Talsethagen - Juridisk regulering av helseregistre
Rettslig regulering av helseregistre HEL-8020 Analyse av registerdata i forskning 16. april 2015 Juridisk rådgiver Heidi Talsethagen SKDE – Senter for klinisk dokumentasjon og evaluering/ FIKS – Felles innføring av kliniske systemer Formål med foredraget Å tydeliggjøre hvilke krav lovgivningen stiller til behandling av helseopplysninger i helseregistre som ikke er behandlingsrettede, men som skal danne grunnlag for statistikk, helseanalyser, forskning, kvalitetsforbedring, planlegging, styring og beredskap (sekundærbruk) Å gi oversikt over de viktigste endringene med ny helseregisterlov 2 Rettslig regulering av helseregistre Helsepersonellloven Pasientjournalloven Helseregisterloven Pasient- og Helseforskningsloven brukerrettighetsloven Spesialisthelsetjenesteloven Ny helseregisterlov – 1.1.2015 1. Enklere og raskere beslutningsprosesser ved etablering av nye registre 2. Raskere og mer effektiv tilgang til registerdata 3. Enklere og mer leservennlig lovtekst Fra én til to lover Ny pasientjournallov ”primærbruk” Ny helseregisterlov ”sekundærbruk” Type helseregistre i henhold til tidligere helseregisterlov Behandlingsrettet helseregister (elektronisk pasientjournal) i en virksomhet (hrl § 6) Behandlingsrettet helseregister på tvers av virksomheter (hrl §§ 6a, 6b, 6c og 6d) Lokale og regionale helseregistre Sentrale helseregistre (hrl § 7) (hrl § 8) Definisjoner Helseregister: Registre, fortegnelser m.v. der helseopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen (helseregisterloven § 2 d) Helseopplysninger: Indirekte identifiserbare helseopplysninger: taushetsbelagte opplysninger etter helsepersonelloven § 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson (helseregisterloven § 2 a) helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, men hvor opplysningene likevel kan knyttes til enkeltperson (helseregisterloven § 2 b) Behandling av helseopplysninger: enhver bruk av helseopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering, eller en kombinasjon av slike bruksmåter (helseregisterloven § 2 c) Anonyme opplysninger – omfattes ikke av loven Personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson. Dvs. det eksisterer ikke en koblingsnøkkel Samtykke: en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandlinger om seg selv (helseregisterloven § 2 f) Forenkling av begrep ”Helseopplysninger” ”Helseregistre” - direkte identifiserbare -indirekte identifiserbare Registre basert på informert samtykke Avidentifiserte registre uten samtykke Pseudonyme registre uten samtykke Personidentifiserbare registre uten samtykke Konsesjons- , lov- eller forskriftsbaserte Lokal enhet Regional enhet ”Databehandlingsansvarlig” Sentral enhet Medisinsk kvalitetsregister Et register som løpende kan dokumentere resultater for en avgrenset pasientgruppe med utgangspunkt i individuelle behandlingsforløp. Viktige momenter ved registeretablering: 1. Målsetting og design 2. Organisering 3. Analyse og rapportering Tilstrekkelig rettslig grunnlag Helseregisterloven § 6 Alminnelige vilkår a) b) c) d) Helseopplysninger kan bare behandles når det er tillatt etter denne loven eller andre lover. Behandlingen av helseopplysninger krever den registrertes samtykke, dersom ikke annet har hjemmel i lov. Den databehandlingsansvarlige skal sørge for at helseopplysningene som behandles er tilstrekkelige og relevante for formålet med behandlingen bare brukes til uttrykkelige angitte formål som er saklig begrunnet i den databehandlingsansvarlige virksomhet, ikke brukes senere til formål som er uforenlig med det opprinnelige formålet med innsamlingen av opplysninger, uten at den registrerte samtykker, og er korrekte og oppdaterte og ikke lagres lenger enn et som er nødvendig ut fra formålet med behandlingen Graden av personidentifikasjon skal ikke være større enn nødvendig for det aktuelle formålet. Graden av personidentifikasjon skal begrunnes. Tilsynsmyndigheten kan kreve at den databehandlingsansvarlige legger frem begrunnelsen. Departementet kan gi forskrift om godkjenning av programvare, sertifisering og om bruk av standarder, klassifikasjonssystemer og kodeverk, samt hvilke nasjonale eller internasjonale standardsystemer som skal følges ved behandling av helseopplysninger etter denne loven. Dvs.: - direkte i lov - i lovhjemlede forskrifter - i konsesjon Dvs. samtykke som hovedregel Behov for rettslig grunnlag Innhenting Helseforetak Registrering og behandling Utlevering og sammenstilling Innhenting av helseopplysninger Opplysningene er underlagt taushetsplikt – lovlig innhenting Helseforetak • • • • Samtykke som hovedregel (helseregisterloven § 6) Innmeldingsplikt bestemt i forskrifter (helseregisterloven § 13) Innhenting av opplysninger fra Det sentrale Folkeregisteret (helseregisterloven § 14) Dispensasjon fra taushetsplikt til forsknings – og kvalitetssikringsformål • helsepersonelloven § 29, jf helseforskningsloven § 35 • helsepersonelloven § 29 b • Unntak fra taushetsplikt til ledelse og administrative formål internt i virksomheten (helsepersonelloven § 26) Helseforskningsloven § 35 – Adgangen til bruk av helseopplysninger som er innsamlet i helse- og omsorgstjenesten til forskning • I realiteten en unntakshjemmel fra den klare hovedregel om samtykke • Regional Etisk Komité (REK) kan bestemme at helseopplysninger kan eller skal gis fra helsepersonell til bruk i forskning, og at det kan skje uten hinder av taushetsplikt. • Krav om interesseavveining: «Dette kan bare skje dersom slik forskning er av vesentlig interesse for samfunnet og hensynet til deltakernes velferd og integritet er ivaretatt». • REK kan sette vilkår for bruken. • Bestemmelsen erstatter helsepersonelloven § 29 Samtykkekrav – utfordringer • Rutiner hos behandler/institusjon • Samtykkeprosedyrer – belastning for pasienten? • Pasienter med redusert samtykkekompetanse? – – – – Alvorlige syke pasienter Pasienter med redusert bevissthet Mange pasienter innen rus/psykiatri Demente, psykisk utviklingshemmede • De sykeste utelates – ikke representativt utvalg Kvalitetssikring – bare for de friskeste ? Personvern over alle grenser 03-11-2010 - Kvaliteten på kvalitetsregistre må være god - et dårlig kvalitetsregister kan være verre enn ikke å ha noe register, skriver Geir Hoff. GEIR HOFF, forskningssjef, professor dr.med. og leder for kvalitetssikringsprogrammet Gastronet/Sykehuset Telemark/Kreftregisteret/Universitetet i Oslo ……..”Feel good” – registre For noen nasjonale og regionale registre, både i Norge og andre land, har dette vist seg å gi dårlig kvalitet på registeret - det er ofte de mest risikoutsatte pasientene - hvor det oftere blir komplikasjoner og dårlig kvalitet - som glipper unna ved at det mangler samtykkeerklæring. Da får vi et «feel good»-register som dekker over et behov for forbedring og gir et falsk inntrykk av at alt er såre vel og at vi ikke trenger forbedringstiltak. ………….. Registeretablering - registrering og behandling Etablering - registrering og behandling Helseforetak 1. Direkte i lov 2. Lovhjemlede forskrifter 3. Konsesjon fra Datatilsynet Forskningsprosjekt • Helseforskningsloven § 2 – Helseforskningsloven gjelder for medisinsk og helsefaglig forskning – Loven gjelder ikke for etablering av helseregistre • Helseforskningsloven § 33 – Forskningsprosjekt skal ha et behandlingsgrunnlag – Forhåndsgodkjenning fra REK er nødvendig og tilstrekkelig grunnlag – Behandling av helseopplysninger fra forskriftsbaserte helseregistre (tidligere hrl §§ 7 og 8) krever ikke tillatelse fra REK – med mindre annet følger av forskriftene til registrene Virksomhetsinterne ”kvalitetsregistre” jf helsepersonelloven § 26 • Opplysninger til virksomhetens ledelse og til administrative systemer – for bl.a. kvalitetssikringsformål. • Krav til ledelsesforankring – ansatte har ikke uten videre selv nødvendig kompetanse til å etablere slike kvalitetsregistre. • Krav til internkontroll gir plikt til å etablere dokumenterte rutiner mht etablering av slike registre. • Opplysninger skal så langt som mulig gis uten individualiserende kjennetegn. • Ikke konsesjonspliktig – men meldeplikt til virksomhetens personvernombud – senest 30 dager før behandlingen av opplysninger tar til. • Hjemmelen gir i utgangspunktet ikke adgang til at personidentifiserbare opplysninger kan kobles til data fra andre virksomheter, men her har den nye pasientjournalloven betydning. Helsepersonelloven § 26 – viktig endring Som hjemmel for unntak fra taushetsplikt: Nytt andre ledd som presiserer at den som yter helsehjelp, også kan gi opplysninger til ledelsen i samarbeidende virksomheter, der virksomhetene samarbeider om behandlingsrettede helseregistre (pasientjournal) Som hjemmel for å registrere og behandle opplysninger: Tydeligere behandlingsgrunnlag i pasientjournalloven § 6. Virksomheter som samarbeider om et journalsystem for dokumentasjon om helsehjelp bør også kunne samarbeide om kvalitetssikring av de tjenestene som tilbys. Lov- og forskriftsbaserte registre - helseregisterloven §§ 8, 9, 10, 11 og 12 • Vilkår for etablering av helseregistre ved forskrift (§ 8) – Vilkår i § 6 må være oppfylt – Interesseavveining: Den helsefaglige eller samfunnsmessige nytten av registeret må klart overstige personvernulempene – Bestemmelsen stiller også krav til hva forskriften skal angi • Forskrift (vedtatt av Kongen i Statsråd) uten ny lovbehandling: – Registre som er samtykkebaserte eller uten direkte personidentifiserbare kjennetegn (§ 9) – Helseregistre der den enkelte har reservasjonsrett (§ 10) • Lovbestemte helseregistre – Kongen i Statsråd kan gi forskrift om behandling i helseregistre med direkte personidentifiserende opplysninger uten samtykke fra den registrerte gjelder de registrene som er opplistet i bestemmelsen – dvs. videreføring av forskriftshjemmelen for de lovfestede registrene etter den forrige helseregisterloven (§ 11) – Nye ikke samtykkebaserte helseregistre med direkte personidentifiserbare opplysninger krever lovendring – og dermed Stortingsbehandling – Helsearkivregisteret (§ 12) – Kongen i Statsråd kan gi forskrift Konsesjon fra Datatilsynet - helseregisterloven § 7 jf § 6 og personopplysningsloven § 9 jf 33 til 35 • Datatilsynet kan gi konsesjon for etablering av helseregistre og annen behandling av helseopplysninger – Når vilkårene i § 6 (alminnelige vilkår)er oppfylt – Når vilkårene i personopplysningsloven § 9 jf. §§ 33 til 35 er oppfylt • Konsesjonsplikt etter personopplysningsloven gjelder ikke for behandling av helseopplysninger som skjer med hjemmel i helseregisterloven §§ 8 til 12 • Grenseoppgangen mellom konsesjon og krav om forskrift beror på en konkret vurdering Datatilsynets konsesjonskompetanse ”enkelte helseregistre kan ha et så stort omfang og vil kunne ha stor betydning for den enkelte registrertes personvern at de ikke bør hjemles i enkeltvedtak” Forskrift - § 8 til 12 Konsesjon - § 7 (helhetsvurdering) ”Datatilsynet kan i utgangspunktet gi konsesjon til alle typer helseregistre dersom vilkårene i helseregisterloven § 6 og personopplysningsloven § 9 er oppfylt.” (s. 144) NB! Konsesjon kan etter dette også gis for registre som ikke er samtykkebaserte ”Departementet mener at Datatilsynet kan gi konsesjon selv om ambisjonsnivået knyttet til omfang og varighet er høyt. Over tid kan enkelte registre bli så omfattende at det er naturlig å regulere registeret på annen måte enn ved enkeltvedtak.” (s.145) Enklere og raskere beslutningsprosesser for etablering? Forskriftsfullmakt for Kongen i Statsråd til etablering av sentrale helseregistre uten samtykke, men med reservasjonsrett (§ 10) - aktuelt for nasjonale kvalitetsregistre Datatilsynets adgang til å gi konsesjon tydeliggjort i § 7 Reservasjonsrett skal vurderes for alle nye helseregistre som ikke kan baseres på samtykke Sammenstilling og utlevering Sammenstilling og utlevering - taushetsplikt Helseforskningsloven § 34 Må være i tråd med forskningsprosjektets formål, eventuelle samtykker, behandlingsgrunnlag og forskningsprotokoll. - REK godkjenning nødvendig § 20 - ny unntakshjemmel fra taushetsplikt - for utlevering av indirekte identifiserbare helseopplysninger. Dette gjelder bare forskriftsregulerte registre etter § 11. Må bl.a være av vesentlig samfunnsinteresse og etisk ubetenkelig. Sammenstilling av helseopplysninger § 19 – Må vurderes konkret og fastsettes i forskrift hvilke registre som skal kunne sammenstilles og få behandlingsgrunnlag direkte i forskrift. Tilgang til ”egne” opplysninger Innhenting Registrering og behandling Utlevering og sammenstilling Helseforetak Hvor langt rekker helsepersonelloven § 23 nr 1 - hva er ”egne” opplysninger? Forrige helseregisterloven § 13 videreføres ikke – Utlevering kan gjøres i form av direkte tilgang hvis taushetsplikt ivaretas – og systemet er sikkert nok. Har lovendringene betydning? 1. Enklere og raskere beslutningsprosesser ved etablering av nye registre 2. Raskere og mer effektiv tilgang til registerdata 3. Enklere og mer leservennlig lovtekst Ja, kanskje Oppsummering Hjemmel for innhenting av opplysninger til helseregistre Samtykke Lovhjemlet unntak fra taushetsplikt/ meldeplikt i forskrift Hjemmel for etablering av helseregistre og behandling av opplysninger i disse Konsesjon Lov/forskriftsbasert i helseregisterloven Hjemmel for sammenstilling og utlevering Samtykke eller unntak fra taushetsplikt Annen lovhjemmel Forskriftsregulert I tråd med formål Takk for oppmerksomheten! www.skde.no www.kvalitetsregistre.no NB! Skal revideres i 2015 i forhold til nytt regelverk
© Copyright 2024