Veileder for rettigheter ved behandling av helse og personopplysninger

1. Om veilederen

1.1 Hvorfor er rettigheter viktige?

En av helsesektorens overordnede målsettinger å yte god og likeverdig helsehjelp. Både personvernrettigheter og andre pasient- og brukerrettigheter er viktige forutsetninger for at denne målsettingen skal nås. Pasienter- og brukeres rettigheter er en viktig del av dette. 

1.2 Om veilederen

Denne veilederen er et støttedokument under Normen som forvaltes av Styringsgruppen for Normen. Veilederen følger Normens forvaltningsmodell. 

Rettigheter behandles i Normens kapittel 4.Denne veilederen utdyper og utfyller Normens krav.

Veilederen skal gi virksomheter i helse- og omsorgstjenesten veiledning i hvordan de registrertes rettigheter kan ivaretas herunder pasienters rettigheter som registrerte. Veilederen omhandler ikke samtlige rettigheter pasienter har, men avgrenser seg til pasienters rettigheter som registrerte. 

Veilederen er ikke uttømmende med tanke på pasienter- og brukeres rettigheter og helselovgivningen. Se blant annet Helsedirektoratets nettsider for veiledere og rundskriv om helselovgivningen.

Veilederen tar utgangspunkt i kravene som følger av personopplysningsloven, personvernforordningen, helsepersonelloven, pasientjournalloven, helseregisterloven, pasient og brukerrettighetsloven, helseforskningsloven og pasientjournalforskriften. Veilederen berører ikke krav i forskrifter som regulerer særskilte helseregistre.

Veilederen omhandler først og fremst behandling av personopplysninger i forbindelse med at det ytes helsehjelp. Rettigheter ansatte har som registrerte omtales noe. 

I veilederen brukes helselovgivningen som en referanse til helsepersonelloven, pasientjournalloven, helseregisterloven, pasient- og brukerrettighetsloven, helseforskningsloven og pasientjournalforskriften.

I veilederen brukes begrepene virksomheten/virksomheter i stedet for dataansvarlig/dataansvarlige. For databehandler benyttes begrepet leverandør.

I veilederen brukes begrepet den registrerte og pasient. Pasient brukes der veilederen omtaler rettigheter i helselovgivningen som er rettet mot pasienten. Begrepet den registrerte brukes der rettighetene følger av personvernlovgivningen. Den registrerte er det individet som opplysninger kan knyttes til. Den registrerte kan også være en pasient.

1.2.1 Hvem kan ha nytte av veilederen? 

Veilederen skal gi de som jobber med rettigheter i virksomhetene en god oversikt over regelverket med praktisk eksempler.

Veilederen kan gi personell som ikke arbeider med informasjonssikkerhet og personvern i det daglige, en innføring og oversikt over hvilke rettigheter de registrerte har. 

Ansatte som kan motta forespørsler om rettigheter fra pasienter og registrerte må forstå hva det dreier seg om og følge opp forespørselen. I praksis kan for eksempel en forespørsel om innsyn gis muntlig til en helsesekretær, en personalansvarlig, personvernombud eller helsepersonell som utfører medisinsk behandling. Forespørselen må håndteres, eller videreformidles til riktig person for håndtering innen gjeldende tidsfrister.

Personvernforordningen stiller krav til innebygd personvern ved anskaffelse og drift av systemer som skal brukes til behandling av personopplysninger. En viktig del av dette er å sørge for at systemet har funksjoner som gjør det mulig å ivareta de registrertes rettigheter.[1] Veilederen gir en oversikt over de registrertes rettigheter, pliktene de medfører, samt praktiske konsekvenser av disse. Veilederen kan derfor brukes i utvikling og tilpassing av systemer som retter seg mot helse- og omsorgssektoren.

Veilederen kan gi pasienter og andre registrerte en oversikt over sine rettigheter.

1.2.2 Hvordan skal jeg lese veilederen? 

Veilederen kan brukes for å få en god oversikt over de registrertes rettigheter og som et oppslagsverk i de enkelte rettighetene. 

For å få bedre oversikt over prosessen og vurderingene som må utføres ved utøvelse av enkelte av rettighetene, er det utarbeidet fire flytskjemaer. Disse er:

• Retten til informasjon
• Retten til innsyn
• Retten til retting
• Retten til sletting

Jeg er fastlege og lurer på hvordan jeg skal gi god informasjon til mine pasienter. 

Les veilederens kapittel 3 om informasjon, spesielt innledningen i kapittelet for å få oversikt. Kapittel 3.3.2 sier hvordan informasjon skal gis.

Jeg jobber på legevakten og har fått en forespørsel om innsyn i journal. + sletting

Les veilederens kapittel 4.2 og kapittel 5. 

Jeg er pasient og vil gjerne vite hvordan jeg kan få innsyn i min journal

Les veilederens kap 4, særlig kap 4.2.

Jeg er leverandør og har fått et krav om å ivareta innebygget personvern og særlig rettigheten om dataportabilitet.

Les veilederens kap 8 og 12.

Jeg er personvernombud og trenger en grundig innføring i hva de registrertes rettigheter er i helse- og omsorgssektoren.

Les hele veilederen.

Jeg er leder og trenger en kort innføring i hva de registrertes rettigheter er.

Les veilederens kapittel 1.1, 1.3 og innledningene til resten av kapitlene. Så kan du lese grundig om hver rettighet når du trenger veiledning på den konkrete rettigheten.

1.3 Rettigheter i personvern- og  helselovgivning

Både personvernlovgivingen og helselovgivningen gir rettigheter til pasienter og de registrerte. Ved behandling av helseopplysninger i forbindelse med helsehjelp gjelder personvernforordningen og personopplysningsloven så langt ikke noe annet følger av pasientjournalloven. I pasientjournalloven vises det til bestemmelser i helselovgivningen og personvernforordningen

Helselovgivningen skal blant annet ivareta sikkerhet og kvalitet ved helsehjelp, lik tilgang på helse- og omsorgstjenester og generelle pasientrettigheter. Pasientbehandling forutsetter behandling av helse- og personopplysninger om pasienten. Ivaretakelse av pasientens personvern er derfor også en viktig del av pasientbehandlingen. Helselovgivingen har flere lover og forskrifter med særregler om behandling av helse- og personopplysninger som utfyller og presiserer kravene i personvernlovgivningen. 

Helselovgivningens regler om rettigheter er i hovedsak rettigheter for pasienten, og i noen grad rettigheter for pasientens nærmeste pårørende eller foresatte. Helselovgivningen regulerer i liten grad andre registrertes rettigheter direkte. Helselovgivningen har både bestemmelser som gjelder rettigheter ved behandling av personopplysninger, og bestemmelser om andre typer rettigheter (rett til helsehjelp, rett til fritt sykehusvalg, rett individuell plan mv.)  Det er bare rettigheter ved behandling av personopplysninger som er tema i denne veilederen. 

Personopplysningsloven og personvernforordningen gjelder all behandling av personopplysninger som virksomheten utfører. Personvernlovgivingen har rettigheter for samtlige registrerte som virksomheten behandler personopplysninger om. I virksomheter som yter helse- og omsorgstjenester vil dette særlig være pasienter/brukere, helsepersonell og andre ansatte, men også pårørende, andre som besøker virksomheten mfl.

Ved behandling av personopplysninger om egne ansatte gjelder generell personvernlovgivning og eventuell egen norsk særlovgivning på dette området. 

1.4 Arkivlovgivningens begrensninger

Arkivlovgivningen vil kunne begrense registrertes rettigheter, spesielt registrertes rett til retting og sletting. 

Alle offentlige organer er underlagt arkivloven med forskrifter, arkivforskriften og riksarkivarens forskrift.[2] Regionale helseforetak og helseforetak regnes som offentlige organer etter arkivloven, og er da underlagt reglene i arkivlovgivningen om offentlig arkiv.[3] Disse tre regelverkene omtales som arkivlovgivningen i denne veilederen. Arkivlovgivningens formål er å sikre at arkiv med kulturell eller forskningsmessig verdi, eller som inneholder rettslig eller viktig forvaltningsmessig dokumentasjon, blir bevart for ettertiden. Mye av denne dokumentasjonen vil inneholde personopplysninger. De registrertes rettigheter, spesielt når det gjelder rett til retting og sletting, er begrenset når opplysningene behandles for arkivformål.[4]

Virksomheter i spesialisthelsetjenesten, både offentlige og private, skal bevare og avlevere pasientjournalarkivene sine til Norsk Helsearkiv i samsvar med helsearkivforskriften[5]. Formålet er å sikre at pasientjournalarkiver blir bevart og gjort tilgjengelig for forskning og for pårørende. Avlevering til Norsk helsearkiv kan skje tidligst ti år etter pasientens død. 

Den kommunale og fylkeskommunale helse- og omsorgstjenesten er ikke underlagt reglene i helsearkivforskriften og skal ikke avlevere arkivmateriale til Norsk Helsearkiv. Etter arkivlovgivningen skal kommunale og fylkeskommunale virksomheter bevare arkivene og avlevere disse til kommunalt depot.[6]

2. Ivaretagelse av rettigheter

2.1 Ansvar for at rettigheter blir oppfylt

Virksomheten har ansvar for at den registrerte får oppfylt sine rettigheter. Dette innebærer blant annet at virksomhetens systemer må utformes slik at det er mulig å ivareta registrertes rettigheter. I tillegg skal virksomheten sørge for å ha rutiner og opplæring av ansatte, slik at forespørsler fra registrerte håndteres riktig.[7] 

Virksomheten kan selv bestemme hvem som skal behandle registrertes forespørsler, og hvem som skal sørge for gjennomføringen internt eller hos databehandler. Alle ansatte hos virksomheten som er i kontakt med registrerte, bør gjøre seg kjent med virksomhetens rutiner for registreres rettigheter. På denne måten kan de ansatte bistå den registrerte hvis registrerte henvender seg direkte til dem. 

Virksomhetene må tilrettelegge for at helsepersonellet kan overholde sine plikter. Det er virksomhetenes ansvar å ha systemer og organisere seg slik at pasientens rettigheter blir ivaretatt. I helselovgivingen er det ofte plikter som retter seg direkte mot helsepersonell og den som er ansvarlig for journalen hvis det dreier seg om pasientens rettigheter i behandlingsrettede helseregistre.[8] Reglene om helsepersonellets plikter vil likevel ikke frigjøre virksomheten fra sitt ansvar. 

I en del tilfeller vil virksomheten (den dataansvarlige) la en annen aktør (gjerne en systemleverandør) drifte systemet – og dermed behandle personopplysninger – på virksomhetens vegne. Virksomheten må da inngå databehandleravtale med leverandøren, som blir databehandler.[9] Avtalen skal blant annet pålegge leverandøren å bistå virksomheten i at den registrerte kan ivareta sine rettigheter.[10] Dette skal sikre at leverandøren bidrar i ivaretakelsen av den registrertes rettigheter. Bistanden kan skje gjennom teknisk funksjonalitet eller annen praktisk bistand.

Databehandleravtalen eller tilhørende instrukser bør, beskrive hvordan leverandøren skal bistå i håndhevingen av en registrerts rettigheter. Virksomheten bør sørge for en tydelig ansvarsfordeling fra starten av, slik at henvendelser fra registrerte følges opp fortløpende. Virksomheten kan for eksempel spesifisere at leverandøren skal stå for innsamlingen av alle personopplysningene når virksomheten skal gi innsyn.

2.2 Frister for å svare på og oppfylle registrertes rettigheter

Helselovgivningen har ingen egne regler for når den registrerte skal få oppfylt sine rettigheter. Personvernlovgivingens regler om frister vil derfor gjelde for behandlingsrettede helseregistre, forskriftsregulerte helseregistre og helserelaterte forskningsprosjekter.[11] 

Ifølge personvernlovgivningen skal virksomheten svare på og oppfylle registrertes forespørsler uten ugrunnet opphold, og senest en måned etter at virksomheten mottok forespørselen fra den registrerte. Uten ugrunnet opphold betyr ikke at virksomheten må utføre dette umiddelbart. Virksomheten skal ha tid til å gjøre undersøkelser og forsvarlige vurderinger av om opplysninger for eksempel skal unntas innsyn, eller om det er grunnlag for retting og sletting. Virksomheten kan likevel ikke trekke ut tiden unødvendig.  All forsinkelse må være saklig begrunnet. 

Ved svært komplekse saker, kan fristen forlenges til totalt tre måneder (medregnet den opprinnelige måneden). Virksomheten må varsle den registrerte og oppgi årsaken til forsinkelsen innen den første måneden.[12]

2.3 Plikter ved avslag på registrertes forespørsler

Hvis det gis avslag på en forespørsel fra den registrerte, må virksomheten alltid gi den registrerte en begrunnelse for avslaget. Virksomheten må også gi informasjon om retten til å klage til en tilsynsmyndighet[13] og muligheten for rettslig prøving av avslaget for domstolene. Informasjonen må gis uten ugrunnet opphold og senest innen en måned regnet fra da virksomheten mottok forespørselen.[14] Disse reglene gjelder også for behandling av helse- og personopplysninger i behandlingsrettede helseregistre, andre helseregistre og helserelaterte forskningsprosjekter. 

Ved avslag på innsyn, retting eller sletting i behandlingsrettet helseregister, må virksomheten i tillegg gi informasjon om pasientens rett til å klage til statsforvalteren. Hvis avslaget gjelder

retting eller sletting i behandlingsrettet helseregister, skal forespørselen og begrunnelsen for avslaget også nedtegnes i det behandlingsrettede helseregisteret.

3. Retten til informasjon om behandling av personopplysninger

3.1 Innledning 

For å sikre åpenhet, rettferdighet og tillit rundt behandlingen av personopplysninger, skal virksomheten gi den registrerte informasjon om hvordan den behandler personopplysninger. Denne plikten er en viktig forutsetning for flere av de andre rettighetene den registrerte har, både personvernrettighetene og pasient- og brukerrettighetene.Det vil være vanskelig for

den registrerte å be om innsyn, retting eller sletting, hvis ikke hun vet at personopplysningene hennes blir behandlet. 

Regler om informasjonsplikt ved behandling av personopplysninger finnes i både helselovgivningen og personvernlovgivningen. Plikten til å gi informasjon om behandling av helse- og personopplysninger skiller seg fra helselovgivingens plikt til å gi informasjon om pasientens helsetilstand og innholdet i helsehjelpen. Denne veilederen tar bare for seg virksomhetens plikt til å gi informasjon om behandling av helse- og personopplysninger.

Helselovgivningen har i liten grad egne regler om virksomhetens plikt til å gi informasjon om behandlingen av helse- og personopplysninger, men henviser i stedet til reglene i personvernlovgivningen.[15] Dette kapittelet gir først en kort beskrivelse av helselovgivingens regler om informasjon. Deretter gis det en beskrivelse av reglene om informasjon i personvernlovgivningen. Til slutt gis det også en beskrivelse av personvernlovgivingens regler om informasjon ved brudd på personopplysningssikkerheten som også gjelder ved behandling av helseopplysninger. 

3.2 Retten til informasjon etter helselovgivningen

3.2.1 Helselovgivningens ulike informasjonsplikter

Helselovgivningen inneholder to typer informasjonsplikter. Først og fremst har pasienter rett til å få informasjon som er nødvendig for å få innsikt i sin helsetilstand og innholdet i helsehjelpen.[16] Slik informasjon er nødvendig for å gi pasienten og brukerne mulighet til å utøve medvirkningsretten og for å kunne gi gyldig samtykke til helsehjelp.[17] Denne plikten reguleres av helselovgivningen og behandles ikke i denne veilederen.  

I tillegg er virksomheter pålagt å gi informasjon om hvordan de behandler helse- og personopplysninger. Denne informasjonsplikten skal sørge for at den registrerte får innsikt i hvem som behandler opplysninger om henne selv og hva de brukes til.  

Helselovgivningen inneholder regler som pålegger virksomheter å gi informasjon om behandlingen av personopplysninger, men disse viser til personvernforordningens regler. Ved behandling av personopplysninger i behandlingsrettede helseregistre og andre

helseregistre, må virksomheten derfor følge reglene om informasjongsplikt i personvernforordningen. Disse reglene er nærmere beskrevet i dette kapittelet. 

Virksomheten må være oppmerksom på at helselovgivningen også inneholder en egen plikt til å gi informasjon ved tilgjengeliggjøring av taushetsbelagte opplysninger og en plikt til å informere om pasientens rett til å motsette seg behandling av helseopplysninger. Disse er beskrevet under. 

3.2.2 Informasjonsplikt om pasientens rett til å motsette seg deling av opplysninger i behandlingsrettet helseregister 

Pasienten har en rett til å motsette seg behandling av helse- og personopplysninger i behandlingsrettede helseregistre. For at pasienten skal kunne benytte seg av rettigheten, er det viktig at virksomheten gir pasienten informasjon om når pasienten har en slik rett, hvordan pasienten kan motsette seg behandlingen og konsekvensene av det.[18] Denne informasjonen kan gis sammen med informasjonen virksomheten er pålagt å gi i henhold til personvernlovgivingens regler. Virksomheten må imidlertid også sørge for at helsepersonell aktivt opplyser pasienten om retten i enkelte situasjoner.[19] 

3.2.3 Informasjonsplikt ved tilgjengeliggjøring av taushetsbelagte opplysninger på grunn av opplysningsplikt

Helsepersonell har opplysningsplikter som er regulert i helsepersonelloven kapittel 6. En opplysningsplikt kan for eksempel være helsepersonells plikt til å gi opplysninger til tilsynsmyndigheter, eller plikten å gi opplysninger til barnevernet.

Når helsepersonell har gjort taushetsbelagte opplysninger tilgjengelig for en tredjepart på grunn av opplysningsplikt, krever pasient- og brukerrettighetsloven at det gis informasjon til personen opplysningene gjelder.[20] Tilgjengeliggjøring betyr her at opplysningene enten er utlevert til andre, eller at andre har fått tilgang til opplysningene.[21] Virksomheten skal gi informasjon om at utleveringen har skjedd og hvilke opplysninger som er utlevert.[22] 

Informasjonsplikten gjelder så langt forholdene tilsier det,[23] og den gjelder ikke ved nødrettstilfeller. Det vil si at informasjonsplikten ikke gjelder hvis den kan medføre fare for noens liv og helse.[24] Et eksempel kan være der opplysninger har blitt tilgjengeliggjort for barnevernet, og informasjon om dette kan medføre fare for barnet.  

3.3  Retten til informasjon etter personvernlovgivingen

3.3.1 Når skal informasjon gis?

Virksomheten har en plikt til å gi informasjon på eget initiativ, men også etter forespørsel fra den registrerte.[25] Hvilke frister som gjelder, avhenger av om opplysningene er samlet inn fra den registrerte selv eller et annet sted. 

Opplysninger som samles inn fra den registrerte 

I tilfeller der opplysningene samles inn fra den registrerte selv, skal informasjonen gis før eller samtidig som innsamlingen skjer.[26] Samles personopplysningene inn via et registreringsskjema som den registrerte fyller ut, kan informasjonen gis i et vedlegg til skjemaet.

Opplysninger som samles inn fra andre enn den registrerte

Når personopplysningene samles inn fra noen andre enn den registrerte, skal virksomheten gi informasjonen innen rimelig tid, og aldri senere enn en måned etter innsamlingen.[27] Hva som er rimelig tid må vurderes ut fra hver enkelt situasjon. Jo mer inngripende eller virkningsfull behandlingen av personopplysningene er for de registrerte, desto raskere skal informasjonen gis.[28] 

Hvis personopplysningene skal brukes til å kommunisere med en registrert, skal informasjonen senest gis når virksomheten kommuniserer med den registrerte for første gang.[29] Skal personopplysningene utleveres til en mottaker, må informasjonen senest gis når personopplysningene utleveres første gang.[30]

Informasjonsplikt gjennom hele behandlingen

Noen ganger må virksomheten gi den registrerte informasjon om behandlingen av personopplysninger underveis i behandlingen. Virksomheten bør kjenne til følgende tilfeller:  

• Virksomheten skal gi informasjon når virksomheten viderebehandler personopplysninger for nye formål. 
• Virksomheten skal gi informasjon når den registrerte ber om innsyn.
• Virksomheten skal gi informasjon i visse tilfeller av brudd på personopplysningssikkerheten. 

Virksomheten bør sørge for at informasjonen er tilgjengelig for den registrerte hele tiden. Hvis det gjøres endringer i virksomhetens informasjon om behandling av personopplysninger, for eksempel en personvernerklæring, så bør endringene synliggjøres for den registrerte.[31] 

3.3.2 Hvordan skal informasjon gis?

Virksomheten må gi informasjon om behandling av personopplysninger, men virksomheten har ingen plikt til å sikre at den registrerte har tilegnet seg informasjonen. 

Hensikten med informasjonsplikten er å sette den registrerte i stand til å forstå behandlingen av personopplysninger om seg selv. Hvordan informasjonen skal gis og på hvilket nivå vil derfor kunne variere. 

Virksomheten må selv vurdere hvordan informasjonen skal gis til den registrerte.

Personvernforordningen sier lite om hvilke metoder virksomheten bør eller kan benytte, men den gir noen føringer som virksomheten må følge. 

Informasjonen bør være skriftlig.
Informasjonen bør i utgangspunktet gis skriftlig, men den kan også gis på andre måter.[32] Virksomheten kan for eksempel bruke hjemmesider, videoer, skjemaer og illustrasjoner, men informasjonen bør også være tilgjengelig skriftlig.[33] 

Hvis den registrerte spør om det, kan informasjonen også gis muntlig.[34] Det vil si at hvis helsepersonell får spørsmål om behandlingen av personopplysninger, så kan spørsmålet besvares muntlig der og da. Helsepersonellet bør dokumentere at informasjon ble gitt, og hva som ble sagt.[35]

Informasjonen skal være kortfattet, enkel og tilgjengelig
Informasjonen må gis på en kortfattet og enkel måte. Virksomheten har ingen plikt til å utforme informasjon individuelt til hver registrert. Informasjonen kan derfor være rettet mot, og gjøres tilgjengelig for en gruppe registrerte.[36]  

Virksomheten må bruke klarspråk, og unngå juridiske formuleringer og annet avansert språk. Det bør gis en forklaring på eventuelle faguttrykk, herunder medisinske eller juridiske uttrykk som virksomheten må bruke. Dette gjelder særlig når informasjonen retter seg mot barn og andre sårbare grupper.[37] 

Helselovgivningen stiller strenge krav til hvordan informasjon om helsehjelpen skal tilpasses pasientens forutsetninger. Informasjonen skal blant annet tilpasses kultur- og språkbakgrunn, og helsepersonellet må forsikre seg om at mottakeren har forstått innholdet og betydningen av informasjonen.[38] Personvernforordningen stiler ikke like tydelige krav til hvordan virksomheten skal tilpasse informasjon om behandlingen av opplysninger. Virksomheten har imidlertid et særlig ansvar når den behandler helseopplysninger som kan oppleves som spesielt sensitive.[39] Dette kan tilsi at virksomheter i helse- og omsorgssektoren bør ta slike hensyn når den gir informasjon om behandlingen av opplysninger også. 

Virksomheten er pålagt å gi den registrerte mye informasjon om behandlingen av personopplysninger. Virksomheten kan benytte ulike virkemidler for å gjøre tekst lettlest og oversiktlig for leseren. Virksomheten kan for eksempel bruke tydelige overskrifter, ikoner eller interaktive funksjoner. For å sørge for at leseren får med seg de viktigste aspektene, kan virksomheten gi informasjonen lagvis. Det vil si at virksomheten presenterer den viktigste informasjonen først, og deretter annen informasjon. Det anbefales alltid å presentere den viktigste informasjonen øverst når informasjon gis skriftlig.[40] Behandlingens formål, virksomhetens kontaktinformasjon og registrertes rettigheter vil alltid være viktig. Virksomheten må vurdere om det er andre forhold som også er viktige for den konkrete behandlingen det skal gis informasjon om.[41] 

Selv om informasjonen gis lagvis, bør all informasjon om behandlingen av personopplysninger være tilgjengelig på ett sted. Hvis virksomheten har en nettside eller et system som den registrerte bruker, så kan slik informasjon gis i en personvernerklæring som finnes der.[42]

Hvilke metoder kan benyttes for å gi informasjonen?
Informasjonen om behandlingen av personopplysninger må gis på en måte som er egnet til å sikre at den registrerte mottar informasjonen.[43] Virksomheten kan bruke metoden den mener er best egnet for å sikre dette, men den bør innebære aktive grep. Virksomheten må selv vurdere hvor aktiv den skal være når den gir informasjonen. I vurderingen bør virksomheten ta hensyn til den aktuelle behandlingen og hva den registrerte kan forvente. Virksomheten må huske på at den registrerte skal gis mulighet til å benytte seg av andre rettigheter, for eksempel retten til innsyn eller sletting. 

Hvis personopplysninger for eksempel blir samlet inn fra andre enn den registrerte, er behandlingen mer uforventet enn om den registrerte selv gir fra seg opplysningene. I slike tilfeller kan det derfor være nødvendig å ta direkte kontakt med den registrerte for å gi informasjonen.[44] 

Videre bør virksomheten også vurdere hvem den registrerte er, og hvilken situasjon hun står

i. I en situasjon hvor en pasient er i kontakt med helsetjenesten for å få helsehjelp, er det ofte helsehjelpen som er viktigst for den registrerte. Kontakten med helsetjenesten må derfor ikke overskygges av informasjon om hvordan virksomheten behandler personopplysninger.[45]  

 Virksomheten kan gi all informasjon direkte til den registrerte, for eksempel ved å dele ut et informasjonsskriv eller en brosjyre. Virksomheten kan imidlertid også gi den registrerte en henvisning til et sted hvor informasjonen finnes. Dette kan være et skilt som henviser til en personvernerklæring på en nettside, eller en informasjonstekst i et elektronisk registreringsskjema som henviser til og linker et personvernkontrollpanel.[46] 

Eksempel 
Normland fastlegekontor har ikke gjort informasjon om hvordan virksomheten behandler personopplysninger tilgjengelig for sine pasienter. De vurderer derfor hvordan de skal gi informasjonen til pasientene. Legekontoret bestemmer seg for å utarbeide en personvernerklæring på virksomhetens nettside. Neste steg er å finne ut hvordan pasientene skal gjøres oppmerksomme på hvor informasjonen finnes. 

Legekontoret vurderer først om legene skal fortelle alle pasienter at informasjonen ligger på nettsiden første gang de oppsøker legen. De innser fort at dette ikke er hensiktsmessig. De tenker at fastlegene kan glemme å gi informasjonen og at pasientene kan oppfatte det som unødvendig informasjon under selve legetimen, som skal brukes til helsehjelp.  

Normland fastlegekontor vurderer derfor om det er tilstrekkelig å henge opp en plakat på venterommet, med henvisning til personvernerklæringen. I vurderingen legger de vekt på at de fleste pasientene er klar over at legekontoret behandler personopplysninger om dem. Pasientene oppsøker jo tross alt legen for å få en medisinsk vurdering, som innebærer at legen må bruke pasientenes personopplysninger.

Normland fastlegekontor konkluderer derfor med at pasientene ikke trenger å varsles direkte, og at det er godt nok med en henvisning til personvernerklæringen på venterommet. De sørger for at plakaten er plassert godt synlig ved inngangen til venterommet og at det er en lenke til personvernerklæringen på nettsidens startside. 

3.3.3 Hva skal det gis informasjon om?

Personvernlovgivingens regler om informasjonsplikt skiller mellom tilfeller der personopplysningene er samlet inn fra den registrerte selv, og der personopplysningene er samlet inn fra noen andre. I begge tilfellene har den registrerte rett på mye av den samme informasjonen, men det er også noen ulikheter. I dette delkapittelet behandles de to tilfellene sammen. Der det er forskjeller, slik at et krav bare gjelder det ene tilfellet, er dette presisert. 

Ved behandling av personopplysninger i behandlingsrettede helseregistre, er virksomheten kun pålagt å gi informasjon hvis opplysningene er samlet inn fra den registrerte selv.[47] Dette er nærmere beskrevet senere i kapittelet. 

Informasjon om virksomheten
Den registrerte skal få informasjon om virksomheten som er ansvarlig for behandlingen av personopplysningene. Det skal gis informasjon om virksomhetens identitet og kontaktinformasjon. Virksomheten må også oppgi personvernombudets kontaktinformasjon, hvis virksomheten har et personvernombud.[48] 

Informasjon om behandlingen av personopplysninger
Den registrerte skal få informasjon om selve behandlingen av personopplysninger, herunder hvilke formål personopplysningene behandles for, og hvilket rettslig behandlingsgrunnlag virksomheten baserer seg på.[49] Hvis behandlingen baseres på en berettiget interesse, skal virksomheten også beskrive interessene virksomheten ivaretar gjennom behandlingen.[50]  

Virksomheten skal gi informasjon om hvor lenge personopplysningene lagres. Er det ikke mulig å gi en konkret tidsfrist, må virksomheten gi informasjon om hvilke kriterier som påvirker lagringstiden.[51] Virksomheten bør vurdere om den kan si noe mer enn at opplysningene lagres så lenge det er nødvendig, slik at den registrerte kan vurdere hva som gjelder i hennes situasjon.[52]  

Tilleggskrav når personopplysninger samles inn fra noen andre enn den registrerte:
I tilfeller hvor personopplysningene ikke er hentet fra den registrerte selv, skal virksomheten i tillegg gi informasjon om:

• Hvilke kategorier av personopplysninger virksomheten behandler.[53]
• Hvilken kilde personopplysningene er hentet fra, og eventuelt om de er hentet fra offentlig tilgjengelige kilder.[54] En offentlig tilgjengelig kilde kan for eksempel være folkeregisteret.  

Informasjon om mottakere personopplysningene utleveres til
Hvis virksomheten skal utlevere personopplysninger, må virksomheten gi informasjon om mottakerne av personopplysningene, eller kategoriene av mottakere.[55] I utgangspunktet bør alle mottakere navngis, men i noen tilfeller kan det være nok å gi en konkret beskrivelse av kategoriene.[56] Dette kan for eksempel være aktuelt for en fysioterapeut som oversender epikriser til pasienters fastlege. I stedet for å liste opp alle fastleger fysioterapeuten kan måtte sende epikriser til, er det tilstrekkelig å oppgi «pasientens fastlege» som en kategori av mottakere.

Hvis mottakeren er en virksomhet i et land utenfor EU/EØS (tredjeland) eller en internasjonal organisasjon, skal virksomheten gi informasjon om denne behandlingen.[57] I tilfeller hvor dette er aktuelt bør virksomheten ta kontakt med sine systemleverandører for å få bistand. 

Informasjon om den registrertes rettigheter 
Virksomheten skal alltid gi informasjon om hvilke rettigheter den registrerte har. Den registrerte skal få informasjon om:

• Retten til innsyn i egne personopplysninger
• Retten til å kreve retting eller sletting av personopplysninger
• Retten til å kreve begrensning av behandling av personopplysninger
• Retten til å protestere mot behandling av personopplysninger[58]
• Retten til å trekke tilbake et samtykke til behandling av personopplysninger[59] 
• Retten til å klage til Datatilsynet [60]

Virksomheten bør vurdere å presisere hvilke rettigheter og begrensninger som gjelder i den konkrete sammenhengen, og hvordan den registrerte kan utøve sine rettigheter.[61] Ved lagring av helse- og personopplysninger i et behandlingsrettet helseregister, kan det for eksempel informeres om at virksomheten er underlagt lovfestede oppbevaringsplikter som kan begrense den registrertes rett til å få slettet personopplysninger om seg selv. 

Tilleggskrav når personopplysningene samles inn fra den registrerte selv:

Når opplysningene samles inn fra den registrertes selv, skal virksomheten i tillegg gi informasjon om:

• Lov eller en avtale inneholder krav om at personopplysningene må oppgis, eller om personopplysningene må oppgis for at en avtale skal kunne oppfylles
• Den registrerte har en plikt til å oppgi personopplysninger 
• Mulige konsekvensene av å ikke oppgi personopplysningene[62]

Informasjon om automatiserte avgjørelser
Hvis virksomheten bruker automatiserte prosesser for å ta avgjørelser, har virksomheten en plikt til å gi følgende informasjon:

• At automatiserte avgjørelser brukes
• Informasjon om logikken i løsningen som benyttes 
• Betydningen og forventede konsekvenser av avgjørelsene

Automatiserte prosesser kan være vanskelig å forstå og det kan oppleves som spesielt inngripende at en maskin skal ta avgjørelser om en selv. Det kan derfor være nødvendig å gi mer informasjon om behandlingen i slike tilfeller.[63] 

Informasjon om viderebehandling
Ved viderebehandling for nye formål, oppstår det en ny informasjonsplikt.[64] Virksomheten må gi informasjon om den nye behandlingen. Informasjonen må gis før behandlingen starter.[65] Hvor tidlig informasjonen må gis, avhenger av hva slags endring det er snakk om. Jo mer uventede endringen er, og jo mer de kan påvirke den registrerte, desto tidligere skal informasjonen gis.[66]

3.3.4 Generelle unntak fra plikten til å gi informasjon om behandling av helse- og personopplysninger 

Det finnes flere unntak fra plikten til å gi informasjon om behandling av personopplysninger. Den registrertes rett til informasjon er nært tilknyttet den registrertes rett til innsyn i egne personopplysninger, og det finnes flere unntak som gjelder begge rettighetene. Det kan være lurt å se dette delkapittelet om unntak i sammenheng med delkapittelet om unntak fra retten til innsyn. Ikke alle unntak er like aktuelle ved behandling av personopplysninger for å gi helsehjelp. Dette delkapittelet gir en oversikt over de mest aktuelle unntakene som virksomheter i helse- og omsorgssektoren kan få bruk for. 

Opplysninger som er underlagt taushetsplikt
Informasjonsplikten gjelder ikke hvis det å gi informasjon vil være i strid med helsepersonellets taushetsplikt.[67] Helselovgivningens regler om taushetsplikt gjelder fullt ut. 

Eksempel: 

NN dukker opp på Normland legevakt med brukket nese og blåmerker. Hun opplyser til legen på legevakten at skadene skyldes vold fra ektefelle og legen noterer dette ned i pasientens journal. 

Legen har nå registrert personopplysninger om pasientens ektefelle og ektefellen kan identifiseres. Det betyr at legevakten i utgangspunktet vil ha en plikt til å gi ektefellen informasjon om hvordan legevakten behandler personopplysninger om han. I dette tilfellet vil virksomheten ikke kunne gi slik informasjon uten å bryte helsepersonellets taushetsplikt. Virksomheten har derfor ikke en informasjonsplikt overfor ektefellen.

Den registrerte har tidligere fått informasjonen
Videre er virksomheten ikke forpliktet til å gi informasjon som den registrerte allerede har fått. Dette kan være aktuelt hvis virksomheten leverer den samme helsetjenesten til en pasient flere ganger. Er informasjonen gitt ved første levering av tjenesten, må den ikke gis på nytt ved levering av identisk tjeneste senere. Virksomheten bør kunne dokumentere at informasjonen har blitt gitt, og det anbefales å ta hensyn til dette hvis en virksomhet vurderer å bruke unntaket.[68]  

3.3.5 Unntak fra plikten til å gi informasjon når personopplysningene er samlet inn fra andre enn den registrerte selv 

Noen unntak gjelder bare når personopplysningene er samlet inn fra noen andre enn den registrerte selv. Disse unntakene er snevre, og det skal mye til for at virksomheten kan bruke dem. De mest aktuelle unntakene for helse- og omsorgssektoren er: 

Behandlingen av personopplysninger pålagt i lov eller forskrift  
Informasjonsplikten gjelder ikke alltid når personopplysninger behandles for å ivareta en rettslig plikt. Det gjøres unntak fra informasjonsplikten når behandlingen har en tydelig hjemmel i lov eller forskrift, og loven eller forskriften inneholder regler som ivaretar den registreres interesser. 

Det er umulig å gi informasjonen
Dette unntaket er svært strengt og det er ikke tilstrekkelig at det er vanskelig å gi informasjon til den registrerte. Det må være praktisk umulig. Unntaket kan være aktuelt når det ikke er mulig å finne kontaktinformasjon til den registrerte. Virksomheten kan likevel gjøre informasjonen allment tilgjengelig på nettsiden sin.

Å gi informasjon vil innebære en uforholdsmessig stor innsats 
Dette unntaket kan være aktuelt der virksomhetens innsats for å informere registrerte overgår ulempene ved at den registrerte ikke får informasjonen. Unntaket er særlig aktuelt i tilfeller hvor virksomheten behandler et svært stort antall registrerte og hvor behandlingen sjelden innebærer store negative konsekvenser for den registrerte.[69]

Et eksempel på en type behandling som virksomheten ikke trenger å informere om er der et sykehus samler inn kontaktinformasjon til pasienters pårørende. Det vil være svært krevende for sykehuset å informere alle de pårørende om at personopplysninger om dem samles inn, hva som er kilden til opplysningene og hvordan opplysningene behandles. Det er heller ikke spesielt inngripende for de pårørende at disse personopplysningene behandles. Virksomheten er derfor ikke pliktig til å gi informasjon til denne gruppen.[70] 

3.4 Informasjon ved brudd på personopplysningssikkerheten 

Ved hendelser som innebærer brudd på personopplysningssikkerheten[71], er det egne regler om oppfølgingen.[72] Disse reglene inneholder blant annet regler om at det skal gis informasjon til berørte registrerte når det er høy risiko for deres rettigheter og friheter. 

Virksomheten skal som hovedregel gi berørte registrerte følgende informasjon: 

• Kontaktopplysningene til virksomhetens personvernombud eller annen kontaktperson
• De sannsynlige konsekvensene av bruddet på personopplysningssikkerheten
• En beskrivelse av tiltakene som virksomheten har iverksatt eller planlegger å iverksette for å redusere konsekvensene av bruddet

Et brudd på personopplysningssikkerheten kan føles sterkt belastende for den registrerte. Det kan derfor være nødvendig å gi den registrerte mer informasjon enn det virksomheten er pliktig til å utlevere for å ivareta den registrertes interesser. Virksomheten kan likevel ikke gi informasjon som vil medføre brudd på helsepersonellets taushetsplikt[73] eller som kan gå på bekostning av andre registrertes personvern. 

Informasjonen skal gis på en hensiktsmessig måte. Dette kan f.eks. skje per telefon eller per brev.  

Selv om virksomheten ikke er pålagt å varsle de berørte kan det være gode grunner til å informere om avviket. Dette sikrer åpenhet, og kan bidra til at saken blir bedre håndtert f.eks. ved at feilsende opplysninger slettes og den berørte kan treffe egne sikkerhetstiltak. 

Eksempel

Pasient NN er 16 år og er innlagt på Normland sykehus. I forbindelse med en oppdatering av sykdomsbildet, skal sykehuset sende informasjon til de pårørende. Pasienten har samtykket til at denne informasjonen gis. Ved en feil sendes denne informasjonen til en rekke andre pårørende i tillegg til rett mottaker. Pårørende til NN får vite dette via andre som har mottatt informasjonen, da lokalsamfunnet er lite, og alle kjenner alle. 

Pårørende til NN blir svært opprørte, og kontakter sykehuset for å få informasjon om det som har skjedd. Sykehuset har ikke oppdaget feilen, men tar affære og melder avviket til Datatilsynet. De vurderer avviket til å ikke være så alvorlig at det er nødvendig å varsle de registrerte. 

De pårørende kontakter sykehusets personvernombud for å få bistand. De mener at de har rett på mer informasjon om det som har skjedd, og synes det er svært ubehagelig at andre i lokalsamfunnet har fått sensitiv informasjon om sønnen deres. De vil derfor, i tillegg til informasjon om avviket, ha kontaktinformasjon til de andre mottakerne. 

Personvernombudet kontakter egen virksomhet og argumenterer for at de pårørende bør få varsel etter artikkel 34, da de allerede er kjent med at avviket har skjedd og hva slags informasjon som er på avveie. Videre er det et viktig å demonstrere at man tar hendelsen på alvor og at man gjør det man kan for å ivareta pasienten og de pårørende. I en ubehagelig situasjon som denne er det avgjørende at pårørende og NN føler at de blir sett og at deres ubehag ikke bagatelliseres. Personvernombudet anbefaler at virksomheten tar hensyn til dette i sin kontakt med NN og de pårørende. Ombudet mener likevel at man ikke kan gi ut informasjon om andre mottakere, da disse har en selvstendig rett til å få sitt personvern ivaretatt.

Hendelsen resulterer i at sykehuset gjør endringer i sine informasjonsrutiner, og heretter sender informasjon via andre kanaler der risikoen for feilsending vurderes å være mye lavere. Sykehuset følger opp NN og hans pårørende ved å kontakte de direkte og informere om rutineendringen, for å gjøre de trygge på at dette ikke vil skje igjen.

4. Retten til innsyn

4.1 Innledning

Retten til innsyn skal ivareta åpenhet og tillit til både helsehjelpen som gis og til virksomhetens behandling av helse- og personopplysninger. Innsynsreglene gir blant annet de registrerte bedre kontroll over egne helse- og personopplysninger og gjør det lettere å utøve rettigheter knyttet til både helsetjenester og personvern.[74]

Det finnes regler om innsyn i både helselovgivningen og personvernlovgivingen. De forskjellige innsynsreglene er overlappende, men de utfyller og presiserer også hverandre på enkelte områder. Virksomheter som skal gi innsyn etter helselovgivingens regler bør derfor også kjenne til personvernlovgivingens regler. Personvernlovgivingens regler om innsyn vil også gjelde for all behandling av personopplysninger som ikke er regulert av helselovgivingen, herunder HR- og rekrutteringsprosesser. 

Dette kapittelet gir først en beskrivelse av virksomhetens plikt til å gi innsyn i behandlingsrettede helseregistre. Deretter gis det en kort beskrivelse av hvilke regler som gjelder for innsyn i andre helseregistre og ved forskningsprosjekter. For andre helseregistre kan det finnes særregler om innsyn i hvert enkelt register. Slike særregler er ikke behandlet i denne veilederen. De generelle personvernreglene om innsyn behandles i siste del av kapittelet. 

Virksomhetens plikt til informasjon og plikten til å gi innsyn er ofte behandlet sammen i helselovgivningen. I denne veilederen behandles disse pliktene hver for seg.  

4.2 Retten til innsyn i behandlingsrettede helseregistre (journalinnsyn)

Pasienten har rett til innsyn i helse- og personopplysninger som nedtegnes i behandlingsrettede helseregistre i forbindelse med helsehjelp.[75] Dette delkapittelet gir en beskrivelse av hva virksomheter og helsepersonell må tenke på når en pasient ber om innsyn i slike opplysninger.

Personvernlovgivingens regler om innsyn gjelder for behandlingsrettede helseregistre. 

Personvernlovgivingens regler inneholder noen tilleggskrav og unntak som gjelder i tillegg til reglene i helselovgivingen. Disse er nevnt underveis i delkapittelet, og nærmere beskrevet i veilederens kapittel Retten til innsyn etter personvernlovgivningen.

4.2.1 Hvilke opplysninger skal det gis innsyn i?

Hovedregelen er at det skal gis innsyn i alle opplysninger om pasienten som finnes i virksomhetens behandlingsrettede helseregistre. Pasientens rett til innsyn gjelder både pasientjournaler og pasientadministrative systemer. Pasienten skal få innsyn i egen journal med bilag.[76] Bilag inkluderer alt som ikke er skrevet direkte i pasientjournalen. Dette kan være røntgenbilder, lydlogger, prøvesvar, videoopptak mv.[77] 

Pasienten har også rett til å få innsyn i virksomhetens informasjon om tilgjengeliggjøring av opplysningene (logger).[78] Informasjonen skal inneholde: 

• Identitet og hvilken virksomhet den som har hentet fram opplysningene hører til
• Grunnlaget for tilgjengeliggjøringen 
• Tidsperioden for tilgjengeliggjøringen [79]

For å gjøre innsynsretten reell, må virksomheten gi pasienten en forklaring på faguttrykk som er brukt i journalen hvis hun ber om det.[80] Virksomheten skal legge til rette for at samiskspråklige, fremmedspråklige og personer med nedsatt funksjonsevne kan utøve retten til innsyn.[81] 

I tillegg har pasienten krav på å få informasjon om behandlingen av personopplysninger når hun gis innsyn. Denne informasjonsplikten er regulert av  personvernlovgivningen og den er nærmere beskrevet i kapittel om Retten til informasjon. 

4.2.2 Pårørende og foreldres rett til innsyn 

Innsynsretten er først og fremst en rett for pasienten selv. Andre enn pasienten kan i utgangspunktet bare få innsyn når pasienten har samtykket til det. Det finnes likevel noen situasjoner der andre kan få rett til innsyn i pasientens helseopplysninger for å ivareta pasientens interesser. 

Rett til innsyn i barns journal
Foreldre eller andre med foreldreansvar for barnet, har som hovedregel rett til innsyn i barns journal når barnet er under 16 år. Er barnet mellom 12 og 16 år, så har barnet likevel en rett til å nekte at disse får innsyn i journalen. Virksomheten bør etterkomme dette hvis grunnen til at barnet nekter er av en art som bør respekteres.[82] Dette kan for eksempel være aktuelt når barn oppsøker helsestasjoner for å få prevensjon eller behandling for kjønnssykdommer. Det kan også være aktuelt hvis barnet er i kontakt med helsepersonell av andre svært personlige årsaker som mishandling eller tro.

Innsyn kan også nektes, uavhengig av barnets alder, hvis det finnes tungtveiende grunner for at foreldrene eller andre med foreldreansvar for barnet ikke bør få opplysningene.[83] Det skal mye til før unntaket kan brukes, men det kan være aktuelt hvis barnet har blitt utsatt for overgrep av en foresatt.  

Pårørendes rett til innsyn i pasientens journal
Nærmeste pårørende kan i noen tilfeller gis innsyn i pasientens journal. Dette gjelder når pasienten er over 16 år og åpenbart ikke kan ivareta sine interesser på grunn av fysiske eller psykiske forstyrrelser, demens eller psykisk utviklingshemning.[84] Nærmeste pårørende har også rett til innsyn i journalen dersom pasienten eller brukeren er død, med mindre særlige grunner taler mot å gi slik innsyn.[85]

4.2.3 Hvilke opplysninger kan pasienten nektes innsyn i?

I helselovgivingen finnes det to unntak som kan begrense pasientens rett til innsyn i behandlingsrettede helseregistre.[86] Unntakene gir grunnlag for å unnta enkeltopplysninger fra innsyn, men ikke hele journalen. Det skal mye til for at unntakene kan brukes. Disse er beskrevet nedenfor. 

Hindre fare for liv eller alvorlig helseskade for pasienten selv
Virksomheten kan unnta opplysninger fra innsyn hvis det er påtrengende nødvendig for å hindre fare for liv eller alvorlig helseskade for pasienten selv. Unntaket er ment for å brukes i nødrettssituasjoner. Det kan være aktuelt når en pasient blir diagnostisert med en svært alvorlig sykdom samtidig som hun er i en psykisk ustabil periode, slik at denne informasjonen kan utløse en reaksjon hos pasienten som kan medføre fare for liv og helse. Virksomheten kan vanligvis ikke lene seg på dette unntaket hvis det har gått noe tid fra opplysningene ble journalført og situasjonen ikke lenger er akutt.[87] 

Utilrådelig av hensyn til personer som står pasienten nær
Virksomheten kan også unnlate å gi innsyn i opplysninger som det vil være klart utilrådelig å gi innsyn i av hensyn til personer som står pasienten nær. Dette unntaket rekker noe lenger enn nødrettssituasjoner, men det stilles fortsatt strenge krav til når det kan brukes. Det er ikke nok at det oppstår en ubehagelig situasjon mellom pasienten og den nærstående hvis innsyn gis. For å kunne bruke dette unntaket må innsynet kunne medføre en reell fare for den nærstående, og konsekvensene må være av et visst omfang. Tidsperspektivet bør også få betydning her. Hvis det har gått noe tid fra opplysningene ble journalført, slik at det ikke lenger er et akutt behov for å hindre innsyn, bør virksomheten vanligvis gi innsyn.[88]

Eksempel 

NN på 16 år lider av vrangforestillinger, og går til behandling ved barne- og ungdomspsykiatrisk poliklinikk for dette og andre helseplager. NN forteller til sin behandler at hun som liten ble kidnappet og var borte i to år. Når behandleren er i kontakt med NNs mor, nevner mor på eget initiativ at dette er en historie NN ofte tar opp, og at denne ikke er sann. Behandlere noterer dette ned i NNs journal.  NNs tilstand fører til at hun i enkelte perioder er svært ustabil og at hun kan utagere mot familiemedlemmer som sier imot henne. I en av disse periodene ber NN om innsyn i sin pasientjournal. På grunn av NNs tilstand blir situasjonen vurdert til at det vil være utilrådelig å gi NN tilgang til opplysningene om at mor har sagt at kidnappingshistorien ikke er sann. Det blir derfor besluttet å unnta disse opplysningene fra innsyn på dette tidspunktet.  

Et halvt år senere er NNs tilstand markant forbedret, og NN ber igjen om innsyn i sin pasientjournal. Denne gangen er det ingen akutte argumenter for å holde tilbake opplysningene. Opplysningene kan derfor ikke unntas innsyn på dette tidspunktet.  

Hvis pasienten nektes innsyn i opplysninger på grunnlag av et av unntakene som nevnt ovenfor, så kan opplysningene likevel gis til pasientens representant.[89] Representanten kan også nektes innsyn hvis hun er uskikket, men det skal mye til før representanten kan regnes som uskikket hvis hun er lege eller advokat. Dette er begrunnet i de lovfestede taushetspliktene som disse yrkesgruppene er underlagt.[90] 

Det finnes noen unntak fra innsynsretten som gjelder ved all behandling av personopplysninger, og derfor også helse- og personopplysninger som er nedtegnet i behandlingsrettede helseregistre. Disse unntakene finnes i personvernlovgivningen, og de er beskrevet i kapittel om Retten til innsyn etter personvernlovgivningen.

4.2.4 Hvordan skal innsyn gis?

Pasienten har rett til å få en kopi av sin journal på forespørsel. Utover dette står virksomheten fritt til å velge hvordan den vil gjennomføre innsynet.[91] Med mindre den registrerte har bedt om noe annet, bør kopier av journal gis elektronisk når pasientens henvendelse er elektronisk. Det er likevel en forutsetning at dette kan gjennomføres på en sikker måte. 

Virksomheten kan velge å ta i bruk en elektronisk innsynstjeneste som et tillegg til pasientens rett til å få tilsendt kopi. En elektronisk innsynstjeneste er en løsning som gir pasienten mulighet til å logge seg inn i et system for å få direkte tilgang til pasientjournalen, som for eksempel norsk kjernejournal på helsenorge.no. Virksomheter bør legge til rette for slike løsninger når det er mulig.[92]

Ved innføring av elektroniske innsynstjenester er det flere problemstillinger og hensyn virksomheten må sette seg inn i og vurdere, særlig knyttet til innsyn i barns journal. Dette er nærmere beskrevet i Helsedirektoratets brev av 15. september 2016 til landets RHF om juridiske vurderingstemaer knyttet til elektroniske innsynstjenester i pasientjournal. 

Helsedirektoratet trekker blant annet frem at virksomheten må sikre forsvarlig helsehjelp, og hensynta begrensninger i innsynsretten. Det er viktig at løsningen ikke gir pasienter og andre opplysninger som de ikke har rett på etter regelverket, eller som det som det ikke vil være forsvarlig å gjøre tilgjengelig umiddelbart i innsyntjenesten. Det sistnevnte kan være aktuelt hvis opplysningene er av en slik art at pasienten burde få vite om dem i en konsultasjon før de blir tilgjengeliggjort i løsningen. Alle journalnotater må derfor vurderes mht. om det er tilrådelig at pasienten får umiddelbart innsyn, før notatet tilgjengeliggjøres for pasienten i løsningen. Denne vurderingen er det helsepersonellet som må gjøre, men virksomheten må sørge for rutiner og systemer som legger til rette for at dette kan gjennomføres på en god måte.[93] Dette er ikke en uttømmende beskrivelse av de hensynene virksomheten må vurdere ved innføring av elektroniske tjenester. For mer informasjon og veiledning bør virksomheter lese Helsedirektoratets redegjørelse.

Eksempel 

Normland fastlegekontor har innført en elektronisk innsynstjeneste som gir pasientene direkte tilgang til opplysningene i pasientjournalen med en gang de blir journalført, med mindre helsepersonellet aktivt unntar opplysningene innsyn med en markering. NN mistenker at hun kan ha blitt smittet med HIV og ber fastlegen sin ved Normland fastlegekontor om en test. NN er veldig opprørt over situasjonen, og de avtaler en ny time for at NN skal få resultatet. Fastlegen får etter en liten stund et positivt prøvesvar. På grunn av NNs reaksjoner under den forrige timen, mener legen det ikke er forsvarlig å gjøre testresultatet tilgjengelig for NN før de har hatt den avtalte timen. Fastlegen venter derfor med å gjøre opplysningene tilgjengelige for innsyn til etter timen. 

NN er svært utålmodig, og dagen før konsultasjonen sjekker hun pasientjournalen sin i innsynsløsningen. Når hun ikke finner testresultatet der, ringer hun fastlegekontoret for å få innsyn i opplysningene. Fastlegekontoret er kjent med at pasienten ikke har krav på innsyn umiddelbart, og de ber NN om å vente til konsultasjonen dagen etter. 

4.3 Retten til innsyn i forskriftsregulerte helseregistre og i forskningsprosjekter

Dette delkapittelet gir en kort beskrivelse av helselovgivingens regler om innsyn i helse- og personopplysninger i forskriftsregulerte helseregistre og i helserelaterte forskningsprosjekter. Beskrivelsene er ikke uttømmende. 

4.3.1 Kort om retten til innsyn i forskriftsregulerte helseregistre

Helseregisterloven gir den registrerte rett til innsyn i egne personopplysninger som behandles i forskriftsregulerte helseregistre.[94] Den registrerte har også rett til innsyn i hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til den registrertes navn eller fødselsnummer. Her er det med andre ord ikke godt nok å liste opp kategorier av mottakere.

De generelle personvernreglene om informasjon og unntak fra innsynretten gjelder ved innsyn i helseregistre. 

Virksomheten må være oppmerksom på at det kan finnes spesielle regler om innsyn i de enkelte forskriftene som regulerer helseregistrene. Disse behandles ikke i denne veilederen. 

4.3.2 Kort om retten til innsyn i helserelaterte forskningsprosjekter

Ifølge helseforskningsloven har forskningsdeltakere rett til innsyn i henhold til personvernlovgivingens regler om innsyn i personopplysninger. 

I tillegg gir helseforskningsloven forskningsdeltakere rett til innsyn i sikkerhetstiltakene for behandlingen av helseopplysningene. Denne innsynsretten gjelder bare så lenge innsynet ikke svekker sikkerheten.[95] 

4.4  Retten til innsyn etter personvernlovgivningen

Når en virksomhet behandler personopplysninger, har den registrerte rett til innsyn i personopplysningene som blir behandlet om henne. Innsynsregelen gjelder for all behandling av personopplysninger i virksomheter, også i behandlingsrettede helseregistre og andre helseregistre. Dette delkapittelet gir en beskrivelse av pliktene virksomheten har når den mottar en innsynsforespørsel fra en registrert. 

4.4.1 Hvilke opplysninger skal den registrerte få innsyn i?

Når virksomheten får en innsynsforespørsel fra en registrert, skal den bekrefte eller avkrefte om den behandler personopplysninger om personen som spør. Hvis virksomheten behandler personopplysninger om henne, så skal det gis innsyn i personopplysningene. 

At registrerte har rett til innsyn i personopplysningene betyr at registrerte har rett til å få se opplysningene. Virksomheten må være oppmerksom på at en beskrivelse eller indirekte gjengivelse av hvilke typer personopplysninger som behandles, ikke er godt nok. Plikten til å gi innsyn gjelder kun selve personopplysningene og ikke fullstendige dokumenter.[96] 

Hvis virksomheten behandler en stor mengde personopplysninger om den registrerte, kan det bli mye informasjon for den registrerte å motta. I tillegg kan det ta lang tid å svare på innsynsforespørselen slik at den registrerte må vente. Virksomheten bør derfor sørge for at den registrerte kan velge om hun vil be om innsyn i spesifikke opplysninger eller om hun vil ha innsyn i alt. Dette kan for eksempel gjøres ved å gi informasjon om dette i personvernerklæringen eller ved å ha et innsynsskjema med avkrysningsmuligheter. Det må understrekes at virksomheten ikke kan avvise en innsynsforespørsel hvis den registrerte ønsker innsyn i alt.[97] 

4.4.2 Virksomhetens plikt til å gi informasjon i forbindelse med innsyn

Når virksomheten mottar en innsynsforespørsel, har virksomheten også en plikt til å gi den registrerte følgende informasjon om behandlingen av personopplysningene:

• Formålet med behandlingen av personopplysningene.
• Kategoriene av personopplysninger som behandles.
• Eventuelle mottakere av personopplysningene eller kategorier av mottakere. 
• Om mottakerne befinner seg utenfor EU/EØS eller er internasjonale organisasjoner.
• Hvor lenge personopplysningene lagres, eller hvilke kriterier virksomheten bruker for å vurdere lagringstid.
• Hvilke rettigheter den registrerte har, herunder: 
  • Retten til retting og sletting av personopplysninger. o Retten til å begrense behandlingen av personopplysningene. o Retten til å protestere mot behandlingen av personopplysningene.
  • Retten til å klage på behandlingen til Datatilsynet.
• Om virksomheten bruker automatiserte avgjørelser, og hvis den gjør det; informasjon om denne prosessen.
• Hvor personopplysningene er hentet fra, hvis de ikke er hentet fra den registrerte selv.

Informasjonsplikten ved innsyn omfatter mye av den samme informasjonen som virksomheten er pålagt å gi ved innsamlingen av personopplysningene. Informasjonspliktene bør derfor ses i sammenheng. Kapittelet om informasjonsplikten ved innsamling av personopplysninger kan derfor komme til nytte ved håndtering av innsynsforespørsler. 

På samme måte som når virksomheten gir informasjon om behandlingen ved innsamling, skal informasjonen som gis ved innsyn være kortfattet, åpen, forståelig og lett tilgjengelig.[98] Virksomheten må også tilpasse informasjonen til den registrerte. Dette innebærer for eksempel at virksomheten må unngå faguttrykk og avansert språk. 

Virksomheter som skal gi innsyn i helse- og personopplysninger i behandlingsrettede helseregistre, andre helseregistre og i forskningsprosjekter, må også sørge for å gi informasjonen som er listet opp i dette punktet. 

4.4.3 Hvilke opplysninger kan den registrerte nektes innsyn i?

Personvernlovgivingen beskriver flere unntak fra innsynsretten, som ikke er nevnt i helselovgivingen. Disse unntakene kan likevel være aktuelle når virksomheter behandler helse- og personopplysninger.[99] Unntakene er imidlertid snevre, og det skal derfor mye til for at de kan benyttes. De viktigste unntakene for virksomheter i helse- og omsorgssektoren er: 

Taushetsplikt 
Retten til innsyn gjelder ikke når en lov eller forskrift sier at opplysningene er underlagt taushetsplikt, og et innsyn vil bryte taushetsplikten.[100] Helselovgivingens regler om taushetsplikt og unntakene fra denne gjelder fullt ut. 

Eksempel

NN er 20 år, og har i lang tid gått til psykolog. Han har utfordringer etter en vanskelig oppvekst med rusavhengige foreldre. Moren til NN vet at han går til psykolog, og hun mistenker at NN har fortalt om hennes rusavhengighet. Hun ber derfor om å få innsyn i egne personopplysninger hos psykologen. På grunn av psykologens taushetsplikt, så kan ikke moren få innsyn i personopplysninger om henne som kan være registrert i NNs journal. Psykologen avslår forespørselen med henvisning til denne regelen. 

Det vil være utilrådelig at den registrerte får opplysningene
Innsynsretten gjelder ikke når det vil være utilrådelig å gi den registrerte opplysningene av hensyn til hennes egen helse eller av hensyn til hennes relasjon til nærstående. Unntaket gjenspeiler et av forvaltningslovens unntak fra partsinnsyn. Dette unntaket kan derfor være mest aktuelt ved saksbehandling i forvaltningen.[101] 

Unntaket har også likhetstrekk med unntaksbestemmelsene i helselovgivingen, se kapittelet Hvilke opplysninger kan pasienten nektes innsyn i? Virksomheter som skal vurdere innsyn i pasientjournal bør bruke unntakene i helselovgivningen.  

Straffbare handlinger
Virksomheten kan nekte å gi innsyn i opplysninger som det er nødvendig å holde hemmelig for å etterforske, avsløre eller rettsforfølge straffbare handlinger.[102] Dette kan være aktuelt både når en virksomhet bistår politiet i en etterforskning, eller hvis virksomheten gjennomfører bevissikring og det er fare for at bevis vil bli skjult.[103]

Intern saksforberedelse
Virksomheten har ikke en plikt til å gi innsyn i personopplysninger som utelukkende blir behandlet for intern saksforberedelse, hvis de må holdes hemmelig for å sikre forsvarlige interne prosesser. Virksomheten må være oppmerksom på at det er en forutsetning at opplysningene ikke er utlevert til andre.[104] Unntaket kan for eksempel være aktuelt hvis virksomheten vurderer å si opp en ansatt, og har påbegynt, men ikke ferdigstilt et oppsigelsesbrev. Hvis den ansatte ber om innsyn i denne perioden, så kan virksomheten unnta oppsigelsesbrevet fra innsyn. 

Eksempel

Normland sykehus oppdager at det over en periode har forsvunnet sterke smertestillende. Sykehuset skjerper derfor rutinene rundt ansattes uthenting av medisiner. Sykehuset har fattet mistanke om hvem som kan ha underslått medisinene. De har planer om å følge opp den ansatte, og å melde saken til Fylkesmannen og politiet. 

Før oppfølgingen starter, mottar sykehuset en innsynsforespørsel fra den mistenkte. Han har forstått at han kan ha blitt avslørt, på grunn av sykehusets skjerpede rutiner. For å unngå at den ansatte skjuler bevis, beslutter sykehuset å ikke gi den ansatte innsyn i opplysningene som er registrert i forbindelse med den planlagte oppfølgingen.

I strid med åpenbare og grunnleggende interesser
Plikten til å gi den registrerte innsyn gjelder ikke hvis innsynet vil være i strid med åpenbare og grunnleggende private eller offentlige interesser. Dette innebærer blant annet at virksomheten ikke skal gi den registrerte innsyn hvis dette vil krenke en annen registrerts personvern.[105] Unntaket kan være aktuelt å bruke når en ansatt har levert et varsel om at en kollega ikke følger virksomhetens rutiner. I et slikt tilfelle, kan ikke den som varselet gjelder få innsyn i opplysningene om hvem som varslet om forholdet. 

Arkivformål i allmennhetens interesse, vitenskapelige og historiske forskningsformål og statistiske formål 
I tillegg kan virksomheten nekte å gi innsyn hvis det er nødvendig å behandle personopplysningene for arkivformål i allmennhetens interesse, vitenskapelige og historiske forskningsformål og statistiske formål. Dette unntaket kan være aktuelt for de forskriftsregulerte helseregistrene og for helserelaterte forskningsprosjekter.

Unntaket gjelder bare så langt det enten vil kreve en uforholdsmessig stor innsats for virksomheten å gi innsyn, eller innsyn vil gjøre det umulig eller i alvorlig grad hindre at målene nås.[106] Ved vurderingen av om innsyn vil være uforholdsmessig, kan virksomheten ta hensyn til ressursbruken ved å måtte håndtere den samlede mengden innsynsforespørsler og potensielle innsynsforespørsler. Unntaket om at innsyn vil gjøre det umulig eller i alvorlig grad hindre at målene nås, er ment for tilfeller hvor andre grunner enn ressursårsaker hindrer at formålet nås.[107] 

Åpenbart grunnløse eller overdrevne krav
Virksomheten kan nekte den registrerte innsyn hvis innsynsforespørselen åpenbart er grunnløs eller overdreven.[108] Dette gjelder særlig hvis den registrerte stiller samme krav gjentatte ganger over en kort tidsperiode.

4.4.4 Hvordan skal innsyn gis?

Det er opp til virksomheten selv å vurdere hvordan innsyn skal gis, men som et minimum må en kopi av personopplysningene gjøres tilgjengelig for den registrerte.[109] Dette kan være kopier av hele dokumenter, men virksomheten kan også kopiere enkeltopplysninger over i et nytt dokument. Virksomheten skal i utgangspunktet utlevere slike kopier gratis, men hvis den registrerte ber om flere kopier, så kan virksomheten likevel be om et rimelig gebyr basert på administrasjonskostnadene.[110] 

Virksomheten må sørge for at den gir innsyn til riktig person.[111] Dette må være basert på en risikovurdering. Innsynet kan gjøres på flere måter, for eksempel ved å etterspørre skriftlige og underskrevne innsynsforespørsler fra den registrerte med kopi av ID, ved fysisk oppmøte eller ved digitale innsynforespørsler der innsender autentiserer seg med bruk av Bank-ID. Virksomheten må også sørge for at den registrerte ikke får opplysninger som går på bekostning av andre personers rett til personvern.[112]

Hvis den registrerte ber om innsyn elektronisk, for eksempel på e-post eller via digitalt skjema, skal kopiene og informasjonen også gis elektronisk. Dette gjelder så lenge den registrerte ikke har bedt om å få innsyn på andre måter.[113] Når innsyn gis elektronisk, bør virksomheten unngå å bruke vanlig e-post. Virksomheten må sørge for sikker overføring, for eksempel gjennom krypteringsløsninger eller andre sikkerhetstiltak.[114] 

Personvernlovgivingen fastsetter at virksomheten bør gi den registrerte tilgang til et sikkert system hvor den registrerte kan få direkte tilgang til personopplysningene sine hvis det er mulig. En slik løsning må ikke gå på bekostning av andres personvern eller sikkerheten i informasjonssystemet.[115] Et eksempel på en slik løsning er Helsenorge.no sin elektroniske innsynstjeneste. Som nevnt ovenfor er det flere hensyn som må vurderes hvis en pasient skal gis slik tilgang til sin pasientjournal.

I forbindelse med anskaffelse av nye systemer bør virksomheten sørge for at systemene legger til rette for å kunne gi innsyn. Virksomheten bør blant annet sørge for at det er enkelt å hente ut opplysninger av systemet. I tilfeller hvor virksomheten ønsker et system som skal gi en pasient direkte innsyn i pasientjournal, bør det også tas hensyn til at systemet skal legge til rette for forhåndsvurderinger av helsepersonell.

5. Retten til retting

5.1 Innledning

Både helselovgivningen og personvernlovgivningen inneholder regler som pålegger virksomheter å rette helse- og personopplysninger i noen situasjoner. Virksomheter kan ha en plikt til å rette helse- og personopplysninger både etter eget initiativ, og etter forespørsel fra den registrerte. Denne veilederen dekker kun situasjoner der den registrerte har bedt om retting.

Den registrertes ønske om retting må ofte veies opp mot behovet for å bevare dokumentasjonen. Bevaring kan være nødvendig for kvalitetssikring og forbedring av helsetjenester, for å dokumentere et krav i en tvist eller for senere forskning. 

Retting av personopplysninger kan i noen tilfeller skje ved at de feilaktige opplysningene fjernes eller gjøres uleselige; dvs.  at de i praksis slettes. Reglene om retting og sletting må derfor ses i sammenheng. Se derfor også kapittelet om Retten til sletting. 

Dette kapittelet gir først en beskrivelse av reglene om retting i behandlingsrettede helseregistre. Deretter gis det en kort beskrivelse av reglene om retting i forskriftsregulerte helseregistre og forskningsprosjekter. Til slutt beskrives reglene om retting i personvernlovgivingen. 

5.2 Retten til retting i behandlingsrettede helseregistre

Pasienten har rett til retting av helse- og personopplysninger i behandlingsrettede helseregistre i enkelte tilfeller.[116] Personvernlovgivningens regler om retting gjelder i tillegg til helselovgivningens regler om retting av helse- og personopplysninger i behandlingsrettede helseregistre. Reglene må derfor sees i sammenheng. Dette delkapittelet gir en beskrivelse av i hvilke tilfeller virksomheten må gjennomføre retting og hvordan rettingen skal gjøres. 

Virksomheten må være oppmerksom på at det er tilleggskrav i personvernlovgivingen som også gjelder for behandlingsrettede helseregistre. Dette er presisert der det er relevant. 

5.2.1 Hvilke opplysninger skal rettes i behandlingsrettet helseregister? 

Virksomheten skal rette uriktige og ufullstendige opplysninger. I tillegg skal virksomheten slette utilbørlige opplysninger som er nedtegnet i behandlingsrettede helseregistre.[117]

Helselovgivningen gir ingen tydelig definisjon av hvilke opplysninger som skal regnes som utilbørlige, men i praksis kan det ofte dreie seg om ubegrunnede påstander som er belastende for den registrerte.

Eksempel

NN har hatt en lang og vanskelig periode som har gått utover helsen hennes. NN drar derfor til legen sin for å få en sykemelding. Under denne timen opplyser NN blant annet at mannen hennes har oppført seg rart overfor henne, og påstår at dette skyldes problemer med rusavhengighet. Legen fører dette inn i journalen hennes. 

Noen dager senere begynner NN å tvile det hun har sagt til legen og hun lurer på hva som egentlig ble ført inn i journalen. Hun ber derfor om innsyn i journalen hvor hun får se at det er ført inn opplysninger om mannens rusavhengighet. NN snakker med mannen sin om det hun har sagt, og forteller at dette har blitt ført inn i journalen. Mannen bruker ikke rusmidler og blir sjokkert over å høre dette. Han føler at det er belastende at disse opplysningene skal være registrert om han. Sammen med NN, krever derfor mannen retting av opplysningene om han i journalen. Legen legger derfor til i journalen at pasienten har opplyst at påstandene ikke var sanne. 

5.2.2 Hvordan skal retting skje i behandlingsrettet helseregister?

I behandlingsrettede helseregistre skal retting skje ved at journalen føres på nytt eller ved at en datert og signert rettelse legges til i journalen.[118] Helse- og personopplysninger som har blitt rettet bør markeres tydelig.[119] 

Retting skal i behandlingsrettet helseregister skal ikke skje ved at en nedtegnelse eller deler av den gjøres uleselig, eller ved erstatning av opplysningene slik at de blir slettet.[120] Dette er begrunnet i behovet for å kunne dokumentere hva som har skjedd for blant annet senere tilsynssaker og erstatningskrav.[121] 

I tilfeller hvor virksomheten retter helse- eller personopplysninger har virksomheten en plikt til å varsle mottakere av opplysningene. Denne plikten følger av personvernlovgivingens regler og er nærmere beskrevet i veilederens kapittel Plikt til å varsle mottakere når opplysninger rettes. 

5.3 Retten til retting i forskriftsregulerte helseregistre og forskningsprosjekter

Denne delen av veilederen gir en kort beskrivelse av helselovgivingens regler om retting av personopplysninger i forskriftsregulerte helseregistre og i helserelaterte forskningsprosjekter. Beskrivelsene er ikke uttømmende. 

Dersom virksomheten retter helse- eller personopplysninger i et forskriftsregulert helseregister eller helserelatert forskningsprosjekt, skal virksomheten varsle eventuelle mottakere av opplysningene. 

5.3.1 Kort om retten til retting i forskriftsregulerte helseregistre

Helseregisterloven gir den registrerte rett til retting av uriktige og ufullstendige personopplysninger som behandles i forskriftsregulerte helseregistre.[122] De generelle personvernreglene om retting og unntakene gjelder for retting i helseregistre. 

Virksomheten må være oppmerksom på at det kan finnes spesielle regler om retting i forskriftene som regulerer de enkelte helseregistrene. Disse behandles ikke i denne veilederen. 

5.3.2 Kort om retten til retting i helserelaterte forskningsprosjekter 

Den registrerte har rett til retting av egne personopplysninger i helserelaterte forskningsprosjekter etter personvernlovgivingens regler. 

Helseforskningsloven presiserer imidlertid at opplysningene skal rettes på en måte som gjør at endringen kan spores. Retting i form av erstatning slik at opplysninger slettes kan bare skje i enkelte tilfeller.[123] Dette er nærmere beskrevet i veilederens kapittel om sletting i helserelaterte forskningsprosjekter. Hvis det ikke er mulig å erstatte opplysningene, kan opplysningene rettes i form av supplering. 

5.4 Retten til retting etter personvernlovgivningen

Den registrerte har en rett til å få rettet uriktige og ufullstendige personopplysninger om seg selv.[124] Dette delkapittelet gir en beskrivelsen av hvilke plikter virksomheten har etter personvernlovgivingen når den registrerte ber om retting. 

5.4.1 Hvilke personopplysninger skal rettes?

Personopplysninger skal rettes hvis de er uriktige eller ufullstendige. Hvis virksomheten for eksempel har oppført feil kontaktinformasjon til en person i de ansattes pårørenderegister, så skal kontaktinformasjonen erstattes med riktig informasjon. 

Hvis den registrerte mener at personopplysningene er uriktige, kan virksomheten kreve at den registrerte sannsynliggjør at opplysningene som skal rettes er uriktige og hva som er korrekt.[125]

Ufullstendige personopplysninger kan forekomme når en arbeidsgivers referat fra en medarbeidersamtale ikke gir uttrykk for begge partenes uttalelser i samtalen. Hvis den ansatte mener at referatet i liten grad belyser hennes ytringer, så bør den ansatte få legge frem sine meninger eller innsigelser. Virksomheten bør oppbevare dette sammen med det opprinnelige referatet.

5.4.2 Unntak fra plikten til å rette uriktige eller ufullstendige personopplysninger

Virksomheten har ikke alltid en plikt til å rette personopplysninger når behandlingen av dem er nødvendig for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål. Virksomheten trenger ikke å rette personopplysninger når rettingen vil gjøre det umulig eller i alvorlig grad hindre at disse formålene kan oppnås. 

Unntaket kan ha betydning for helse- og personopplysninger i forskriftsregulerte helseregistre og helserelaterte forskningsprosjekter. 

5.4.3 Hvordan skal retting av personopplysninger skje?

Det finnes to måter virksomheten kan rette opplysninger på. Retting kan utføres ved at de opprinnelige personopplysningene erstattes med nye opplysninger, eller ved at de opprinnelige personopplysningene bevares og suppleres med nye opplysninger. I det siste tilfellet skal helheten gir et korrekt inntrykk av virkeligheten. Virksomheten må sørge for at de supplerende opplysningene oppbevares eller er synlige på samme sted som de opprinnelige opplysningene.[126]

Virksomheten må vurdere hvilken metode som bør benyttes ut fra behandlingens formål og hva slags opplysninger det er snakk om.[127] Når opplysninger objektivt sett er uriktige, vil virksomheten ofte kunne rette ved å erstatte opplysningene.[128] Dette kan for eksempel være aktuelt hvis en ansatt er oppført med for kort ansiennitet i personalmappen. 

Retting ved supplering bør ofte benyttes når det dreier seg om opplysninger som har et skjønnsmessig preg. Dette kan være beskrivelser av noens subjektive oppfatninger eller vurderinger som er gjennomført.[129] Retting i form av supplering vil for eksempel være mest hensiktsmessig hvis en ansatt mener at arbeidsgiver har brukt ufullstendige opplysninger i en vurdering i lønnsforhandlinger. 

Hvis virksomheten har en rettslig plikt til å behandle personopplysningene bør personopplysningene som hovedregel rettes ved supplering. Ofte vil slike plikter være begrunnet i dokumentasjonsbehov som gjør det nødvendig å beholde personopplysningene selv om de er uriktige. Hvis den registrerte for eksempel ønsker å få rettet personopplysninger som er arkivpliktige er det ikke alltid mulig for virksomheten å erstatte disse slik at de opprinnelige opplysningene slettes. 

5.4.4 Plikt til å varsle mottakere når opplysninger rettes

Når personopplysninger rettes, skal virksomheten varsle tredjeparter som har fått utlevert personopplysninger. Mottakeren må vurdere om også denne har plikt til å rette personopplysningene. Varslingsplikten gjelder ikke når gjennomføring av varslingen vil være en uforholdsmessig anstrengelse eller umulig oppgave for virksomheten.[130]

6. Retten til sletting

6.1 Innledning

Sletting av helse- og personopplysninger er et endelig tiltak som ikke kan omgjøres. Den registrertes ønske om sletting må derfor veies opp mot behovet for å bevare dokumentasjonen. Bevaring kan være nødvendig for kvalitetssikring og forbedring av helsetjenester, for å dokumentere et krav i en tvist eller for senere forskning. 

Virksomheter kan i noen tilfeller ha en plikt til å slette helse- og personopplysninger både etter eget initiativ, eller etter forespørsel fra den registrerte. Denne veilederen dekker kun situasjoner der den registrerte har bedt om sletting.

Virksomhetens plikt til å slette opplysninger, og unntakene fra plikten, er grundig regulert i både helselovgivningen og personvernlovgivningen. Sletteplikten i personvernlovgivingen gjelder ved behandling av helse- og personopplysninger til statistikk, helseanalyser, forskning, kvalitetsforbedring, planlegging, styring og beredskap i helse- og omsorgsforvaltningen og helse- og omsorgstjeneste.[131] Personvernlovgivingens regler om sletting gjelder også for annen behandling av personopplysninger, som for eksempel behandling av ansattes personopplysninger. 

Sletteplikten gjelder ikke for helse- og personopplysninger som er nedtegnet i behandlingsrettede helseregistre i forbindelse med helsehjelp.[132] For sletting av personopplysninger i behandlingsrettede helseregistre, er det gitt egne regler i helselovgivingen. 

Hvis opplysninger ikke kan slettes, vil virksomheten kunne rette opplysninger ved å supplere dem etter reglene om retting. Reglene om retting og sletting må derfor ses i sammenheng. 

Dette kapittelet gir først en beskrivelse av reglene om sletting i behandlingsrettede helseregistre. Deretter gis det en kort beskrivelse av reglene om sletting i forskriftsregulerte helseregistre og forskningsprosjekter. Til slutt beskrives reglene om sletting i personvernlovgivingen.

6.2 Retten til sletting i behandlingsrettede helseregistre

Pasienten har i noen tilfeller rett til å få slettet helse- og personopplysninger i behandlingsrettede helseregistre.[133] Denne rettigheten er imidlertid svært snever.

Virksomheten må være oppmerksom på at personvernlovgivningens regler om sletting ikke gjelder for behandlingsrettede helseregistre. Den registrertes rett til sletting reguleres av egne regler i helselovgivningen.

I tilfeller der virksomheten sletter helse- eller personopplysninger i behandlingsrettet helseregister, skal virksomheten varsle eventuelle mottakere av opplysningene, se kapittelet Plikt til å varsle mottakere når opplysninger slettes.

6.2.1 Vilkår for sletting av helse- og personopplysninger i behandlingsrettede helseregistre

Det er tre vilkår som virksomheten må vurdere hvis den registrerte ber om sletting av helse- og personopplysninger i behandlingsrettede helseregistre. Alle tre må være oppfylt for at opplysningene skal kunne slettes.  

Personopplysningenes art
For å kunne slette helse- og personopplysninger i behandlingsrettede helseregistre må opplysningene enten være

1. feilaktige eller misvisende og føles belastende for den registrerte, eller 
2. åpenbart ikke nødvendig for å gi pasienten helsehjelp

Vilkåret innebærer med andre ord at opplysningene må oppfylle kravene i alternativ en eller to. Etter alternativ 1 må opplysningene som ønskes slettet være feilaktige eller misvisende, samtidig som de er belastende. Etter alternativ 2 må det være åpenbart at opplysningene ikke er nødvendig for å gi pasienten helsehjelp. Slike opplysninger kan for eksempel være informasjon om politisk ståsted. Opplysninger som kan komme til nytte ved senere behandling av pasienten skal ikke slettes. Behovet må imidlertid ikke fremstå som altfor hypotetisk.[134]

Hvis virksomheten mener at opplysningene kan slettes og sletting gjennomføres, må virksomheten vurdere om de resterende opplysninger gir et riktig inntrykk av virkeligheten. Virksomheten bør supplere de resterende opplysningene, hvis de gir et klart misvisende inntrykk av virkeligheten. Er ikke supplering mulig, så bør de resterende opplysningene også slettes.[135]

Ubetenkelig ut fra allmenne hensyn
Sletting må være «ubetenkelig ut fra allmenne hensyn». Dette innebærer at virksomheten må vurdere hensynene bak dokumentasjonsplikten. Et av hensynene bak dokumentasjonsplikten er at tilsynsmyndigheten skal kunne føre kontroll med helseinstitusjonene. Et annet hensyn er at pasienter skal ha mulighet til å fremme erstatningskrav ved skade.[136]  

Eksempel                                                                                                                   

Dr. Norm har en time med en av sine pasienter. Under timen forstår hun det som at pasienten har hatt vedvarende magesmerter. Hun legger derfor dette til grunn for de videre vurderingene og undersøkelsene. 

En stund senere blir Dr. Norm kontaktet av pasienten som har gjort innsyn i journalen sin. Pasienten har sett at det står magesmerter i journalen, men pasienten har egentlig hatt smerter i brystet og mener at dette har blitt kommunisert i timene. Pasienten mener vurderingene knyttet til magesmertene er gjort på feil grunnlag, og ber derfor om å få slettet disse fra journalen.

I dette tilfellet vil det blant annet være viktig å bevare vurderingene som er gjort av hensyn til et eventuelt senere tilsyn. Dr. Norm mener også at det kan være nødvendig å bevare vurderingene av hensyn til pasienten selv hvis pasienten for eksempel ønsker å kreve erstatning siden. Dr. Norm avviser derfor pasienten forespørsel om sletting. Hun legger imidlertid inn notater fra samtalen i journalen. 

Arkivlovgivningen
Videre må sletting ikke være i strid med arkivlovgivningens bestemmelser om kassasjon. Kassasjon betyr sletting eller destruering av informasjon. Arkivlovgivningen inneholder et forbud om å kassere arkivmateriale med mindre det skjer i samsvar med arkivlovgivningens regler eller etter særskilt samtykke fra Riksarkivaren.[137] Forbudet går foran bestemmelser om sletting i andre regelverk. Dette innebærer at alle virksomheter som er underlagt arkivlovgivningens bestemmelser ikke kan slette opplysninger som skal bevares.

Virksomheter i spesialisthelsetjenesten plikter å bevare sine pasientjournaler.[138] Det er gitt detaljerte regler om hva som skal bevares i helsearkivforskriften kapittel 2. 

Kommunale og fylkeskommunale virksomheter plikter å bevare pasient- og journalopplysninger. Pasient- og journalopplysninger er definert som all individbasert dokumentasjon som skapes av kommunale og fylkeskommunale tjenester som yter helsehjelp.[139] 

Det vil i praksis være svært få opplysninger i en pasientjournal som kan slettes uten at det er i strid med arkivlovgivningens kassasjonsforbud. 

6.2.2 Journal ført på feil person

Hvis opplysninger er ført på feil person, skal opplysningene i journalen eller hele journalen slettes. Opplysningene eller journalen skal likevel ikke slettes hvis allmenne hensyn tilsier at journalen bør bevares.[140]

6.3 Retten til sletting i forskriftsregulerte helseregistre og forskningsprosjekter

Dette delkapittelet gir en kort beskrivelse av helselovgivingens regler om sletting i helse- og personopplysninger i forskriftsregulerte helseregistre og i helserelaterte forskningsprosjekter. Beskrivelsene er ikke uttømmende. 

Dersom virksomheten sletter helse- eller personopplysninger i et forskriftsregulert helseregister eller helserelatert forskningsprosjekt, skal virksomheten varsle eventuelle mottakere av opplysningene. 

6.3.1 Kort om retten til sletting i forskriftsregulerte helseregistre

Helseregisterloven gir den registrerte rett til sletting av egne personopplysninger som behandles i forskriftsregulerte helseregistre.[141] En forespørsel om sletting må vurderes etter personvernlovgivingens bestemmelser. Se mer om dette i kapittel Ivaretagelse av rettigheter samt kapittel om Retten til sletting etter personvernlovgivningen.

I forskriftsregulerte helseregistre gjelder det imidlertid noen utvidede plikter knyttet til sletting. Hvis den registrerte opplever at behandlingen føles sterkt belastende, skal virksomheten slette opplysningene så lenge det ikke er sterke allmenne hensyn som tilser at de må bevares. Hvis ikke sletting kan gjennomføres, så bør virksomheten vurdere om opplysningene kan sperres.[142] Det vil si at tilgangen begrenses til et fåtall av personer. 

I tillegg kan det finnes særregler for sletting i forskriftene regulerer de ulike helseregistrene. Disse behandles ikke i denne veilederen. 

6.3.2 Kort om retten til sletting i helserelaterte forskningsprosjekter

I helserelaterte forskningsprosjekter kan helse- og personopplysninger slettes i enkelte tilfeller. Ifølge helseforskningsloven kan uriktige og foreldede personopplysninger bare slettes hvis opplysningene kan få direkte innvirkning på den som krever det. I tillegg er det et krav at slettingen ikke får avgjørende innvirkning på forskningsresultatenes validitet eller representativitet.[143] 

6.4 Retten til sletting etter personvernlovgivningen

Sletting av personopplysninger er et endelig tiltak som ikke kan omgjøres. Virksomhetens plikt til å slette personopplysninger, og unntakene fra plikten, er derfor grundig regulert i personvernlovgivningen. Dette delkapittelet gir en beskrivelse av de tilfellene hvor virksomheten må slette opplysninger, unntakene og hvordan sletting skal gjennomføres. 

Reglene som beskrives i dette delkapittelet ikke gjelder for helse- og personopplysninger i behandlingsrettede helseregistre.  

6.4.1 Hvilke personopplysninger skal slettes?

Personvernforordningen definerer ulike situasjoner der virksomheten har en plikt til å slette personopplysninger. De mest aktuelle tilfellene for helse- og omsorgssektoren er:

Personopplysningene er ikke lenger nødvendig for formålet
Personopplysninger skal slettes hvis personopplysningene ikke lenger er nødvendig for formålene opplysningene ble samlet inn eller behandlet for. 

Behandlingen av personopplysninger er basert på samtykke og samtykket trekkes tilbake 
Personopplysninger skal også slettes hvis virksomheten har brukt samtykke som rettslig grunnlag for behandling av personopplysninger, og den registrerte trekker tilbake samtykket. 

Der virksomheten har en rettslig plikt til oppbevaring, og virksomheten har glemt å definere dette som et behandlingsgrunnlag, vil virksomheten likevel ikke være forpliktet til å slette personopplysningene.

Personopplysningene har blitt behandlet ulovlig 
Virksomheten er forpliktet til å slette personopplysninger som har blitt behandlet ulovlig. Behandling av personopplysninger er først og fremst ulovlig hvis virksomheten ikke har et rettslig behandlingsgrunnlag, men behandlingen kan også være ulovlig hvis den strider mot andre regler i personvernforordningen.[144] 

 Personopplysningene må slettes for å oppfylle en rettslig forpliktelse  Når lov eller forskrift pålegger virksomheten å slette personopplysninger, så har virksomheten en plikt til å gjennomføre dette.[145] 

6.4.2 Hvilke personopplysninger er unntatt fra sletteplikten?

Personvernforordningen inneholder flere unntak fra plikten til å slette personopplysninger som er beskrevet over. Virksomheter i helse- og omsorgssektoren bør kjenne til at det blant annet gjøres unntak for følgende situasjoner: 

Lagring er nødvendig for å oppfylle en rettslig forpliktelse, for å utføre en oppgave i allmennhetens interesse eller for å utøve offentlig myndighet

Virksomheten er ikke forpliktet til å slette personopplysninger når personopplysningene oppbevares for å oppfylle en rettslig plikt som virksomheten er underlagt. Med rettslig plikt menes plikt i lov eller forskrift.[146] 

Et eksempel kan være virksomhetens plikter til å bevare pasientjournaler etter pasientjournalloven og arkivlovgivningen eller oppbevaring av regnskapsopplysninger etter regnskapslovgivningen. Siden bevaringspliktene er rettslige plikter, så gjelder ikke personvernforordningens regler om sletting etter ønske fra den registrerte. Sletting i behandlingsrettede helseregistre er underlagt egne regler i helselovgivningen. Se mer om dette kapittelet om retten til sletting i behandlingsrettede helseregistre

Lagring er nødvendig av hensyn til allmennhetens interesse på området folkehelse
Når lagring er nødvendig av hensyn til allmennhetens interesse på området folkehelse, er ikke virksomheten forpliktet til å slette personopplysningene.[147] Unntaket gjelder for eksempel når behandlingen av personopplysninger er nødvendig for å bekjempe en epidemi eller pandemi. 

Lagring er nødvendig for arkivering i allmenhetens interesse, vitenskapelige eller historiske forskningsformål eller statistiske formål 
Virksomheten skal ikke slette personopplysninger hvis de er nødvendig for arkivformål i allmenhetens interesse, vitenskapelige eller historiske forskningsformål eller statistiske formål. Unntaket gjelder så lenge sletting i alvorlig grad vil hindre at formålene nås.[148] Dette unntaket kan være aktuelt for helse- og personopplysninger som behandles i forskriftsregulerte helseregistre og helserelaterte forskningsprosjekter. 

Lagring er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav
Virksomheten har heller ikke en plikt til å slette personopplysninger som det er nødvendig å bevare for å fastsette, gjøre gjeldende eller forsvare et rettskrav.[149] 

6.4.3 Hvordan skal sletting av personopplysninger skje?

Sletting innebærer at personopplysningene destrueres eller anonymiseres på en måte som ikke kan reverseres. Å gjøre personopplysninger mindre tilgjengelige, for eksempel gjennom sperring, regnes ikke som sletting. Hvis virksomheten ikke har et system som legger opp til at den kan slette personopplysninger i systemet på egenhånd, må virksomheten pålegge systemleverandøren plikter som gjør at virksomheten kan håndtere registrertes forespørsler.

Sletting av personopplysninger kan være utfordrende for virksomheter. Virksomheter er avhengig av at systemene som brukes har en slettefunksjon, og det kan være tidkrevende og kostbart å opprette en slettefunksjon hvis systemer mangler dette. I noen tilfeller kan oppretting av en slettefunksjon være praktisk umulig, slik at virksomhetens eneste alternativ vil være å anskaffe nye systemer. En annen utfordring er sletting av personopplysninger i back up-filer. Det kan være utfordrende både å identifisere alle back up-versjoner av de aktuelle filene, samt å sikre systemstøtte.

Virksomheter som mangler støtte og funksjon som gjør det mulig å ivareta sletteplikter, bør vise at virksomheten har et bevisst forhold til dette. Virksomheten bør dokumentere hvilke vurderinger og eventuelle risikodempende tiltak som virksomheten har iverksatt. Dette kan være skjuling, merking og begrensning av tilgang til personopplysninger som skulle vært slettet. Slike tiltak kan bedre personvernet, selv om de ikke er tilstrekkelige for å oppfylle en sletteplikt.

Når virksomheter behandler opplysninger for flere formål vil man f.eks. kunne flytte opplysningene til et nytt system og/eller begrense tilgangen slik at de kun kan behandles i tråd med behandlingsgrunnlaget og formålet som fortsatt er tilstede.

6.4.4 Plikt til å varsle mottakere når opplysninger slettes

Når personopplysninger slettes, skal virksomheten varsle tredjeparter som har fått utlevert personopplysninger. Mottakeren må vurdere om også denne har plikt til å slette personopplysningene. Varslingsplikten gjelder ikke når gjennomføring av varslingen vil være en uforholdsmessig anstrengelse eller umulig oppgave for virksomheten.[150]

7. Retten til å kreve begrensning av behandling av personopplysninger

7.1 Innledning

Personvernlovgivingen gir den registrerte en rett til å få begrenset behandlingen av personopplysninger i enkelte tilfeller. Begrensning av behandlingen innebærer at virksomheten skal oppbevare personopplysningene uten å bruke dem til noe.[151] Rettigheten gjelder som et midlertidig alternativ til sletting i bestemte situasjoner.[152] Dette kapittelet gir en oversikt over når virksomheten kan ha plikt til å begrense behandlingen av personopplysninger. 

En rett til å kreve begrensning fantes ikke i verken norsk rett eller EØS-retten før personvernforordningen trådte i kraft. Det finnes foreløpig få praktiske eksempler på hvordan retten til begrensning av behandling skal praktiseres. Det forventes derfor at det kan komme avklaringer knyttet til rettighetens innhold og anvendelsesområde gjennom praksis fremover. 

Retten til å kreve begrensning av behandling fremstår som lite aktuell ved behandling av helseopplysninger i forbindelse med helsehjelp. Dette kommer av at retten til å få begrenset behandlingen kun gjelder i utvalgte situasjoner, og at disse situasjonene sjeldent vil oppstå i forbindelse med behandling av personopplysninger for helsehjelp. Rettigheten vil også få begrenset betydning for behandlingen av personopplysninger i forskriftsregulerte helseregistre og helserelaterte forskningsprosjekter. I slike tilfeller finnes det aktuelle unntak for behandling som skjer for arkivformål, forskningsformål og statistikkformål.[153] Rettigheten kan være mer aktuell ved annen behandling av personopplysninger, som for eksempel personaladministrasjon. 

Retten til å kreve begrensning av behandling av personopplysninger har noen likhetstrekk med helselovgivingens rett til å motsette seg behandling av helseopplysninger i behandlingsrettede helseregistre. Den sistnevnte rettigheten gir blant annet pasienter en mulighet til å begrense utlevering og tilgjengeliggjøring av helseopplysninger i

pasientjournaler. Rettighetene har til felles at det overordnede formålet er å gi den registrerte bedre kontroll over hvordan personopplysningene behandles.[154] Rettighetenes innhold og virkninger har likevel forskjeller, og de må derfor ikke blandes sammen.  

7.2 I hvilke tilfeller skal behandlingen av personopplysninger begrenses?

I noen tilfeller må virksomheten begrense behandlingen av personopplysninger mens den vurderer om personopplysningene fortsatt kan behandles. Dette gjelder hvis: 

• den registrerte mener at personopplysningene er uriktige 
• den registrerte protesterer mot behandlingen

Retten til begrensning av behandling må ses i sammenheng med retten til retting og retten til å protestere. Retten til å protestere gjelder ikke ved behandling av helseopplysninger i behandlingsrettede helseregistre.[155] 

Det er strenge regler for hvordan retting skal skje i behandlingsrettede helseregistre.[156] Disse reglene skal blant annet ivareta hensynet til forsvarlig helsehjelp, som er et viktig formål i helselovgivningen. Det er foreløpig ikke helt klart hvordan retten til å kreve begrensning av behandling av personopplysninger skal ivaretas i behandlingsrettede helseregistre. Det er likevel klart at hensynet til forsvarlig helsehjelp vil kunne begrense den registrertes rett til å kreve begrensning av behandlingen.

Retten til begrensning av behandling kan være mer aktuell i forbindelse med personaladministrasjon. Hvis en ansatt mener at personopplysninger er uriktige, bør opplysninger begrenses for å unngå at virksomheten tar avgjørelser eller gjør vurderinger basert på uriktige opplysninger. 

Eksempel

Norm Normesen er ansatt som sykepleier ved Normland sykehus. En dag blir hun kalt inn til et møte der personalansvarlig forteller at de har mottatt en skriftlig klage på hennes oppførsel fra en pasient. Pasienten skriver at Norm Normesen var uforskammet og fremsto som ruset da hun tok blodprøver av pasienten i høstferien. Klagen oppbevares i Norm Normesens personalmappe i sykehusets HR-system.

Norm Normesen uttrykker at hun ikke kjenner seg igjen i hendelsen, og opplyser at hun dessuten hadde fri i høstferien. Hun spør personalansvarlig om det er mulig at hun har blitt forvekslet med tilkallingsvikaren Norm Normesson.

Personalansvarlig tar dette videre, og Normland sykehus følger ikke opp saken før det er avklart med pasienten hvem saken gjaldt. I mellomtiden sperres den skriftlige klagen i Norm Normesens personalmappe.

Behandlingen av personopplysninger må også begrenses i noen tilfeller hvor opplysningene i utgangspunktet skal slettes, men hvor den registrerte ikke ønsker at de skal slettes. Dette gjelder når:

• Personopplysningene er behandlet ulovlig, men den registrerte motsetter seg sletting
• Virksomheten ikke lenger har et behov for personopplysningene, men den registrerte trenger dem i forbindelse med et rettskrav

Disse situasjonene har liten praktisk betydning for behandlingen av helse- og personopplysninger i behandlingsrettede helseregistre, der sletting sjeldent forekommer.

Bruk av retten til å kreve begrensning kan være mer aktuell hvis en ansatt tror at vedkommende fikk for lav lønn i en periode som ligger litt tilbake i tid. Når det er behov for tilgang til timelistene for å regne på dette og vurdere om den ansatte skal kreve etterbetaling fra arbeidsgiver, kan den ansatte be arbeidsgiver om å bevare timelistene også etter at opplysningene vanligvis ville blitt slettet.  

8. Retten til dataportabilitet

Personvernlovgivningen gir den registrerte en rett til dataportabilitet i enkelte tilfeller. Formålet med retten til dataportabilitet er at den registrerte enkelt skal kunne ta med seg personopplysningene sine fra en virksomhet til en annen. Rettighetens formål er blant annet å sikre at registrerte kan bytte tjenesteleverandører. For eksempel vil retten til dataportabilitet være sentral der en ønsker å ta med seg opplysninger om sin treningshistorikk fra en treningsapp til en annen. 

Retten til dataportabilitet gjelder ikke for behandling av helseopplysninger i behandlingsrettede helseregistre og forskriftsregulerte helseregistre. Utlevering fra disse er regulert i helselovgivningen. Registrerte kan kun bruke denne rettigheten når behandlingen er basert på den registrertes samtykke eller oppfyllelse av en avtale. I tillegg gjelder rettigheten kun for opplysninger som den registrerte selv har gitt til virksomheten.[157] Eventuelle vurderinger og analyser som virksomheten har gjort basert på de innsamlede opplysningene, er ikke omfattet.[158]  

Reglene om dataportabilitet gir den registrerte en rett til å få utlevert personopplysningene sine i et maskinlesbart filformat som det er vanlig å bruke.[159] Opplysningene skal kunne gjenbrukes på tvers av systemer og tjenester. Den registrerte kan også kreve at personopplysningene overføres direkte til en annen virksomhet.[160]

Rettigheten kan få betydning for helserelaterte forskningsprosjekter som baserer seg på den registrertes samtykke. Hvis en registrert deltar i et forskningsprosjekt der hun jevnlig fyller ut spørreskjemaer, kan hun kreve dataportabilitet av opplysningene hun har fylt inn i skjemaene. Hun kan imidlertid ikke kreve å få overført analyser og vurderinger som forskningsprosjektet har brukt opplysningene i.

Dataportabilitet kan være aktuelt i arbeidsforhold, men hvilke opplysninger den ansatte kan kreve å få utlevert er ikke definert i forordningen. Dette må avklares gjennom konkrete vurderinger og praksis.[161]

Siden virksomhetens plikt til å sørge for dataportabilitet har begrenset betydning for virksomheter i helse- og omsorgssektoren, er den ikke ytterligere beskrevet i denne veilederen. 

9. Retten til å protestere mot behandling av personopplysninger

Retten til å protestere innebærer at den registrerte har en rett til å få stoppet behandlingen av egne personopplysninger i enkelte tilfeller. Retten til å protestere skal beskytte den registrertes interesser i tilfeller hvor personopplysningene behandles uten samtykke, og hvor behandlingen ikke er nødvendig for å oppfylle en rettslig plikt eller avtale.[162] Rettigheten er særlig aktuell når personopplysninger behandles i forbindelse med direkte markedsføring.[163] 

Rettigheten gjelder ikke for behandling av helseopplysninger i behandlingsrettede helseregistre. Helselovgivningen inneholder imidlertid en egen rett til å motsette seg behandling ev helseopplysninger i behandlingsrettede helseregistre. 

Retten til å protestere gjelder når behandlingen av personopplysninger er basert på et av følgende behandlingsgrunnlag:

• Behandling av personopplysninger er nødvendig for å oppfylle en oppgave i allmennhetens interesse eller for å utøve offentlig myndighet
• Behandling av personopplysninger er nødvendig av hensyn til en berettiget interesse[164] 

Hvis den registrerte protesterer i disse tilfellene og virksomheten ikke har tungtveiende grunner for å beholde opplysningene, skal de slettes. Virksomheten kan likevel beholde opplysninger som den trenger i forbindelse med et rettskrav.[165] 

Retten til å protestere får i praksis liten betydning for helse- og personopplysninger som behandles i forskriftsregulerte helseregistre uten samtykke. I disse tilfellene kan det finnes tungtveiende grunner for å beholde opplysningene som overgår den registrertes interesser. Helseregisterloven forutsetter likevel at den registrerte skal ha rett til å motsette seg behandling i slike registre.[166]

Retten til å protestere gjelder ikke når helse- og personopplysninger behandles for formål knyttet til vitenskapelig eller historisk forskning eller for statiske formål, når det er nødvendig for å utføre en oppgave i allmennhetens interesse. Rettigheten gjelder derfor ikke for helserelaterte forskningsprosjekter som baserer seg på dette behandlingsgrunnlaget.[167]

Siden virksomheter i helse- og omsorgssektoren sjelden må ta en protest fra den registrerte til følge, beskrives den ikke nærmere i denne veilederen. 

10. Retten til å motsette seg behandling av helseopplysninger i behandlingsrettet helseregister

10.1 Innledning

Helselovgivingen inneholder regler som gir pasienten en rett til å motsette seg deling av helseopplysninger i behandlingsrettede helseregistre.[168] Rettigheten omtales ofte som en rett til å "sperre journalen". 

For å gjøre retten reell er det viktig at pasienter får informasjon om at de har en slik rett og hvordan de kan utøve den. Virksomheten må derfor gi informasjon om retten til å motsette seg behandling av helseopplysninger.[169] 

Virksomheter som behandler helse- og personopplysninger i forskriftsregulerte helseregistre, må være oppmerksomme på at det finnes egne regler om den registrertes rett til å motsette seg behandling av helseopplysninger i slike registre. Rettigheten gjelder der registeret skal behandle navn, fødselsnummer og andre direkte personidentifiserende kjennetegn uten den registrertes samtykke.[170] I slike tilfeller kan dette være nærmere regulert i registrenes forskrift og disse reglene behandles ikke i denne veilederen. 

10.2 Hva slags behandling kan pasienten motsette seg?

Pasientens rett til å motsette seg behandling av helseopplysninger gjelder kun for enkelte behandlinger av personopplysninger. 

Pasienten gis rett til å sperre enkelte opplysninger, og til å sperre hele eller deler av journalen mot at enkelte helsepersonell eller grupper av helsepersonell gis innsyn.

10.2.1 Tilgjengeliggjøring av helseopplysninger

Utlevering og tilgjengeliggjøring av relevante og nødvendige helseopplysninger mellom helsepersonell er en viktig forutsetning for å gi pasienten forsvarlig helsehjelp. Det er derfor i utgangspunktet ikke nødvendig å innhente samtykke fra pasienten før opplysninger tilgjengeliggjøres for dette formålet. Pasienten har likevel rett til å motsette seg slik tilgjengeliggjøring.[171] Opplysninger skal heller ikke tilgjengeliggjøres hvis det er grunn til å tro at pasienten vil ønske å motsette seg slik behandling. Er virksomheten i tvil, så bør den forhøre seg med pasienten før tilgjengeliggjøringen.[172]

Eksempel

NN har bipolar lidelse, og tilstanden har vært stabil de seneste årene. Sykdommen har medført store påkjenninger for NN tidligere i livet. I forbindelse med flytting, så bytter NN fastlege. Det viser seg at NN og den nye fastlegen kommuniserer dårlig, og NN opplever at fastlegen har svært lite forståelse for hennes sykdomsbilde. 

NN går etter hvert inn i en kraftig depresjon, og hun oppsøker legevakten for å få hjelp. På legevakten forteller NN om forholdet til fastlegen, og hun nevner at hun planlegger å bytte fastlege. Legevakten sender vanligvis epikrise til pasientens fastlege etter slike besøk. På bakgrunn av opplysningene NN har gitt, mener legevakten at det er sannsynlig at NN vil motsette seg dette. De informerer derfor NN om praksisen og hennes rettigheter. Dette var ukjent for NN, og hun ber om at epikrisen ikke oversendes til fastlegen. 

Selv om pasienten motsetter seg behandlingen, kan opplysninger tilgjengeliggjøres hvis det finnes tungtveiende grunner for at det.[173] Slike tungtveiende grunner kan være at det er nødvendig for å hindre fare for liv eller alvorlig helseskade. Det er helsepersonellet som er ansvarlig for helsehjelpen som må vurdere om omstendighetene som taler for tilgjengeliggjøringen er tungtveiende nok.[174] 

Virksomheten må logge all tilgang til opplysningene, og utføre kontroller av tilganger. Dette skal blant annet bidra til å sikre at pasientens ønsker respekteres. Hvis det viser seg at noen uberettiget har fått tilgang til opplysninger de ikke skulle hatt, må pasienten varsles om det.[175]  Pasienten har rett til innsyn i denne loggen etter reglene om innsynsrett. 

10.2.2 Automatisk registrering av egenandeler

Pasienten kan motsette seg at opplysninger om betalte egenandeler i tilknytning til vedtak om frikort og refusjon registreres automatisk.[176] 

10.2.3 Behandling av helseopplysninger i Nasjonal kjernejournal

Pasienten kan motsette seg at helseopplysninger registreres, tilgjengeliggjøres eller behandles på andre måter i nasjonal kjernejournal.[177] Retten til å motsette seg behandling i kjernejournal er derfor videre enn retten til å motsette seg behandling i andre behandlingsrettede helseregistre. Hvis den registrerte motsetter seg behandling i kjernejournalen etter at opplysninger har blitt registrert, må opplysningene slettes fra kjernejournalen.[178]

11. Rettigheter ved automatiserte avgjørelser

11.1 Innledning

Teknologiutviklingen øker stadig muligheter for automatisering, herunder automatisering av avgjørelser. Automatisering har mange fordeler, men kan samtidig utgjøre en risiko for uriktig og uforsvarlig behandling av personopplysninger. Det kan for eksempel være utfordrende å identifisere begrunnelsen for en avgjørelse som er tatt ved bruk av kunstig intelligens. For å imøtekomme risikoene dette utgjør for personvernet, har personvernlovgivingen strenge regler for automatiserte avgjørelser. 

Automatiserte avgjørelser er foreløpig ikke veldig vanlig i helse- og omsorgssektoren. Det fines eksempler på at automatisering brukes ved administrasjon av helsehjelp, herunder automatisk registrering av egenandeler og utsteding av frikort. Det utvikles også stadig ny teknologi som gjør automatisering mer aktuelt ved ytelsen av selve helsehjelpen. Kunstig intelligens kan for eksempel brukes til å analysere pasientens målinger og prøvesvar, for diagnostisering, identifisering av risikoer og identifisering av behov for oppfølging. 

Denne veilederen gir en oversikt over reglene om automatiserte avgjørelser. 

11.2 Forbud mot automatiserte avgjørelser

Det er i utgangspunktet ikke lov til å ta avgjørelser om den registrerte (herunder profilering) gjennom helautomatisert behandling.[179] At avgjørelsene er helautomatiske betyr at behandlingen av personopplysninger skjer uten at mennesker har vært involvert i prosessen. En viss grad av menneskelig involvering eller inngripen utelukker likevel ikke at behandlingen regnes som helautomatisert.[180] 

Reglene nevner spesielt automatiserte avgjørelser som innebærer profilering. Profilering er å bruke personopplysninger for å vurdere visse personlige aspekter ved den registrerte. Dette er særlige aktuelt der personopplysninger brukes for å analysere eller forutsi egenskaper, som den registrertes arbeidsprestasjoner og helse.[181] Et eksempel på profilering kan være der et kredittopplysningsbyrå automatisk kategoriserer skyldneres låneevne på grunnlag av opplysninger om inntekt, formue, alder og bosted. 

Forbudet mot automatiserte avgjørelser gjelder når avgjørelsen har rettsvirkning for den registrerte, eller når virkningen har en tilsvarende betydning for registrerte. At avgjørelsen må ha rettsvirkning for den registrerte betyr at den må påvirke den registrertes rettigheter eller plikter.[182] Videre vil også forbudet gjelde der avgjørelsen i tilsvarende og betydelig grad har betydning for den registrerte. Det er uklart hvor grensen går, men avgjørelser som påvirker noens tilgang på helsetjenester vil mest sannsynlig være omfattet.[183] 

11.3 Unntak fra forbudet om automatiserte avgjørelser

11.3.1 Generelle unntak 

Det finnes unntak fra det generelle forbudet om å benytte automatiserte avgjørelser.

Virksomheten kan ta slike avgjørelser hvis behandlingen er:[184]

• nødvendig for å inngå eller oppfylle en avtale
• tillatt i henhold til lov eller forskrift som også fastsetter egnede tiltak for å verne den registrerte
• basert på den registrertes samtykke 

Hvis behandlingen baseres på avtale eller samtykke er virksomheten forpliktet til å iverksette og gjennomføre tiltak for å verne om den registrertes personvern. Virksomhetens tiltak skal minst gi den registrerte en rett til å få et menneske til å gå gjennom avgjørelsen, en rett til å uttrykke sine synspunkter og til å bestride avgjørelsen.[185] 

11.3.2 Tilleggskrav ved behandling av særlige kategorier av personopplysninger

Unntakene som nevnt i forrige punkt er ikke tilstrekkelig i tilfeller hvor virksomheter ønsker å ta automatiserte avgjørelser basert på for eksempel helseopplysninger. I slike tilfeller kan virksomheten kun benytte automatiserte avgjørelser hvis den registrerte har gitt sitt uttrykkelig samtykke til det eller hvis det er nødvendig av hensyn til viktige allmenne interesser.[186] 

For å kunne benytte seg av adgangen til å behandle helseopplysninger basert på viktige allmenne interesser må de allmenne interessene være forankret i rettsregler som er forholdsmessige til formålet med behandlingen. Rettsreglene må også sikre egnede tiltak for å verne den om registrertes personvern.[187] Adgangen er derfor nokså snever. 

Virksomheten må sørge for å iverksette og gjennomføre tiltak for å verne om den registrertes personvern uavhengig av om behandlingen baseres på samtykke eller allmenne interesser. Slike tiltak kan være at den registrerte gis en rett til å få et menneske til å gå gjennom avgjørelsen, at den registrerte skal kunne komme med sine synspunkter og kunne bestride avgjørelsen. Virksomheten kan også innføre tiltak som for eksempel jevnlig kontroll av systemet for å sørge for at det fungerer som det skal, eller benytte seg av pseudonymisering og anonymisering. 

I tilfeller hvor virksomheten tar automatiserte avgjørelser basert på helseopplysninger, kan det være nødvendig å gi den registrerte informasjon om disse tiltakene. 

12. Innebygget personvern

Virksomheten skal sørge for innebygd personvern i systemer som brukes til behandling av personopplysninger.[188] Virksomheten må ta hensyn personvern når den velger system og leverandør av slike systemer.[189] Virksomheten må for eksempel sørge for at systemer den anskaffer og/eller utvikler har funksjonalitet for innsyn, retting, sletting og tiltak for dataminimering i tråd med regelverket.  

Systemer som brukes i helsesektoren kan være underlagt krav fra både helselovgivningen og personvernlovgivningen. For eksempel må behandlingsrettede helseregistre utformes slik at de understøtter pasientforløpet under helsehjelpen, og slik at krav som

helsepersonelloven og pasientjournalloven retter mot virksomhetene og helsepersonell kan ivaretas. Blant annet må systemet være egnet til å ivareta eller understøtte helsepersonellets taushetsplikt, pasientens rett til informasjon og innsyn, helsepersonellets dokumentasjonsplikt og kravene til informasjonssikkerhet og internkontroll.[190]

Når systemer brukes til behandling av personopplysninger, stiller personvernforordningen krav til innebygd personvern og personvern som standardinnstilling. Disse kravene gjelder for virksomheter i helsesektoren på lik linje som andre virksomheter, og kravet retter seg mot både behandlingsrettede helseregistre, andre helseregistre og systemer som benyttes i forskning.[191]

I praksis innebærer innebygd personvern at personvern må hensyntas både ved utvikling og drift av systemer. Funksjoner som bidrar til å bedre personvernet skal etableres i den grad det er mulig. 

Systemer skal utformes slik at de registrertes rettigheter kan ivaretas. De registrertes tilgang til å få håndhevet sine rettigheter bør forenkles i den grad det er mulig. Et eksempel på hvordan dette kan gjøres er automatiske innsynsløsninger der en registrert kan logge inn og få direkte tilgang til opplysninger som oppbevares om vedkommende.[192] 

I følgende eksempel, illustreres praktiske konsekvenser av kravet til innebygd personvern for å ivareta de registrertes rettigheter:

Eksempel

Normland sykehus skal anskaffe et nytt kvalitetssystem, som gjør det lettere å drive med kvalitetsarbeid. Sykehuset må ha ekstern bistand til utviklingen, og oppdraget legges ut som en anbudskonkurranse.  

For å ivareta kravet til innebygd personvern, oppstiller sykehuset blant annet følgende krav i kravspesifikasjonen:

• Det skal tas hensyn til personvern og sikkerhet gjennom hele utviklingsprosessen. Personvernet og sikkerhet skal hensyntas både under design, koding og test av systemet.
• Sluttproduktet skal utformes slik at sykehuset gjøres i stand til å ivareta sine plikter etter personvernlovgivningen ved drift og bruk av systemet. Systemet skal oppfylle personvernprinsippene, og det skal ha funksjoner som gjør at sykehuset på effektivt vis kan ivareta de registrertes rettigheter. Sikkerheten i systemet skal være tilpasset det konkrete risikobildet.
• Hvis det er mulig skal det legges til rette for innsynsportaler der pasienter kan få innsyn i personopplysninger sykehuset behandler om dem.
• Systemet skal ha de mest personvernvennlige innstillingene som standardinnstilling.
• Systemet skal ha risikodempende tiltak som er tilpasset det konkrete risikobildet.
• De ansatte som utfører oppdraget, skal være godt kjent med kravene i personvernlovgivningen.
• Leverandøren skal bistå sykehuset i arbeidet med risikovurderinger, personvernkonsekvensvurderinger, implementering av styringssystem for personvern og sikkerhet i systemet, samt tilpassing av rutiner for hendelseshåndtering.
• Leverandøren skal bistå sykehuset med sikkerhetstesting når systemet tas i bruk.

13. Flytskjemaer over rettigheter

• Retten til informasjon
• Retten til innsyn
• Retten til retting
• Retten til sletting

Fotnoter