Talsethagen - Juridisk regulering av helseregistre

Rettslig regulering av helseregistre
HEL-8020 Analyse av registerdata i forskning
16. april 2015
Juridisk rådgiver Heidi Talsethagen
SKDE – Senter for klinisk dokumentasjon og evaluering/
FIKS – Felles innføring av kliniske systemer
Formål med foredraget
 Å tydeliggjøre hvilke krav lovgivningen stiller til
behandling av helseopplysninger i helseregistre
som ikke er behandlingsrettede, men som skal
danne grunnlag for statistikk, helseanalyser,
forskning, kvalitetsforbedring, planlegging,
styring og beredskap (sekundærbruk)
 Å gi oversikt over de viktigste endringene med ny
helseregisterlov
2
Rettslig regulering av helseregistre
Helsepersonellloven
Pasientjournalloven
Helseregisterloven
Pasient- og
Helseforskningsloven
brukerrettighetsloven
Spesialisthelsetjenesteloven
Ny helseregisterlov – 1.1.2015
1. Enklere og raskere
beslutningsprosesser ved
etablering av nye registre
2. Raskere og mer effektiv tilgang
til registerdata
3. Enklere og mer leservennlig
lovtekst
Fra én til to lover
Ny pasientjournallov
”primærbruk”
Ny helseregisterlov
”sekundærbruk”
Type helseregistre i henhold til tidligere helseregisterlov
Behandlingsrettet
helseregister
(elektronisk
pasientjournal) i
en virksomhet
(hrl § 6)
Behandlingsrettet
helseregister på
tvers av
virksomheter
(hrl §§ 6a, 6b, 6c
og 6d)
Lokale og
regionale
helseregistre
Sentrale
helseregistre
(hrl § 7)
(hrl § 8)
Definisjoner
Helseregister: Registre, fortegnelser m.v. der helseopplysninger er lagret
systematisk slik at opplysninger om den enkelte kan finnes igjen
(helseregisterloven § 2 d)
Helseopplysninger:
Indirekte identifiserbare helseopplysninger:
taushetsbelagte opplysninger etter helsepersonelloven
§ 21 og andre opplysninger og vurderinger om
helseforhold eller av betydning for helseforhold, som
kan knyttes til en enkeltperson
(helseregisterloven § 2 a)
helseopplysninger der navn, fødselsnummer og andre
personentydige kjennetegn er fjernet, men hvor
opplysningene likevel kan knyttes til enkeltperson
(helseregisterloven § 2 b)
Behandling av helseopplysninger: enhver bruk av helseopplysninger, som for
eksempel innsamling, registrering, sammenstilling, lagring og utlevering, eller en
kombinasjon av slike bruksmåter (helseregisterloven § 2 c)
Anonyme opplysninger – omfattes ikke av loven
Personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en
enkeltperson. Dvs. det eksisterer ikke en koblingsnøkkel
Samtykke: en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun
godtar behandlinger om seg selv (helseregisterloven § 2 f)
Forenkling av begrep
”Helseopplysninger”
”Helseregistre”
- direkte identifiserbare
-indirekte identifiserbare
Registre basert
på informert
samtykke
Avidentifiserte
registre uten
samtykke
Pseudonyme
registre uten
samtykke
Personidentifiserbare
registre uten
samtykke
Konsesjons- , lov- eller
forskriftsbaserte
Lokal enhet
Regional enhet
”Databehandlingsansvarlig”
Sentral enhet
Medisinsk kvalitetsregister
Et register som løpende kan dokumentere resultater for en avgrenset
pasientgruppe med utgangspunkt i individuelle behandlingsforløp.
Viktige momenter ved registeretablering:
1. Målsetting og design
2. Organisering
3. Analyse og rapportering
Tilstrekkelig
rettslig grunnlag
Helseregisterloven § 6 Alminnelige vilkår
a)
b)
c)
d)
Helseopplysninger kan bare behandles når det er tillatt etter denne loven eller
andre lover.
Behandlingen av helseopplysninger krever den registrertes samtykke, dersom ikke
annet har hjemmel i lov.
Den databehandlingsansvarlige skal sørge for at helseopplysningene som behandles
er tilstrekkelige og relevante for formålet med behandlingen
bare brukes til uttrykkelige angitte formål som er saklig begrunnet i den
databehandlingsansvarlige virksomhet,
ikke brukes senere til formål som er uforenlig med det opprinnelige formålet med
innsamlingen av opplysninger, uten at den registrerte samtykker, og
er korrekte og oppdaterte og ikke lagres lenger enn et som er nødvendig ut fra formålet
med behandlingen
Graden av personidentifikasjon skal ikke være større enn nødvendig for det aktuelle
formålet. Graden av personidentifikasjon skal begrunnes. Tilsynsmyndigheten kan kreve at
den databehandlingsansvarlige legger frem begrunnelsen.
Departementet kan gi forskrift om godkjenning av programvare, sertifisering og om
bruk av standarder, klassifikasjonssystemer og kodeverk, samt hvilke nasjonale eller
internasjonale standardsystemer som skal følges ved behandling av helseopplysninger etter
denne loven.
Dvs.:
- direkte i lov
- i lovhjemlede forskrifter
- i konsesjon
Dvs. samtykke som hovedregel
Behov for rettslig grunnlag
Innhenting
Helseforetak
Registrering og
behandling
Utlevering og
sammenstilling
Innhenting av helseopplysninger
Opplysningene er underlagt taushetsplikt – lovlig innhenting
Helseforetak
•
•
•
•
Samtykke som hovedregel (helseregisterloven § 6)
Innmeldingsplikt bestemt i forskrifter (helseregisterloven § 13)
Innhenting av opplysninger fra Det sentrale Folkeregisteret (helseregisterloven § 14)
Dispensasjon fra taushetsplikt til forsknings – og kvalitetssikringsformål
• helsepersonelloven § 29, jf helseforskningsloven § 35
• helsepersonelloven § 29 b
• Unntak fra taushetsplikt til ledelse og administrative formål internt i virksomheten
(helsepersonelloven § 26)
Helseforskningsloven § 35 – Adgangen til bruk av
helseopplysninger som er innsamlet i helse- og
omsorgstjenesten til forskning
• I realiteten en unntakshjemmel fra den klare hovedregel
om samtykke
• Regional Etisk Komité (REK) kan bestemme at
helseopplysninger kan eller skal gis fra helsepersonell til
bruk i forskning, og at det kan skje uten hinder av
taushetsplikt.
• Krav om interesseavveining: «Dette kan bare skje dersom
slik forskning er av vesentlig interesse for samfunnet og
hensynet til deltakernes velferd og integritet er
ivaretatt».
• REK kan sette vilkår for bruken.
• Bestemmelsen erstatter helsepersonelloven § 29
Samtykkekrav – utfordringer
• Rutiner hos behandler/institusjon
• Samtykkeprosedyrer – belastning for pasienten?
• Pasienter med redusert samtykkekompetanse?
–
–
–
–
Alvorlige syke pasienter
Pasienter med redusert bevissthet
Mange pasienter innen rus/psykiatri
Demente, psykisk utviklingshemmede
• De sykeste utelates – ikke representativt utvalg
Kvalitetssikring – bare for de friskeste
?
Personvern over alle grenser
03-11-2010
- Kvaliteten på kvalitetsregistre må være god
- et dårlig kvalitetsregister kan være verre
enn ikke å ha noe register, skriver Geir Hoff.
GEIR HOFF, forskningssjef, professor
dr.med. og leder for
kvalitetssikringsprogrammet
Gastronet/Sykehuset
Telemark/Kreftregisteret/Universitetet i Oslo
……..”Feel good” – registre
For noen nasjonale og regionale
registre, både i Norge og andre land,
har dette vist seg å gi dårlig kvalitet på
registeret - det er ofte de mest
risikoutsatte pasientene - hvor det
oftere blir komplikasjoner og dårlig
kvalitet - som glipper unna ved at det
mangler samtykkeerklæring. Da får vi
et «feel good»-register som dekker
over et behov for forbedring og gir et
falsk inntrykk av at alt er såre vel og at
vi ikke trenger forbedringstiltak.
…………..
Registeretablering
- registrering og behandling
Etablering - registrering og behandling
Helseforetak
1. Direkte i lov
2. Lovhjemlede forskrifter
3. Konsesjon fra Datatilsynet
Forskningsprosjekt
• Helseforskningsloven § 2
– Helseforskningsloven gjelder for medisinsk
og helsefaglig forskning
– Loven gjelder ikke for etablering av
helseregistre
• Helseforskningsloven § 33
– Forskningsprosjekt skal ha et behandlingsgrunnlag
– Forhåndsgodkjenning fra REK er nødvendig og tilstrekkelig grunnlag
– Behandling av helseopplysninger fra forskriftsbaserte helseregistre (tidligere
hrl §§ 7 og 8) krever ikke tillatelse fra REK – med mindre annet følger av
forskriftene til registrene
Virksomhetsinterne ”kvalitetsregistre”
jf helsepersonelloven § 26
• Opplysninger til virksomhetens ledelse og til administrative
systemer – for bl.a. kvalitetssikringsformål.
• Krav til ledelsesforankring – ansatte har ikke uten videre
selv nødvendig kompetanse til å etablere slike
kvalitetsregistre.
• Krav til internkontroll gir plikt til å etablere dokumenterte
rutiner mht etablering av slike registre.
• Opplysninger skal så langt som mulig gis uten
individualiserende kjennetegn.
• Ikke konsesjonspliktig – men meldeplikt til virksomhetens
personvernombud – senest 30 dager før behandlingen av
opplysninger tar til.
• Hjemmelen gir i utgangspunktet ikke adgang til at
personidentifiserbare opplysninger kan kobles til data fra
andre virksomheter, men her har den nye
pasientjournalloven betydning.
Helsepersonelloven § 26 – viktig endring
Som hjemmel for unntak fra taushetsplikt:
Nytt andre ledd som presiserer at den
som yter helsehjelp, også kan gi
opplysninger til ledelsen i samarbeidende
virksomheter, der virksomhetene
samarbeider om behandlingsrettede
helseregistre (pasientjournal)
Som hjemmel for å registrere og
behandle opplysninger:
Tydeligere behandlingsgrunnlag
i pasientjournalloven § 6.
Virksomheter som samarbeider
om et journalsystem for
dokumentasjon om helsehjelp
bør også kunne samarbeide om
kvalitetssikring av de tjenestene
som tilbys.
Lov- og forskriftsbaserte registre
- helseregisterloven §§ 8, 9, 10, 11 og 12
•
Vilkår for etablering av helseregistre ved forskrift (§ 8)
– Vilkår i § 6 må være oppfylt
– Interesseavveining: Den helsefaglige eller samfunnsmessige nytten av
registeret må klart overstige personvernulempene
– Bestemmelsen stiller også krav til hva forskriften skal angi
•
Forskrift (vedtatt av Kongen i Statsråd) uten ny lovbehandling:
– Registre som er samtykkebaserte eller uten direkte personidentifiserbare
kjennetegn (§ 9)
– Helseregistre der den enkelte har reservasjonsrett (§ 10)
•
Lovbestemte helseregistre
– Kongen i Statsråd kan gi forskrift om behandling i helseregistre med direkte
personidentifiserende opplysninger uten samtykke fra den registrerte gjelder de registrene som er opplistet i bestemmelsen – dvs. videreføring av
forskriftshjemmelen for de lovfestede registrene etter den forrige
helseregisterloven (§ 11)
– Nye ikke samtykkebaserte helseregistre med direkte personidentifiserbare
opplysninger krever lovendring – og dermed Stortingsbehandling
– Helsearkivregisteret (§ 12) – Kongen i Statsråd kan gi forskrift
Konsesjon fra Datatilsynet
- helseregisterloven § 7 jf § 6 og personopplysningsloven § 9 jf 33 til 35
• Datatilsynet kan gi konsesjon for etablering av
helseregistre og annen behandling av
helseopplysninger
– Når vilkårene i § 6 (alminnelige vilkår)er oppfylt
– Når vilkårene i personopplysningsloven § 9 jf. §§
33 til 35 er oppfylt
• Konsesjonsplikt etter personopplysningsloven
gjelder ikke for behandling av
helseopplysninger som skjer med hjemmel i
helseregisterloven §§ 8 til 12
• Grenseoppgangen mellom konsesjon og krav
om forskrift beror på en konkret vurdering
Datatilsynets konsesjonskompetanse
”enkelte
helseregistre
kan ha et så
stort omfang
og vil kunne
ha stor
betydning for
den enkelte
registrertes
personvern at
de ikke bør
hjemles i
enkeltvedtak”
Forskrift - § 8 til 12
Konsesjon - § 7
(helhetsvurdering)
”Datatilsynet kan i
utgangspunktet gi konsesjon til
alle typer helseregistre dersom
vilkårene i helseregisterloven §
6 og personopplysningsloven §
9 er oppfylt.” (s. 144)
NB!
Konsesjon kan
etter dette også
gis for registre
som ikke er
samtykkebaserte
”Departementet mener at
Datatilsynet kan gi konsesjon
selv om ambisjonsnivået
knyttet til omfang og
varighet er høyt. Over tid kan
enkelte registre bli så
omfattende at det er naturlig
å regulere registeret på
annen måte enn ved
enkeltvedtak.” (s.145)
Enklere og raskere beslutningsprosesser for etablering?
Forskriftsfullmakt for Kongen i Statsråd
til etablering av sentrale helseregistre
uten samtykke, men med
reservasjonsrett (§ 10)
- aktuelt for nasjonale kvalitetsregistre
Datatilsynets adgang til
å gi konsesjon
tydeliggjort i § 7
Reservasjonsrett skal
vurderes for alle nye
helseregistre som ikke
kan baseres på
samtykke
Sammenstilling og utlevering
Sammenstilling og utlevering - taushetsplikt
Helseforskningsloven § 34
Må være i tråd med forskningsprosjektets
formål, eventuelle samtykker,
behandlingsgrunnlag og forskningsprotokoll.
- REK godkjenning nødvendig
§ 20 - ny unntakshjemmel fra
taushetsplikt - for utlevering av indirekte
identifiserbare helseopplysninger. Dette
gjelder bare forskriftsregulerte registre
etter § 11. Må bl.a være av vesentlig
samfunnsinteresse og etisk ubetenkelig.
Sammenstilling av
helseopplysninger § 19
– Må vurderes konkret
og fastsettes i forskrift
hvilke registre som skal
kunne sammenstilles og
få behandlingsgrunnlag
direkte i forskrift.
Tilgang til ”egne” opplysninger
Innhenting
Registrering og
behandling
Utlevering og
sammenstilling
Helseforetak
Hvor langt rekker
helsepersonelloven § 23 nr 1
- hva er ”egne” opplysninger?
Forrige helseregisterloven § 13 videreføres ikke –
Utlevering kan gjøres i form av direkte tilgang hvis
taushetsplikt ivaretas – og systemet er sikkert nok.
Har lovendringene betydning?
1. Enklere og raskere
beslutningsprosesser ved
etablering av nye registre
2. Raskere og mer effektiv tilgang
til registerdata
3. Enklere og mer leservennlig
lovtekst
Ja,
kanskje
Oppsummering
Hjemmel for
innhenting av
opplysninger til
helseregistre
Samtykke
Lovhjemlet
unntak fra
taushetsplikt/
meldeplikt i
forskrift
Hjemmel for
etablering av
helseregistre og
behandling av
opplysninger i
disse
Konsesjon
Lov/forskriftsbasert i
helseregisterloven
Hjemmel for
sammenstilling
og utlevering
Samtykke eller
unntak fra
taushetsplikt
Annen lovhjemmel
Forskriftsregulert
I tråd med
formål
Takk for
oppmerksomheten!
www.skde.no
www.kvalitetsregistre.no
NB! Skal revideres i 2015 i
forhold til nytt regelverk