De negative utilsiktede konsekvensene for pasienter og brukere innen psykisk helse og rus er større enn fordelene. Økt informasjonsflyt mellom behandlende helsepersonell har ingen nytte hvis brukere ikke oppsøker helsetjenesten. Opphevelse av pasient- og brukerrettighetsloven § 5-3 vil sende et uheldig signal om svekket selvbestemmelsesrett for pasientene. Ved å oppheve denne paragrafen og flytte reguleringen til helsepersonelloven § 23, kan det bli mindre tydelig for pasientene hvordan de kan utøve denne retten.

Advokatforeningen mener at det fra et personvernståsted fremstår som at de personvernmessige konsekvensene særlig vil bli påvirket av hvordan den videre digitaliseringen gjennomføres innenfor helsesektoren. Det vil være sentralt at personvernet bygges inn i de løsningene som utvikles og implementeres og at de dataansvarlige følger opp med tilstrekkelige revisjoner og informasjon mot pasientene mv.

Apotekforeningen stiller seg i utgangspunktet positive til de foreslåtte endringene. Foreningen trekker frem at styrket informasjonssikkerhet og personvern gjennom strengere krav til logging og etterfølgende kontroll, samt styrkede krav om autorisasjon, autentisering og tilgangsstyring, er positivt. Det er også positivt for pasientene får økte rettigheter til å motsette seg tilgjengeliggjøring av opplysninger, noe som ivaretar deres personvern og selvbestemmelsesrett. Det er positivt at høringsnotatet tydeliggjør skillet mellom den enkelte helsemedarbeiderens ansvar, virksomhetsansvaret og behandlingsansvaret etter personvernforordningen. Foreningen er ikke enig i at de foreslåtte endringene i seg selv ikke har noen økonomiske eller administrative konsekvenser. Implementeringen av de foreslåtte kravene vil medføre økte kostnader og ressursbehov for etterfølgende kontroll og mulig endring på teknisk oppsett. Forslaget om utvidet loggkontroll er et nytt krav som kommer til å kreve tekniske endringer også hos virksomheter som i dag har tilfredsstillende løsninger.

Den norske legeforening (Legeforeningen) mener at forslaget har klare lovtekniske mangler, men mener samtidig det fremstår fornuftig å samle nåværende § 25 første ledd og § 45 første og andre ledd. Legeforeningen mener imidlertid at forslagets første ledd, hvor det følger at «[r]elevante og nødvendige taushetsbelagte opplysninger skal gjøres tilgjengelig for helsepersonell som skal yte eller yter helsehjelp til pasienten», er en plikt på virksomhetsnivå, som ikke hører hjemme i helsepersonelloven. Uansett hvilken løsning som velges, er det positivt at ansvaret for å vurdere «tjenstlig behov» foreslås lagt til det helsepersonellet som skal bruke opplysningene som vet hvilke opplysninger som er, eller kan være, nødvendige for helsehjelpen.

Uansett hvordan det avgjøres hvilke opplysninger som skal deles, er det avgjørende at man ikke ender opp med en informasjonsoverflod. Det er ikke nødvendigvis slik at mer alltid er bedre når det kommer til deling. Kjernejournalens begrensninger til oppsummerende dokumenttyper er en god illustrasjon på et godt kompromiss.

Forslaget om at det er helsepersonellet som «gis tilgang» som har ansvar for å vurdere om opplysningene er relevante og nødvendige støttes. Mange er bekymret for å gjøre uberettigede oppslag, og mulige sanksjoner det kan medføre. Legeforeningens medlemmer har etterlyst en tydelig definisjon av når det foreligger tjenstlig behov. I forslaget presiseres det imidlertid også at tilgang må skje innenfor virksomhetens rutiner og vedkommendes oppgaver som beskrevet i arbeidskontrakt og gjenspeilet i den enkeltes autorisasjon (rolle) for tilgang til pasientjournalene. Legeforeningen oppfatter dette som en (betydelig) innstramming, som kan være egnet til å skape uklarhet og usikkerhet som vi oppfatter er i strid med intensjonen for øvrig. Legeforeningen ber departementet revurdere å knytte forståelsen av tjenstlig behov og vurdering av brudd på helsepersonelloven § 21 a opp mot interne rutiner, den enkeltes autorisasjon og arbeidsoppgaver. Legeforeningen ser at det i enkelte tilfeller kan være et moment i en etterfølgende vurdering av lovovertredelse, men vil advare mot å legge det som et sentralt premiss og vilkår for berettiget oppslag.

Når det gjelder pasient- og brukerrettighetsloven § 5-3, vil Legeforeningen advare mot å oppheve denne fordi det vil svekke pasientens rett til personvern, redusere tilliten til tjenesten, skape usikkerhet og svekke pasientens kontroll over egne helseopplysninger. I tillegg bryter det med lovens system med pasientens rettigheter samlet i pasient- og brukerrettighetsloven og helsepersonellets plikter i helsepersonelloven.

Forslaget har et stort fokus på logging og etterfølgende kontroll. Bruk av automatiserte analyser og varslinger for potensielt urettmessige oppslag skildres som en forutsetning for å kunne legge til rette for mer deling. Legeforeningen er ikke uten videre enig i det premisset. Selv om det ikke er tvil om at det skal føres streng kontroll med tilgang til pasientdata, må man være oppmerksom på at kravet om økt kontroll risikerer å komme i konflikt med målet om enklere tilgang til pasientdata.

Den norske legeforening – Rådet for legeetikk forstår og tiltrer ønsket og intensjonen om at helsepersonell skal ha tilstrekkelig informasjon om pasienten for å gjennomføre forsvarlig og trygg behandling. Rådet deler imidlertid ikke departementets virkelighetsforståelse hva gjelder sentrale hindringer for at dette skal skje. Erfaringer blant klinisk personell tilsier ikke at de foreslåtte tiltakene vil avhjelpe de utfordringer som eventuelt foreligger med informasjonsflyt. Videre ser Rådet med dyp bekymring på uthulingen av taushetsplikten og konfidensialiteten som forslaget innebærer, og vil fraråde de endringer som er foreslått ettersom dette ikke godtgjøres i gevinst.

Senter for medisinsk etikk påpeker at tilgjengeliggjøring forutsetter god kontroll. Lovforslaget tilsier at ikke bare identitet til den som gjør oppslaget, skal registreres, men også grunnen for oppslaget, tidsperioden for tilgjengeliggjøringen, og hvilke opplysninger og dokumenter som er tilgjengeliggjort. Disse strenge kravene vil sannsynligvis føre til en ytterligere økning av byråkrati og ressursbruk når oppslagene skal kontrolleres, og mulige brudd skal registreres og følges opp. Det er viktig at det registreres negative følger av dette, inkludert at det kan bli så komplisert, tidkrevende og ubehagelig å skaffe potensielt viktig informasjon, at helsepersonell vil vegre seg for å samle opplysninger. Dette kan igjen gå utover kvaliteten på helsehjelpen.

Den norske tannlegeforening støtter formålet med forslagene, men vil understreke at gjennomføringen betinger at den enkelte pasient/bruker får god informasjon om når og hvor helseopplysninger skal gjøres tilgjengelig, om hvem som får innsyn, og om retten til å motsette seg tilgjengeliggjøring. Det er svært viktig at helsepersonell har tilgang på nødvendige og oppdaterte opplysninger om pasienten i forbindelse med pasientbehandling. Det er likevel nødvendig å samtidig ivareta hver enkelt sin rett til beskyttelse av sensitive personopplysninger. Å åpne for at alt helsepersonell skal kunne hente ut opplysninger fra andre journalsystemer etter selv å ha vurdert om de har tjenstlig behov fremstår som en altfor vid utvidelse av loven og dens formål, særlig i kombinasjon med at det blir opp til den enkelte å reservere seg mot at helsepersonell skal kunne innhente helseopplysninger om dem selv. Foreningen støtter at kravene om logging skal være mer omfattende enn i dag. Bestemmelsene om logging er tilpasset store helsevirksomheter. Det finnes mange små private helsevirksomheter (også i tannhelsetjenesten). I disse helsevirksomhetene vil det enkelte helsepersonellet måtte kontrollere seg selv, siden den som gir tilgang er den samme som benytter seg av den.

NITO – Norges ingeniør- og teknologorganisasjon er positive til forslaget til endringer i reglene om taushetsplikt. Tilgang til opplysninger på tvers av avdelinger vil kunne bidra til å forenkle arbeidet i helsesektoren og bidra til mer effektiv behandling av pasienter. Samtidig stiller de spørsmål ved noen av endringsforslagene. NITO mener det må på plass klare og tydelige retningslinjer for hvem som skal ha tilgang, samt gode rutiner som sikrer at kun de som har «tjenstlig behov» får tilgang til opplysningene. Det er viktig at alt personell som har behov for tilgang til pasientjournaler får det, slik at de kan utøve sine oppgaver på en faglig forsvarlig måte. Dette kan løses i form av at tilgangsrollen defineres av arbeidsoppgaven(e), uavhengig av om den ansatte er autorisert som helsepersonell eller har en annen fagbakgrunn.

Norsk Forening for Helse- og Treningsfysiologer vurderer forslagene som et positivt skritt mot økt pasientsikkerhet og effektiv informasjonsdeling innen helsevesenet, og ser flere fordeler spesielt når det kommer til å forbedre tilgjengeligheten som sikrer et godt tverrfaglig samarbeid. Helse- og treningsfysiologer, som ikke har autorisasjon, likevel har ansvar for å vurdere nødvendigheten av tilgang til pasientopplysninger når de skal tilpasse trening og fysisk belastning til medisinerte pasienter i samråd med ansvarlig lege. Nye krav til logging og dokumentasjon kan påføre helsepersonell en økt administrativ byrde på bekostning av kjerneoppgavene, og oppfordrer til utvikling av generelt forenklende systemer. Foreningen støtter pasientens rett til å nekte deling av opplysninger, men ber om at det utformes prosedyrer som både ivaretar pasientens rettigheter og samtidig gir dem som behandlere tilstrekkelig informasjon for best mulig behandling.

Norsk psykologforening støtter forenkling og opprydding i regelverket. Foreningen stiller spørsmål ved hvordan man kan vurdere hvorvidt opplysninger skal tilgjengeliggjøres, og vurderingen om et notat man ikke har lest kan inneholde opplysninger som er relevante og nødvendige for å yte helsehjelp. Flere vil kunne få tilgang til opplysninger som kan være kjekt å vite, men kanskje ikke strengt nødvendig. Ved å tilgjengeliggjøre opplysninger for ettertiden mister behandlende helsepersonell muligheten til å aktivt forhindre at andre skal kunne få tilgang til taushetsbelagt informasjon i fremtiden. Det blir vanskelig for helsepersonell å kommunisere tydelig ovenfor pasienter hvordan opplysningene vil kunne bli brukt hvis det må tas forbehold rundt tilgjengeliggjøring, og dette kan redusere tilliten til helsetjenesten. Frykt for utilsiktet «snoking» kan gjøre at helsepersonell vegrer seg for å gjøre oppslag i journal. Foreningen støtter ikke forslaget om å fjerne pasient- og brukerrettighetsloven § 5-3 fordi dette oppfattes som et signal om svekket selvbestemmelsesrett for pasienten, som dermed igjen vil kunne gi en utrygghet og svekke tilliten til helsetjenesten.

Norsk Sykepleierforbund støtter forslagene og bemerker at lovverket på dette området er komplisert og vanskelig både å tolke og håndheve. Det oppleves som en hindring for å få til gode, hensiktsmessige pasientforløp der flere tjenesteutøvere og forvaltningsnivå er involvert. De foreslåtte endringene hjelper et godt stykke på vei. Den rivende utviklingen på området tilsier at lovverket bør ha kort revisjonssyklus for ikke å hindre innovasjon og utvikling. Automatisert, digital samhandling muliggjør deling hvis og når et behov oppstår, selv om man verken vet hvilken helsevirksomhet som vil få behov for og rett til å motta opplysninger, eller hvilken helsevirksomhet som vil få plikt til å dele. Det er ofte hindringer for at pleie- og omsorgstjenesten får nødvendig informasjon når ansvaret for pasient overtas. Foreningen understreker derfor betydningen av at mottakende virksomhet definerer hvem som har en rolle som gir tjenstlig behov for informasjon. Oppgavene og rollene løses og fordeles ulikt i ulike organisasjoner, og det må være mulig å styre informasjonsflyten til den/dem som trenger det. Ellers støttes forslaget om at det er helsepersonellet som er i behov av opplysningen til ytelse av helsehjelp, som selv vurderer hvilke opplysninger som er relevant og nødvendig for seg.

Norsk Tannpleierforening støtter forslagene, men presiserer at det er viktig at tannhelsetjenesten også er inkludert og ivaretatt i informasjonsutvekslingen. Tannpleiere opplever gjentatte ganger at taushetsplikten kan være til hinder for utveksling av helseinformasjon, spesielt viktig er dette i saker for eksempel ved omsorgssvikt.

Kernel AS støtter forslaget og mener de foreslåtte endringene vil gi tydeligere rammer og dermed kunne bidra til mer effektiv samhandling. Selv om lovforslaget tydeliggjør ansvarsforhold og plikter knyttet til taushetsplikt, etablerer det ingen tydelig plikt for dataansvarlige til aktiv deltakelse i informasjonsdeling. Pasientjournalloven § 19 overlater fortsatt til den enkelte dataansvarlige å bestemme hvordan opplysninger skal gjøres tilgjengelige, så lenge informasjonssikkerheten ivaretas. I fravær av konkrete krav til funksjonalitet, enten i loven selv eller i forskrift om IKT-standarder i helse- og omsorgstjenesten, risikerer vi fortsatt fragmentert implementering blant de mange tusen dataansvarlige i sektoren. Videre synes Kernel AS det er bra at lovverket skal være teknologinøytralt. Dette tolker vi som at det ikke må ligge noen føringer til systemarkitektur og implementeringen av løsning. Kernel AS synes kanskje høringsforslaget ikke er teknologinøytralt nok. Gitt endringen i ansvar som legges til grunn ved at «helsepersonellet som skal behandle pasienten, og har «tjenstlig behov», som må vurdere hvilke opplysninger som i den konkrete situasjonen anses som relevant og nødvendig for å yte forsvarlig helsehjelp» er det fremdeles ikke tydelig hva som vilkårene for forhåndsvurderingen skal være. Grovt sett kan man kanskje tenke seg at «sykepleierjournal» ikke er relevant for leger, og dermed heller ikke er relevant å dele til leger, men det handler vel så mye om gode filtreringsmuligheter i brukergrensesnitt i mottakende systemer som gjør det mulig for helsepersonell å ikke be om mer informasjon enn nødvendig, som at det skal være en tilgangsbegrensning som det en forhåndsvurdering i realiteten er.

4.3 Departementets vurderinger og forslag

4.3.1 Innledning

Departementet foreslår en ny § 25 i helsepersonelloven, som regulerer tilgjengeliggjøring av opplysninger til helsehjelp. Forslaget er i stor grad en sammenslåing av nåværende § 25 første ledd og § 45 i helsepersonelloven.

Departementet er også kommet til at det er hensiktsmessig å presisere i lovteksten, muligheten til å tilgjengeliggjøre opplysninger ved å gi direkte tilgang.

Departementet opprettholder forslaget om at det er helsepersonellet som er i behov av helseopplysningene som skal vurdere om opplysningene er relevante og nødvendige for å yte helsehjelp.

Det foreslås flere lovtekniske og språklige justeringer av lovteksten uten at dette innebærer materielle endringer.

Forslaget skal gi en tydeligere regel om helsepersonellets adgang til å samarbeide om helsehjelpen, uten at dette samarbeidet behøver å ha et grunnlag i et samtykke fra pasienten. Departementet presiserer at dette ikke innebærer noen endring i retten til medvirkning som følger av pasient- og brukerrettighetsloven § 3-1 eller retten til informasjon etter § 3-2.

Forslaget til ny bestemmelse er ikke avgrenset til å gjelde tilgjengeliggjøring ved samarbeid mellom personell i samme virksomhet. Samarbeid og tilgjengeliggjøring kan også skje med og til andre helsevirksomheter.

Departementet opprettholder videre forslaget om at opplysningene kan gjøres tilgjengelige av virksomheten med ansvar for opplysningene eller av det helsepersonellet som har dokumentert opplysningene etter helsepersonelloven § 39. Dette er en videreføring av gjeldende § 45 andre ledd.

Departementet foreslår en ny § 29 i helsepersonelloven som regulerer retten til å motsette seg tilgjengeliggjøring. Pasient- og brukerrettighetsloven § 5-3 om det samme videreføres, men ordlyden harmoniseres med helsepersonelloven.

Departementet opprettholder forslaget om å tydeliggjøre og skjerpe kravene til virksomhetenes loggføring av tilgjengeliggjøring av opplysninger i en ny § 22 a i pasientjournalloven. Dette innebærer å flytte bestemmelsen om loggføring fra pasientjournalforskriften til pasientjournalloven. Videre utvides innholdet i hvilken informasjon som skal loggføres ved at det stilles krav om at også hvilke dokumenter eller opplysninger som er tilgjengeliggjort skal loggføres.

4.3.2 Bruk av begrepet «tilgjengeliggjøring»

Lovforslagene gjelder tilgjengeliggjøring av opplysninger. Med tilgjengeliggjøring menes i denne proposisjonen ulike måter og tekniske løsninger for å gjøre opplysningene tilgjengelige for mottakeren. Begrepet er teknologinøytralt. En måte å gjøre opplysningene tilgjengelige på er at vedkommende autoriseres til selv å søke etter relevante opplysninger (tilgang eller oppslag). En annen måte er at vedkommende får opplysningene utlevert, enten ved utskrift på papir eller ved elektronisk oversendelse.

Dette er samme forståelse av begrepet tilgjengeliggjøring som er lagt til grunn i andre bestemmelser i helsepersonelloven, blant annet gjeldende § 25 b, § 29 og § 29 e, som alle er relativt nye bestemmelser i loven. I definisjonen av «behandling av helseopplysninger» i pasientjournalloven § 2 bokstav c brukes ordlyden «utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring» (se også Prop. 72 L (2013–2014) merknadene til pasientjournalloven § 19). Tilsvarende er lovfestet i helseregisterloven § 2 bokstav b. Dette er samme ordlyd som i den norske oversettelsen av personvernforordningen artikkel 4 nr. 2 (på engelsk «disclosure by transmission, dissemination or otherwise making available»).

I de samme bestemmelsene, i andre bestemmelser i loven og i forarbeidene til disse lovene brukes samtidig andre uttrykk som tilgang, deling, overføring, oppslag og utlevering. I de fleste tilfellene skal disse uttrykkene forstås som synonymer, med mindre det er konkrete holdepunkter for at uttrykket sikter til en bestemt form for tilgjengeliggjøring.

I dagligtale brukes også disse uttrykkene om hverandre, særlig brukes uttrykket «gi tilgang til» som uttrykk for det samme.

Departementet har valgt uttrykket tilgjengeliggjøring i lovforslagene i denne proposisjonen, med den vide forståelsen av begrepet. Denne terminologien er valgt for at det skal samsvare med de nye bestemmelsene i helsepersonelloven og med pasientjournalloven, helseregisterloven og personvernforordningen.

I forslag til endringer i helsepersonelloven § 25 andre ledd andre punktum er det presisert at tilgjengeliggjøring blant annet kan skje ved «direkte tilgang». Med direkte tilgang mener departementet i denne sammenheng at helsepersonell er gitt adgang til å gjøre oppslag i behandlingsrettede helseregistre i andre virksomheter enn der vedkommende selv arbeider og yter helsehjelp. Dette kan være i hele pasientjournaler eller i nærmere avgrenset informasjon som for eksempel enkelte dokumenter som epikriser eller journalresymé. Det ligger ingen forutsetning om at dette også innebærer «skrivetilgang». Se punkt 4.3.5 om direkte tilgang.

Den dataansvarlige skal bestemme på hvilken måte opplysningene skal gjøres tilgjengelige, med mindre noe annet er bestemt i forskrift, jf. pasientjournalloven § 19 andre ledd. Hvordan opplysningene kan og skal tilgjengeliggjøres må vurderes i lys av kravene til informasjonssikkerhet, jf. pasientjournalloven § 22. Virksomheten som har nedtegnet opplysningene og virksomheten som skal bruke opplysningene skal blant annet sørge for tilgangsstyring, logging og etterfølgende kontroll. Krav om tilgangsstyring (autorisering og autentisering mv.) er fastsatt i pasientjournalforskriften § 13. Behandling av journalopplysninger skal baseres på bestemte tildelte tillatelser til å lese eller på annen måte behandle opplysninger i journalen. Se også punkt 4.3.7.

4.3.3 Tilgjengeliggjøring av relevante og nødvendige opplysninger

Departementet opprettholder forslaget i helsepersonelloven § 25 første ledd, om at relevante og nødvendige opplysninger kan gjøres tilgjengelige for helsepersonell og samarbeidende personell som skal yte eller yter helsehjelp til pasienten. I høringsforslaget var tilgjengeliggjøring for helsepersonell og samarbeidende personell foreslått regulert separat i to setninger i første ledd. Dette foreslår nå departementet at slås sammen. Forslaget viderefører en vesentlig del av gjeldende § 25 første ledd og § 45 første ledd.

Dagens bestemmelser er en kombinasjon av unntak fra taushetsplikten og plikt til tilgjengeliggjøring. I forslaget presiseres det at helsepersonelloven § 23 er et unntak fra taushetsplikten. Plikten virksomhetene har til å tilgjengeliggjøre opplysningene, følger av pasientjournalloven § 19.

Gjeldende § 45 i helsepersonelloven regulerer plikten til å gjøre opplysninger tilgjengelige for andre som yter eller skal yte helsehjelp til samme pasient, det vil si utenfor samarbeidssituasjoner. Formålet er å tilrettelegge for effektiv kommunikasjon mellom helsepersonell og å sikre pasienten god og forsvarlig helsehjelp, samtidig som hensynet til pasientens integritet og personvern ivaretas.

Det er et vilkår etter § 45 at tilgjengeliggjøringen av journalopplysninger er nødvendig for å kunne yte forsvarlig helsehjelp. Dette betyr at helsepersonellet må ha tjenstlig behov for opplysningene. Helsepersonelloven § 45 regulerer ikke hvilke opplysninger som anses som «nødvendige og relevante», men det er forutsatt at dette skal forstås på samme måte som det tilsvarende begrepet i helsepersonelloven § 40. «Nødvendige og relevante opplysninger» er for det første de opplysningene som helsepersonellet må ha tilgjengelige i den aktuelle situasjonen for å kunne gi forsvarlig helsehjelp. Det er videre opplysninger som kan være aktuelle i forbindelse med helsehjelp som ytes på et senere tidspunkt. Se punkt 3.3.5 om tjenstlig behov.

Høringsinstansene gir ulike tilbakemeldinger på forslaget. Majoriteten fremhever at flere viktige hensyn må balanseres godt mot hverandre. På den ene siden er det viktig at regelverket legger til rette for at helsepersonell har de opplysningene som de trenger for å yte helsehjelp. Samtidig må pasienters tillit til helsetjenesten ivaretas. Regelverket må legge til rette for at virksomhetene på enkelt vis kan operasjonalisere sine plikter og samtidig legge til rette for at pasienter kan ivareta sine rettigheter.

Senter for medisinsk etikk mener forslaget til lovendringer gjør at lovverket blir mer enhetlig og tydelig, og fremmer samarbeid på tvers av helsetjenestene. Lovendringene styrker også pasientenes råderett over egne opplysninger og styrker dermed pasientautonomien. Det er viktig å ha en streng praktisering av taushetsplikten. Bærum kommune støtter forslagene som tydeliggjør reglene og gjør dem lettere å bruke. At reglene blir mer oversiktlige og lettere å forstå vil gjøre helsepersonell tryggere i sin anvendelse av loven, med økt rettssikkerhet for pasientene som resultat. Helse Sør-Øst RHF mener overordnet at de foreslåtte endringene er gode og legger til rette for en mer enhetlig og klok informasjonsdeling. Sykehuset Innlandet HF støtter at gjeldende § 25 og § 45 i helsepersonelloven slås sammen, men ber om at flest mulig bestemmelser beholder sin opprinnelige nummerering.

Noen høringsinstanser mener dagens regelverk allerede legger til rette for god informasjonsflyt i helsetjenesten og at det ikke er behov for ytterligere endringer. Universitetssykehuset Nord-Norge HF støtter forslagets overordnede mål, men påpeker at dagens regelverk gir godt grunnlag for deling av informasjon når dette er nødvendig for å gi helsehjelp til en pasient. Det bør vurderes nøye om det er reelle behov for å gi flere og utvidede unntak fra hovedregelen om taushetsplikt. Oslo universitetssykehus HF (OUS) er overordnet positiv til endringsforslagene og støtter i hovedsak departementets forslag, men flere av forslagene fremstår likevel uklare og oppfattes krevende for både helsepersonell og helsevirksomheter å forvalte.

Overordnet støtter høringsinstansene forslaget om å slå sammen dagens § 25 første ledd og § 45 første og andre ledd i helsepersonelloven til én ny paragraf. De mener at forslaget til ny paragraf kan bidra til bedre pasientbehandling og mer sammenhengende pasientforløp. Enkelte aktører er imidlertid bekymret for at forslaget kan føre til at sensitive opplysninger deles unødig. Instanser som Den norske legeforening og Norsk psykologforening uttrykker bekymring for at dette kan svekke pasientens personvern og tilliten til helsetjenesten. Flere instanser etterlyser tydeligere retningslinjer for ansvarsfordelingen mellom helsepersonell og virksomheter når det gjelder vurdering av hvilke opplysninger som er relevante og nødvendige. Disse påpeker at det er viktig at ansvaret er klart definert for å unngå misforståelser.

Hovedargumentet for å opprettholde forslaget er vektleggingen av at systematikken i dagens taushetspliktregler rendyrkes og at begrepsbruk harmoneres. Dagens § 45 er plassert sammen med bestemmelsene om dokumentasjonsplikt. Departementet mener at det er mer logisk at også denne bestemmelsen sammenstilles med bestemmelsene om unntak fra taushetsplikten ved tilgjengeliggjøring av helseopplysninger til helsehjelpsformål. Det er et viktig mål å bedre leservennligheten og regelverkets tilgjengelighet, for på en bedre måte enn i dag legge til rette for lik forståelse og anvendelse av regelverket. Etter departementets syn vil en sammenslåing av disse bestemmelsene understøtte nettopp dette.

Bestemmelsens ordlyd endres, men er i all hovedsak en videreføring av innholdet i selve unntaket fra taushetsplikten slik det fremkommer av gjeldende § 25 første ledd og § 45. Flere høringsinstanser som for eksempel Oslo universitetssykehus HF har pekt på at forslagene slik de var sendt på høring kunne være krevende å forstå. Departementet har derfor gjort ytterligere klargjøring i ordlyden enn den som ble sendt på høring.

Som nevnt over, foreslår departementet at den nye § 25 også skal omfatte samarbeidende personell når dette er nødvendig for å kunne gi helsehjelp til pasienten. Dette er en videreføring av gjeldende § 25 første ledd.

Forslaget viderefører begrepsbruken i gjeldende rett om samarbeidende personell. Dette omfatter flere enn helsepersonell slik det er definert i helsepersonelloven § 3. Dette betyr at også annet personell enn helsepersonell kan involveres når dette er nødvendig for å kunne gi helsehjelp til pasienten. Personellet kan være tilknyttet ulike helsevirksomheter i og utenfor Norge, som samarbeider om helsehjelpen til den konkrete pasienten. I praksis vil samarbeidende personell være ansatt i helse- og omsorgstjenesten for å bidra i ytelsen av helsehjelp til pasienter, men ikke yte helsehjelp. Dette kan for eksempel være sosionomer på sykehus, som blant annet kan bistå pasientene med økonomisk og praktisk planlegging i forkant av en utskrivelse.

Bestemmelsen kommer ikke til anvendelse der det er ønskelig å dele informasjon av andre grunner enn helsehjelp. For å kunne utgi opplysninger til lærere eller andre ressurspersoner rundt pasienten, må det i det enkelte tilfelle gis et samtykke etter forslaget til helsepersonelloven § 22 eller følge av andre lovbestemmelser.

Det presiseres i forslag til ny § 25 første ledd at bestemmelsen bare regulerer et unntak fra taushetsplikten.

Det fremkommer av forslagets andre ledd at dersom opplysningene tilgjengeliggjøres, kan dette gjøres enten av virksomheten eller personellet. Dette er en organisatorisk bestemmelse.

Gjeldende § 45 i helsepersonelloven regulerer både et unntak fra taushetsplikten og en plikt til tilgjengeliggjøring dersom vilkårene i bestemmelsen er oppfylt. Denne plikten til tilgjengeliggjøring videreføres ikke i helsepersonelloven. Departementet viser til at etter pasientjournalloven § 19, skal den dataansvarlige sørge for at relevante og nødvendige helseopplysninger er tilgjengelige for helsepersonell og annet samarbeidende personell når dette er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til den enkelte.

På denne måten kommer det fram av helsepersonelloven § 25 og lovenes systematikk at taushetsplikt for personellet reguleres i helsepersonelloven, mens plikten til å tilgjengeliggjøre opplysninger ligger på virksomheten og reguleres derfor i pasientjournalloven.

Pasientens rett til å motsette seg tilgjengeliggjøring er nærmere omtalt i punkt 4.3.6.

Trusselutsatte personer kan få sperret adresse i folkeregisteret, hvis politiet eller barnevernet mener det er grunnlag for slik beskyttelse, jf. folkeregisterloven § 10-4. Personer med sperret adresse har et ekstraordinært behov for sikkerhet for at adresse, andre kontaktopplysninger og opplysninger som kan avsløre hvor vedkommende bor, ikke er tilgjengelig for uvedkommende. Dette kan være informasjon utover selve adressen som for eksempel hvilken fastlege en trusselutsatt har, hvilket helseforetak den trusselutsatte sogner til, hvilket apotek den trusselutsatte bruker og når den trusselutsatte har timeavtaler i helsetjenesten. Dette setter begrensninger for tilgjengeliggjøring av journalopplysninger fra pasientjournalsystemene og kan derigjennom skape utfordringer for å tilrettelegge og yte helsehjelp. Dersom den trusselutsatte med sperret adresse har barn med trusselutøveren, og barnet eller barna bor sammen med den trusselutsatte, vil barnets eller barnas adresse også sperres. Se punkt 8.4 om innebygget personvern. Departementet gjør oppmerksom på at dette også vil kunne innebære noen utfordringer knyttet til automatisk logganalyse, se punkt 4.3.7.

4.3.4 Helsepersonellet selv skal vurdere om en opplysning er «relevant og nødvendig»

Departementet opprettholder forslaget om at det er personellet som er i behov av opplysningene for å yte helsehjelp som skal vurdere hvilke opplysninger som er relevante og nødvendige i en gitt helsehjelpssituasjon, jf. forslaget til ny § 25 tredje ledd i helsepersonelloven.

Etter gjeldende rett er det helsepersonellet som har nedtegnet opplysningene eller dataansvarlig for helseopplysningene, som må foreta vurderingen av om vilkårene for tilgjengeliggjøring er oppfylt, jf. gjeldende § 45 andre ledd i helsepersonelloven. Det er dataansvarlig virksomhet (der opplysningene er nedtegnet, som i enkelte tilfeller omtales som avgivende virksomhet) som i dag bestemmer hvilken dokumentasjon som må ligge til grunn for å godtgjøre at vilkårene i bestemmelsen er oppfylt og som er ansvarlig for å legge til rette for at en slik tilgjengeliggjøring finner sted. Denne virksomheten er også ansvarlig for å påse at vilkårene er oppfylt på tidspunktet for tilgjengeliggjøring.

Vurderingen av om en opplysning kan tilgjengeliggjøres kan gjøres ved en konkret forespørsel om tilgjengeliggjøring av helseopplysninger. Vurderingen kan også gjøres eller i forkant når opplysningene nedtegnes, uavhengig av om det er en aktuell situasjon eller om det vil komme til å bli en situasjon der helseopplysninger skal gjøres tilgjengelige. Dersom virksomheter avtaler å gi hverandre direkte tilgang til sine respektive pasientjournalsystemer, kan en forhåndsvurdering være at virksomheten vurderer hvilke kategorier av dokumenter som er egnet for tilgjengeliggjøring på tvers av virksomheter. Videre vil det for eksempel være nærliggende å vurdere om pasienten motsetter seg eller det er grunn til å tro at pasienten vil motsette seg tilgjengeliggjøring av helseopplysninger samtidig som opplysningene journalføres. Se nærmere omtale av dette i Prop. 91 L (2021–2022) punkt 5.4.5 og i merknaden til § 10 andre ledd.

Samtidig er plikten til å yte forsvarlig helsehjelp, etter gjeldende rett pålagt den som yter helsehjelp i den konkrete helsehjelpssituasjonen. For å kunne yte forsvarlig helsehjelp vil helseopplysninger fra tidligere behandlingsforløp kunne være relevante og nødvendige.

Høringsinstansene har ulike synspunkter på hvem som skal vurdere hvilke helseopplysninger som er «relevante og nødvendige». Det er uenighet om hvorvidt ansvaret for vurderingen bør ligge hos helsepersonellet som skal bruke opplysningene eller hos den som deler opplysningene. Noen instanser mener at det er bedre at ansvaret ligger hos den som deler opplysningene, for å sikre at kun nødvendige opplysninger blir delt. Flere instanser, som Helsedirektoratet, Helse Vest RHF, Bærum kommune og Norsk helsenett SF, støtter forslaget om at det er helsepersonellet som skal yte helsehjelp, som bør vurdere hvilke opplysninger som er relevante og nødvendige. De mener at helsepersonellet er best egnet til å gjøre denne vurderingen basert på pasientens behov. Datatilsynet støtter forslaget og mener at endringen vil bidra til en viktig klargjøring av hvor ansvaret ligger.

Noen instanser, som Oslo universitetssykehus HF, påpeker at det kan være utfordrende for helsepersonell å vite hvilke opplysninger som er relevante og nødvendige før de har tilgang til dem. Dette kan føre til at flere opplysninger enn nødvendig blir tilgjengeliggjort. Dette synet deles av blant andre Ivareta, Trondheim kommune og Norsk psykologforening. Flere pasientorganisasjoner som Spiseforstyrrelsesforeningen, er imot endringsforslaget.

Departementet viser til at det generelt er støtte til høringsforslaget om at det er helsepersonellet som skal yte helsehjelp til pasienten som skal vurdere om opplysningene er relevante og nødvendige, uavhengig av hvem som har dokumentert disse opplysningene i første omgang. Departementet legger også vekt på at forslaget i stor grad er en kodifisering av slik regelverket praktiseres i dag. Ved at det er helsepersonellet som behandler pasienten som selv skal vurdere hvilke opplysninger som er relevante og nødvendige, vil det bedre harmonere med hvordan lovkravene i praksis kan etterleves.

I samhandlingsløsninger hvor svært mange aktører inngår, og hvor helsepersonell selv gis adgang til å tilegne seg opplysningene ved tjenstlig behov, har den dataansvarlige for opplysningene som tilgjengeliggjøres i realiteten svært liten kontroll med at tilegnelsen av opplysninger i det enkelte tilfelle er rettmessig. I et scenario der virksomhetene inngår mange-til-mange-avtaler og hvor stadig nye aktører kommer til, vil den enkelte dataansvarliges garantier ligge i at de øvrige virksomhetene påtar seg et sett av forpliktelser og følger regelverket. I realiteten vil den enkelte dataansvarlige være prisgitt at de virksomhetene som benytter opplysningene etterlever sine forpliktelser, herunder har gode systemer for tilgangsstyring og etterfølgende kontroll med foretatte oppslag.

Tilgjengeliggjøringen skal tjene helsehjelpen til pasienten, og skal derfor vurderes i lys av om pasienten er tjent med dette. Helsepersonellet eller virksomheten som gjør helseopplysninger tilgjengelige, vil ikke ha mulighet til å overprøve helsepersonells vurdering av hvilke opplysninger vedkommende har behov for. De har heller ikke ansvaret for ytelsen av helsehjelpen. Selv om det i praksis er den som skal yte helsehjelpen som gjør vurderingen av hva som er relevant og nødvendig, vil det likevel være virksomheten der opplysningene er nedtegnet som i dag er ansvarlig for opplysningene og for at vilkårene for tilgjengeliggjøring er oppfylt.

Noen høringsinstanser, som for eksempel Oslo universitetssykehus HF, påpeker utfordringen med at helsepersonellet ikke på forhånd har mulighet til med sikkerhet å vite hvilke opplysninger som er relevante og nødvendige. Disse instansene presiserer at helsepersonell nødvendigvis vil få tilgang til flere opplysninger enn det som senere viser seg å være relevante og nødvendige opplysninger. Departementet vil presisere at spørsmålet om helseopplysningene er relevante og nødvendige, må baseres på vurderinger gjort før opplysningene er lest og vurdert.

Dette innebærer at kriteriet må knyttes til om helsepersonellet har et berettiget behov for å avklare om de aktuelle opplysningene er relevante og nødvendige. Denne vurderingen må helsepersonellet foreta på bakgrunn av sin helsefaglige kunnskap og sine helsefaglige oppgaver og tjenstlige behov. At personell vil få kjennskap til flere opplysninger enn det som i etterkant viser seg å være relevant og nødvendig må aksepteres og vil ikke i seg selv innebære et brudd på taushetsplikten. Departementet bemerker at det vil fremkomme av loggen hvilke opplysninger helsepersonellet har fått tilgjengeliggjort. Se nærmere om dette i punkt 4.3.7.

Departementet foreslår på denne bakgrunn at det i ny § 25 tredje ledd i helsepersonelloven presiseres at helsepersonell som får tilgjengeliggjort helseopplysningene, har ansvar for å vurdere om opplysningene er relevante og nødvendige for å yte helsehjelp til pasienten. Forslaget innebærer at det formelle ansvaret for hvorvidt det konkrete oppslaget er rettmessig, flyttes fra virksomheten der opplysningene er nedtegnet til virksomheten hvor oppslaget foretas. Det er sistnevnte virksomhet som skal autorisere eget personell og være ansvarlig for tilgangsstyring i egen virksomhet, noe som også skal gjenspeile det tjenstlige behovet for å kunne gjøre oppslag i opplysninger hos andre virksomheter. Se nærmere om tjenstlig behov i punkt 3.3.5.

4.3.5 Direkte tilgang til opplysninger i pasientjournalsystemer i andre virksomheter

Departementet foreslo i høringsnotatet at det presiseres i helsepersonelloven at helsepersonell i andre virksomheter kan gis direkte tilgang til relevante og nødvendige opplysninger om pasienten i andre virksomheters pasientjournalsystemer. Med direkte tilgang mente departementet i denne sammenheng at helsepersonell er gitt adgang til å gjøre oppslag i behandlingsrettede helseregistre i andre virksomheter enn der vedkommende selv arbeider og yter helsehjelp. Dette kan være i hele pasientjournaler eller i nærmere avgrenset informasjon som for eksempel enkelte dokumenter som epikriser eller journalresymé. Dette er det adgang til etter gjeldende regler, men dette fremkommer ikke tydelig av loven. Se også punkt 4.3.2.

Enkelte høringsinstanser, blant annet Direktoratet for strålevern og atomsikkerhet, Statens Helsetilsyn og Helsedirektoratet støtter at det tydelig fremgår av regelverket at helsepersonell kan få direkte tilgang til helseopplysninger i andre virksomheter.

Norges Optikerforbund uttaler at

(d)et er bra å lovfeste at helsepersonell kan få direkte tilgang til relevante og nødvendige helseopplysninger i andre virksomheters journalsystemer, spesielt for pasienter som følges og behandles i store strukturer. Selv om det åpnes for dette, betyr ikke dette at alle helsevirksomhetene har ønske eller ressurser til å gi andre helsepersonell denne type tilgang. Til enhver tid avklart elektronisk tilgang krever teknisk og praktisk tilrettelegging.

Stjørdal kommune, Overhalla kommune, Malvik kommune og Flatanger kommune uttaler at

(v)ed å lovfeste at helsepersonell kan få direkte tilgang til relevante og nødvendige helseopplysninger i andre virksomheters journalsystemer gir det helsepersonellet nødvendig juridisk handlingsrom for å tilegne seg nødvendige og relevante helseopplysninger om pasienten. For at helsepersonell effektivt skal kunne nytte gjøre seg av denne lovendringen, fordrer det at det med loven følger forskrift som utdyper hvordan dette skal gjennomføres i praksis. Dette er en så stor endring i forhold til dagens praksis at helsepersonell trenger tydelige føringer for gjennomføringen av loven. Hvilken informasjon som helsepersonell har behov for vil variere fra pasientforløp til pasientforløp. På samme tid vil det være behov for tydelige føringer gjennom forskrifter i forhold til hvordan helsepersonell skal tolke og praktisk gjennomføre innhenting av opplysninger i andre virksomheters journalsystemer. Innføring av standarder for dokumentasjon av helseopplysninger, som skal deles er også avgjørende for at denne type oppslag skal kunne gjennomføres så effektivt som mulig.

Bærum kommune støtter forslaget og uttaler:

Tilgang til nødvendig helseopplysninger om pasient, er avgjørende for at helsepersonell skal kunne ivareta sitt lovpålagte ansvar for å gi pasienter forsvarlig og omsorgsfull behandling. Slik tilgang er i dag vanskelig, da både spesialist- og primærhelsetjenesten har journalsystemer som gjør at tilgangen til helseopplysningene blir begrenset til de som er autorisert til å se informasjonen innen den respektive tjenesten (f.eks. sykehus). De som er i andre deler av tjenesten (f.eks. i kommunen), kan ikke se disse opplysningene.

En stor andel av høringsinstansene som for eksempel Datatilsynet, Norsk helsenett SF og Helse Sør-Øst RHF er imot forslaget og mener at en spesifikk måte å tilgjengeliggjøre opplysninger på ikke bør reguleres særskilt. Videre mener flere at det er unødvendig å regulere dette eksplisitt, da det allerede følger av gjeldende rett.

Universitetssykehuset Nord-Norge HF mener at påstanden om at helsepersonell ikke har enkel nok tilgang til informasjon fra pasientjournaler i andre helseforetak og at dette gir negativ effekt i pasientbehandlingen, er betydelig overdrevet. Eksisterende lovverk gir gode muligheter for innhenting av informasjon fra andre helseforetak når det er behov for det, og henvisningsbrev mellom helseforetak/ulike virksomheter oppsummerer vanligvis relevant informasjon. Dette er en effektiv måte å håndtere informasjonsdeling av relevant informasjon, uten at helsepersonell må bruke tid på å orientere seg i andre virksomheters journalsystemer.

Datatilsynet, Norsk helsenett SF, Helse Midt-Norge RHF m.fl. mener at det å presisere i lovteksten at direkte tilgang er tillatt kan skape forvirring ettersom andre former for lovlig deling ikke er nedfelt i samme bestemmelse. Helse Sør-Øst RHF oppfatter ikke at det er behov for en særskilt regulering av hvordan opplysningene skal gis helsepersonell i egen eller annen virksomhet. Helse Sør-Øst RHF, Helse Vest RHF, Norsk helsenett SF m.fl., mener at direkte tilgang ikke bør inntas i lovteksten fordi det kan binde opp teknologiske løsninger til én bestemt metode. De argumenterer for at lovverket bør være teknologinøytralt og fleksibelt, slik at det kan tilpasses fremtidige teknologiske utviklinger og behov.

Departementet er kommet til at det av pedagogiske hensyn er ønskelig å presisere muligheten til å gi direkte tilgang i lovteksten. Departementet viser til at en adgang til å gi direkte tilgang allerede følger av at loven tillater ulike former for tilgjengeliggjøring, inkludert oppslag (se punkt 4.3.2). Med tilgjengeliggjøring etter pasientjournalloven § 19, menes ulike måter og tekniske løsninger for å gjøre opplysningene tilgjengelige for mottakeren. Departementets forslag til ny § 25 i helsepersonelloven fremhever direkte tilgang som en av flere ulike former for tilgjengeliggjøring.

Etter gjeldende § 19 i pasientjournalloven er plikten til å tilgjengeliggjøre opplysninger lagt til dataansvarlig. Det er den dataansvarlige som bestemmer på hvilken måte opplysningene gjøres tilgjengelige, både i egen virksomhet og mellom virksomheter. Det forutsettes at der andre virksomheter gjør tilgjengelig opplysninger til andre virksomheter ved å gi tilgang til et pasientjournalsystem, vil det være naturlig at dette avtales og organiseres virksomhetene mellom.

Tall fra Norsk pasientregister (NPR) viser at pasienter mottar både akutte og planlagte spesialisthelsetjenester utenfor deres lokale helseforetaks nedslagsfelt, men at dette er en prosentvis liten andel. Selv om det er en prosentvis liten andel, er det et årlig antall på flere tusen. Behovet for tilgang synes imidlertid å være mest fremtredende i begrensede geografiske regioner. For eksempel vil en fastlege ha behov for informasjon om «sine» pasienters konsultasjoner og innleggelser på sykehus og tildelte kommunale tjenester som sykehjemsplass, hjemmesykepleie mv. Andre eksempler kan være samarbeid mellom helseforetak med hyppige felles pasientforløp, eller helseforetak med nærliggende kommunal helse- og omsorgstjeneste.

Departementet er opptatt av at sektoren benytter de mulighetene som følger av regelverket, for å ivareta helse- og omsorgstjenestens behov for effektiv samhandling og samarbeid på tvers av sektorer og virksomheter. Departementet mener at løsninger som legger til rette for direkte tilgang til opplysninger om pasienter i andre virksomheters journalsystemer, er en positiv og ønsket utvikling. Det vil bidra til en raskere og mer effektiv informasjonsutveksling, samtidig som man unngår at opplysningene endres utilsiktet i en eventuell overføring. Departementet vil derfor fremheve viktigheten av initiativ fra sektoren, som innebærer utprøving av gode løsninger som kan fungere lokalt og over tid breddes ut på regionalt eller nasjonalt nivå. Det presiseres at direkte tilgang ikke forutsetter skrivetilgang.

4.3.6 Rett til å motsette seg tilgjengeliggjøring

Retten til å motsette seg tilgjengeliggjøring av opplysninger (reservasjonsrett) er i dag fastsatt i pasient- og brukerrettighetsloven § 5-3 og pasientjournalloven § 17. Flere av de nåværende bestemmelsene i helsepersonelloven slår også fast at pasienten har rett til å motsette seg tilgjengeliggjøringen.

Pasientens rett til å motsette seg at opplysninger gjøres tilgjengelige, skal ivareta pasientens personvern og selvbestemmelsesrett over opplysninger om seg selv. For at retten til å motsette seg tilgjengeliggjøring av opplysninger til helsehjelpsformål skal være reell, må pasienten ha fått informasjon om adgangen, hvordan denne kan brukes og konsekvensene av å bruke den.

Pasienten kan motsette seg at opplysninger gis videre både i en konkret situasjon eller ved at vedkommende på forhånd «sperrer» hele eller deler av journalen for innsyn for enkelte helsepersonell eller grupper av helsepersonell. Pasientens adgang til å sperre omfatter også opplysninger som nedtegnes i journal fremover i tid. Dersom pasienten på et gitt tidspunkt sperrer journalen mot at for eksempel enkelte helsepersonell gis innsyn, vil sperringen også omfatte opplysninger som nedtegnes etter dette tidspunktet. Sperringen vil gjelde inntil pasienten gir beskjed om at den skal opphøre.

Samlet sett er det bred støtte blant høringsinstansene for å opprettholde og tydeliggjøre pasientens rett til å motsette seg tilgjengeliggjøring av opplysninger. Samtidig påpekes også behovet for å sikre at pasientene er godt informert om sine rettigheter og konsekvensene av å bruke dem. Dette har også en side mot plikten til å yte forsvarlig helsehjelp. Helse Bergen HF, Oslo universitetssykehus HF, Senter for medisinsk etikk ved Universitetet i Oslo og Datatilsynet påpeker at det er viktig at helsepersonellet også informerer om eventuelle negative konsekvenser av å begrense informasjonsdeling, herunder at det vil kunne ha betydning for den helsehjelpen helsepersonellet kan yte. For eksempel kan dette innebære en risiko for at pasienten blir overbehandlet ved at pasienten for eksempel må igjennom et lengre behandlingsforløp enn nødvendig eller at det vil gå ut over pasientsikkerheten og i ytterste konsekvens plikten til å yte forsvarlig helsehjelp.

Når det foreslås en utvidelse av mulighetene for å dele helseopplysninger mellom personell i ulike virksomheter og på forskjellig nivå i helse- og omsorgstjenesten, er det viktig at dette følges av en tilsvarende rett for pasienter til å motsette seg denne delingen. Departementet mener at det ikke må være tvil om at pasienter har denne rettigheten. Derfor mener departementet at det er viktig at også pasienters mulighet til å reservere seg mot tilgjengeliggjøring av helseopplysninger følger av helsepersonelloven.

Departementet foreslår at det fastsettes en egen bestemmelse i helsepersonelloven om retten til å motsette seg tilgjengeliggjøring. Dette vil tydeliggjøre denne rettigheten. Samtidig er det behov for å gjøre forholdet mellom reglene i helsepersonelloven og pasient- og brukerrettighetsloven klarere. Det bør fremgå klart av lovteksten om pasienten har rett til å motsette seg tilgjengeliggjøring eller ikke.

Departementet legger til grunn at retten til å motsette seg tilgjengeliggjøring er og fortsatt skal være den samme etter begge lovene. For å få dette tydeligere frem foreslår departementet at pasient- og brukerrettighetsloven § 5-3 videreføres, men at ordlyden harmoniseres med helsepersonelloven. Departementet viser til at flertallet av høringsinstansene, inkludert pasientorganisasjonene, er imot forslaget om å oppheve § 5-3. De mener at bestemmelsen av pedagogiske årsaker, bør videreføres også i pasient- og brukerrettighetsloven.

Retten til å motsette seg tilgjengeliggjøring gjelder først og fremst når helsepersonell skal bruke opplysningene til å yte helsehjelp til den som opplysningene gjelder (forslaget til ny § 25). Helsepersonelloven har imidlertid også andre bestemmelser som fastsetter en rett til å motsette seg tilgjengeliggjøring, for eksempel knyttet til oversendelse av epikrise eller tilgjengeliggjøring av opplysninger for å yte helsehjelp til en annen pasient. Se punkt 6.3.6.

Disse bestemmelsene skal etter gjeldende rett fortolkes i lys av pasient- og brukerrettighetsloven § 5-3. Dette betyr for det første at opplysningene heller ikke kan tilgjengeliggjøres dersom det er grunn til å tro at pasienten ville motsatt seg det. For det andre betyr det at reservasjonsretten ikke er ubetinget, ved at opplysningene likevel kan tilgjengeliggjøres dersom tungtveiende grunner taler for det. Departementet foreslår at de samme reglene nå også lovfestes i helsepersonellovens bestemmelse om retten til å motsette seg tilgjengeliggjøring. Bestemmelsen vil overlappe noe med begrensningen i taushetsplikten i forslaget til ny § 23 bokstav c (som viderefører gjeldende § 23 nr. 4).

Pasient- og brukerrettighetsloven § 5-3 tredje ledd sier at tilgjengeliggjøring «skal skje i henhold til bestemmelsene i lov om helsepersonell». Det kan være uklart hva dette betyr siden retten til å motsette seg tilgjengeliggjøring bare er nedfelt i noen av bestemmelsene i helsepersonelloven. Dette gjelder for eksempel ved tilgjengeliggjøring til virksomhetens ledelse eller pasientadministrasjon.

Departementet legger til grunn at gjeldende bestemmelser i helsepersonelloven må forstås slik at de ikke gir en rett til å motsette seg tilgjengeliggjøring dersom dette ikke er uttrykkelig fastsatt. Der det er tale om tilgjengeliggjøring etter disse bestemmelsene vil det uansett ut fra sakens natur heller ikke være praktisk med en reservasjonsrett, da «tungtveiende grunner» som regel vil tale for tilgjengeliggjøring (for eksempel fordi det er nødvendig for kunne kvalitetssikre tjenesten eller fordi opplysningene er nødvendige i en utvisningssak). Selv om pasienten i utgangspunktet og formelt ville hatt en rett til å motsette seg tilgjengeliggjøring, ville denne rettigheten gjennomgående måtte vike for andre tungtveiende interesser. En begrensning ligger uansett i at opplysningene må være nødvendige for å ivareta de aktuelle formålene. I tillegg vil det samme følge av begrensningene i taushetsplikten i gjeldende § 24 nr. 4, som foreslås videreført i ny § 23 bokstav c («når tungtveiende private eller offentlige interesser gjør det rettmessig»).

Departementet foreslår på denne bakgrunn en ny § 29 i helsepersonelloven som sier at pasienten kan motsette seg at opplysninger gjøres tilgjengelige etter ny § 25, § 26, § 27 og § 28 bokstav a, b, c og h. Og videre at opplysningene heller ikke kan tilgjengeliggjøres dersom det er grunn til å tro at pasienten ville motsette seg det ved forespørsel. Se også punkt 6.3.6.

Tilgjengeliggjøring skal likevel kunne skje dersom tungtveiende grunner taler for det. Det vil fortrinnsvis være aktuelt der det er fare for liv og alvorlig helseskade. Som eksempel kan nevnes tvangsinnleggelser av psykiatriske pasienter, der pasienten kan tenkes å motsette seg utlevering av journalopplysninger samtidig som det kan være av stor betydning at behandlende personell får kjennskap til tidligere sykdomshistorie eller behandling. Dette må i så fall besluttes av det helsepersonell som har ansvaret for helsehjelpen, da disse er nærmest til å vurdere om det foreligger tilstrekkelig vektige grunner til at opplysningene kan videreformidles. Hvorvidt det foreligger tungtveiende grunner for å sette til side pasientens reservasjon mot tilgjengeliggjøring av opplysningene, må vurderes i lys av formålet med bruken av opplysningene. For eksempel vil de tungtveiende grunnene for å sette til side pasientens reservasjon mot tilgjengeliggjøring av helseopplysninger vurderes ulikt om formålet er helsehjelp til pasienten selv eller om formålet med tilgjengeliggjøringen er å finne hvilke pasienter som egner seg for undervisningsformål.

Dette er det samme som følger av pasient- og brukerrettighetsloven § 5-3. Denne endres imidlertid slik at det nå fremgår klart at bestemmelsen fastsetter en rett til å motsette seg tilgjengeliggjøring av opplysninger i journal i samsvar med helsepersonelloven § 29 og pasientjournalloven § 17 første ledd bokstav a. Forslaget er kun ment som en tydeliggjøring og videreføring av gjeldende regler.

Stortinget vedtok den 8. april 2025 endringer i helsepersonelloven § 25 og § 45, som lovfester adgangen til deling av taushetsbelagte opplysninger med annet helsepersonell, uavhengig av om pasienten motsetter seg det, når pasienten utgjør en nærliggende og alvorlig fare for eget liv eller andres liv eller helse. Se Prop. 31 L (2024–2025) punkt 7.5. Det ble i forarbeidene vist til at det er av stor betydning at behandlende personell får kjennskap til tidligere sykdomshistorie og behandling i slike situasjoner. Det ble også satt inn en henvisning til psykisk helsevernloven § 3-3 nr. 3 bokstav b for å få tydelig frem at farevilkåret «nærliggende og alvorlig fare» i helsepersonelloven skal forstås på samme måte som det samme vilkåret i psykisk helsevernloven. Bestemmelsen er en presisering og lovfesting av hva som ellers følger av pasient- og brukerrettighetsloven § 5-3 tredje punktum om «tungtveiende grunner».

Departementet mener at det ikke lenger vil være behov for denne presiseringen i helsepersonelloven. Det vises til at begrensningen i retten til å motsette seg tilgjengeliggjøring når det foreligger tungtveiende grunner, nå er foreslått tatt inn i ny § 29. En slik presisering ville uansett kunne være misvisende fordi «tungtveiende grunner» i praksis sikter til alle situasjoner hvor overføring av opplysninger anses nødvendig for å hindre fare for liv eller alvorlig helseskade, og ikke bare de tilfellene der det er pasienten selv som utgjør en nærliggende og alvorlig fare. I tillegg foreslår departementet å oppheve § 45.

Pasientens rett til å motsette seg tilgjengeliggjøring forutsetter at pasienten er kjent med at opplysninger kan gis til annet helsepersonell som skal yte helsehjelp. Pasienter som velger å motsette seg tilgjengeliggjøring må få informasjon om at dette kan gå ut over kvaliteten og effektiviteten i tjenesten.

Den dataansvarlige skal legge til rette for at pasientens adgang til å motsette seg tilgjengeliggjøring ivaretas ved å sikre at det gis informasjon om reservasjonsadgangen og ved å iverksette egnede tekniske tiltak for å gjennomføre en slik reservasjon. Videre må den dataansvarlige sikre at opplysninger om at en pasient motsetter seg tilgjengeliggjøring av helseopplysninger følger opplysningene i de ulike systemene i en helsevirksomhet. Dette kan for eksempel være i tilfeller der pasienten motsetter seg at enkelte helsepersonell skal få opplysninger om seg tilgjengeliggjort. Helsevirksomhetene må følgelig sørge for at dette gjelder alle de behandlingsrettede helseregistrene i virksomheten hvor opplysninger om pasienter fremkommer.

I løsninger hvor det er flere dataansvarlige virksomheter involvert, bør informasjon om adgangen til å motsette seg deling og konsekvensene av dette være koordinert. Det vil være uheldig om informasjonen som gis pasientene er ulik og avhengig av i hvilken virksomhet opplysningene er nedtegnet. Det er en forutsetning for tilgjengeliggjøring av opplysninger at det sikres at pasienters rett til å reservere seg mot tilgjengeliggjøring ivaretas på tvers av både virksomheter og systemer.

I praksis ivaretas adgangen til reservasjon i journalen ved tilgangsstyring internt i virksomheten, hvor opplysningene blir sperret etter dialog med pasienten. Helsepersonell som arbeider der pasienten har fått helsehjelp, må ha mekanismer for å kunne ivareta pasientens ønske om begrenset tilgjengeliggjøring. Departementet forventer imidlertid at det etableres enkle digitale løsninger som den enkelte pasient kan benytte for å begrense tilgjengeliggjøring.

4.3.7 Tilgangsstyring, logg og etterfølgende kontroll

Departementet opprettholder forslaget om å tydeliggjøre og skjerpe kravene til virksomhetenes loggføring av tilgjengeliggjøring av opplysninger. Dette fremkommer av forslaget til ny § 22 a i pasientjournalloven. Forslaget innebærer å flytte bestemmelsen om loggføring fra pasientjournalforskriften § 14 til pasientjournalloven. Videre utvides innholdet i hvilken informasjon som skal loggføres ved at det stilles krav om at også hvilke dokumenter eller opplysninger som er tilgjengeliggjort fremkommer av loggen.

Det er en forutsetning for å utvide adgangen til å tilgjengeliggjøre helseopplysninger at eksisterende krav om både forhåndskontroll og etterkontroll (autorisering, autentisering og loggkontroll) etterleves. Dette er viktig for at pasienter skal vernes mot ulovlig spredning av helseopplysninger.

Med logg mener departementet en oversikt over hendelser og aktiviteter som skjer i en virksomhets IKT-system og datanettverk, for å kunne finne tilbake til hvilken bruker som stod bak den enkelte hendelsen.

I dag er kravet til logging regulert i pasientjournalforskriften § 14 jf. pasientjournalloven § 22. Kravet til logg omfatter informasjon om identiteten og den organisatoriske tilhørigheten til den som har hentet fram helseopplysningene, grunnlaget for tilgjengeliggjøringen og tidsperioden for tilgjengeliggjøringen. I pasientjournalforskriften § 14 er det presisert at en slik oversikt skal logges automatisk, noe som vil være selvsagt i et digitalt system.

I høringen er det samlet sett støtte for å utvide kravene til logging for å inkludere hvilke opplysninger eller dokumenter som blir tilgjengeliggjort. Dette anses som et viktig tiltak for å styrke personvernet. Høringsinstansene peker samtidig på behovet for å adressere kostnader, teknologiske utfordringer og behovet for klare retningslinjer.

Høringsinstansene som støtter forslaget om å utvide kravene til logging mener at dette kan bidra til bedre kontroll og etterprøving av om delingen av opplysninger var nødvendig og relevant. Dette er viktig for å opprettholde personvernet og tilliten til helsetjenesten.

Flere instanser, som Helsedirektoratet og Oslo universitetssykehus HF ser positivt på at utvidet logging kan styrke personvernkontroller ved å gi en mer detaljert oversikt over hvilke opplysninger som er delt. Dette kan bidra til å avdekke og forhindre uautorisert tilgang til sensitive opplysninger. Helsedirektoratet foreslår i tillegg at krav om logg utvides til også å omfatte informasjon om rolle.

Helse Vest RHF stiller spørsmål ved hva forslaget tilfører ut over gjeldende rett. Noen instanser, som Bærum kommune og Apotekforeningen, uttrykker bekymring for at utvidet logging kan medføre økte kostnader og kreve betydelige teknologiske investeringer. De påpeker at det kan være nødvendig med oppgraderinger av eksisterende systemer for å håndtere de nye kravene.

Departementet opprettholder forslaget om at det skal fremkomme av loggen hvilke opplysninger eller dokumenter som er tilgjengeliggjort.

I praksis vil kravet hovedsakelig ivaretas gjennom automatisk logging av oppslag som gjøres i journalsystemene. Det som minst skal fremkomme av loggen følger av gjeldende pasientjournalforskrift § 14. Forslaget om å flytte denne paragrafen til loven, understreker viktigheten av at kravet til logging ivaretas. At det i tillegg foreslås å stille krav til at hvilke opplysninger eller dokumenter som blir tilgjengeliggjort skal inngå i loggen, er en utvidelse av dette. Det kan imidlertid anføres at det følger forutsetningsvis av pasientjournallovens krav til internkontroll og informasjonssikkerhet, og av personvernforordningen. Departementet vil presisere at kravet til at det også skal fremkomme av logg hvilke opplysninger eller dokumenter som tilgjengeliggjøres ikke nødvendigvis forutsetter en oversikt over hver enkelt opplysning som er gjort tilgjengelig. Det er tilstrekkelig med grupper eller kategorier av opplysninger, eller dokumenter. Det kan være aktuelt å stille ytterligere krav til dokumentasjon av tilgjengeliggjøring for eksempel der opplysninger i andre virksomheter gjøres tilgjengelige, enn det som følger av forslaget til ny § 22 a. Det følger av paragrafens fjerde ledd at departementet kan regulere i forskrift nærmere krav om dokumentasjonen i logg.

Logging av oppslag i pasientjournalsystemene som gjøres mellom ulike virksomheter, forutsetter at helsepersonellets handlinger kan «følges» mellom virksomhetene. Virksomhetene kan ikke avtale løsninger som de facto innebærer at oppslagets rettmessighet ikke kan vurderes, og således vil begrense pasientenes rettigheter. Oppslag må fremgå av loggen til virksomheten hvor opplysningene er journalført, og det må registreres tilstrekkelig informasjon hos virksomheten der oppslaget gjøres fra, slik at det enkelte oppslagets rettmessighet kan overprøves. Departementet forutsetter at dette skjer automatisk og ikke vil innebære duplisering av ressursforbruk.

Annen tilgjengeliggjøring enn oppslag i pasientens journal som ikke automatisk logges, skal dokumenteres i pasientens journal. Dette kan for eksempel være tilfeller der opplysningene tilgjengeliggjøres muntlig i et arbeidsfellesskap jf. forslag til ny § 27.

Av forslag til ny § 25 tredje ledd i helsepersonelloven følger at det er helsepersonellet som skal motta opplysninger om pasienten i andre virksomheters pasientjournalsystemer, som har ansvaret for å vurdere om opplysningene er relevante og nødvendige for å yte helsehjelp til pasienten. En viktig forutsetning for dette forslaget, er at virksomheten hvor vedkommende helsepersonell er tilknyttet, har ansvar for blant annet å forebygge urettmessige oppslag i journal gjennom virksomhetens internkontroll og informasjonssikkerhet, som styring gjennom rutiner, prosedyrer, logging av oppslag som gjøres i journalsystemene og etterfølgende kontroll av logg. Se også punkt 4.3.4.

Gjennomføring av etterfølgende kontroll av logger, for å kunne avdekke eventuelle urettmessige oppslag, forutsetter at den dataansvarlige har tilstrekkelig informasjon til å vurdere hvorvidt oppslaget var rettmessig. Eksempelvis kan dette være informasjon som genereres i virksomheten hvor oppslaget gjøres, og som overføres til den dataansvarlige via mekanismen som autentiserer helsepersonellet. Dette betyr at begge virksomheter må ha en oversikt over oppslag i tilgjengeliggjorte pasientjournaler. Selv om den virksomheten som tilgjengeliggjør opplysningene ikke vil ha ansvaret for den konkrete vurderingen av om en tilgjengeliggjøring er rettmessig, er det en forutsetning at det følges opp og kontrolleres hvilke opplysninger det er foretatt oppslag i, selv om oppslaget er foretatt fra andre virksomheter. Den oppfølgende kontrollen må altså gjennomføres i et samarbeid. Det må for det første kontrolleres hvilke oppslag egne ansatte har foretatt, også i andre virksomheters journalsystemer. For det andre må hvilke oppslag som er foretatt i virksomhetens journalsystemer fra personell i andre virksomheter også følges opp. Loggkontroll ut fra disse to perspektivene skal utfylle hverandre og være egnet til å avdekke urettmessige oppslag.

Tilliten til et system der journalopplysninger deles på tvers av virksomheter forutsetter at den enkelte virksomhet har et systematisk forhold til etterkontroll av loggene. Departementet vil påpeke at det over lang tid har vært et lovkrav om tilgangsstyring, logging og etterfølgende kontroll. Kravet ble presisert i pasientjournalloven § 22 i 2014. Departementet er kjent med at det over lang tid har pågått et arbeid i helseforetakene for å automatisere deler av den etterfølgende kontrollen.

Dersom den enkelte virksomhet ikke har et systematisk forhold til etterfølgende kontroll av loggene, bør virksomheten heller ikke legge til rette for økt tilgjengeliggjøring av helseopplysninger. Dette gjelder både tilgjengliggjøring i egen virksomhet og mellom virksomheter. Virksomhetene har det overordnede ansvaret for at pasienters rett til taushet ivaretas. Departementet viser til pasientjournalloven § 7 om dataansvarliges ansvar for journalsystemene. I ansvaret ligger blant annet å forebygge urettmessige oppslag i journal, blant annet gjennom rutiner og prosedyrer og logging av oppslag som gjøres i journalsystemene. Se nærmere om virksomhetsansvaret og dataansvar i punkt 3.3.6.

Gode styringssystemer er en forutsetning for å oppnå og opprettholde egnet (forsvarlig) sikkerhetsnivå. I pasientjournalloven § 23 stilles det krav til den dataansvarliges internkontroll for å sikre og påvise at behandlingen utføres i samsvar med krav i personvernforordningen, personopplysningsloven og pasientjournalloven. Krav til internkontroll må også ses i sammenheng med krav til informasjonssikkerhet, jf. pasientjournalloven § 22.

I større systemer vil det være vanskelig å utføre etterfølgende kontroll av logger uten bruk av automatiserte analyser og varslinger (varslingssystem/logganalyse). Varslingssystem innebærer at det automatisk meldes om spesielle hendelser til ansvarlig virksomhet eller dataansvarlig, og virksomheten skal ha et system for kvalitetssikring av om uvanlige oppslag er ulovlige eller ikke. Virksomheten skal også ha system for varsling, og dersom det er gjort ulovlige oppslag skal pasienten varsles. Pasienter og brukere skal uansett kunne få innsyn i hvem som har sett på helseopplysninger i journalen og logg, jf. pasientjournalloven § 18 og forslag til ny § 22 a andre ledd.

Nåværende § 45 første ledd andre punktum i helsepersonelloven fastsetter krav til at det skal fremgå av journalen at (annet) helsepersonell er gitt helseopplysninger. Departementet foreslo i høringsnotatet at dette kravet ikke videreføres. Bestemmelsen har opphav i en tid hvor papirjournaler var vanlig. I en digital hverdag, hvor det også er bestemt at pasientjournaler skal føres elektronisk, mente departementet at pasientens interesse er bedre ivaretatt gjennom bestemmelsen om logg og rett til innsyn i logg.

Norges Optikerforbund påpeker at forslaget ikke vil ta opp i seg alle typer overføring av pasientinformasjon, for eksempel når dette gjøres over telefon. De mener behovet og omfanget av slik kommunikasjon er undervurdert.

Departementet ser at de praktiske utfordringene Norges Optikerforbund peker på er uheldige for enkelte virksomheter og foreslår derfor at forslaget ikke videreføres.

Departementet foreslår i stedet at det presisere i ny § 22 a første ledd første punktum at tilgjengeliggjøringen enten må dokumenteres i logg eller nedtegnes i journal, avhengig av metoden opplysningene tilgjengeliggjøres på.

For å utvikle et godt system for automatisert loggkontroll, er departementet informert om at det er nødvendig å benytte informasjon fra Folkeregisteret. Uten tilgang til folkeregisterdata, inklusive den taushetsbelagte delen etter folkeregisterloven § 9-1, har den dataansvarlige begrensede muligheter for å avdekke snoking på nære relasjoner. Den største forekomsten av ulovlige oppslag er erfaringsmessig knyttet til personer i nære relasjoner og tidligere nære relasjoner.

De grovere tilfellene av illegitime oppslag er gjerne knyttet til familie- og nabokonflikter, sosial kontroll, barnefordelingssaker og samlivsbrudd. Det er også opplysninger om såkalt «stalking» av tidligere samboer eller tidligere samboers nye partner. Denne type oppslag er vanskelig å fange opp med automatiserte løsninger, dersom det kun skal benyttes data om ansatt og pasient som er registrert i systemene til et helseforetak. Slike oppslag i dag avdekkes ofte av den registrerte selv ved at hen ved innsyn i logg ser hvem som har fått opplysningene tilgjengeliggjort. Det har også store begrensninger dersom man kun kan anvende individenes nåværende bostedsadresse. Det er antagelig også mangler ved adresse-registreringen. Etter det departementet forstår er den eneste sikre offentlige kilden til informasjon om slike relasjoner i Folkeregisteret. Dette kan også omfatte taushetsbelagt informasjon. Eksempelvis vil det være nødvendig med adressehistorikk fra Folkeregisteret for å avdekke illegitime oppslag i journalen til den ansattes tidligere samboer. Tilsvarende gjelder tidligere samboers barn (ikke felles barn), som forutsetter både adressehistorikk og slektskap.

Departementet mener dette er forhold som er viktig å avdekke. Det er viktig at kvaliteten på kontrollen er god, noe som forutsetter tilgang på korrekte objektive data om relasjoner. Det følger av pasientjournalloven § 21 første ledd at den dataansvarlige kan innhente personopplysninger fra Folkeregisteret, når dette er nødvendig for å oppfylle den dataansvarliges plikter etter loven. Dette gjelder uten hensyn til om opplysningene er underlagt taushetsplikt etter folkeregisterloven.