N ORSK L OVTIDEND

(1)

N ^ORSK L ^OVTIDEND

Avd. I Lover og sentrale forskrifter mv.

Utgitt i henhold til lov 19. juni 1969 nr. 53.

Kunngjort 15. juni 2018 kl. 15.40 PDF-versjon 20. juni 2018

15.06.2018 nr. 876

Forskrift om behandling av personopplysninger

Hjemmel: Fastsatt ved kgl.res.15. juni 2018 med hjemmel i lov 13. august 1915 nr. 5 om domstolene (domstolloven) § 197a tredje ledd, lov 13. juni 1975 nr. 50 om svangerskapsavbrudd § 12, lov 8. juni 1984 nr. 58 om gjeldsforhandling og konkurs (konkursloven) § 156 fjerde ledd, lov 2. juli 1999 nr. 63 om pasient- og brukerrettigheter (pasient- og brukerrettighetsloven) § 5-1 sjette ledd, lov 2. juli 1999 nr. 64 om helsepersonell m.v. (helsepersonelloven) § 40 tredje ledd, lov 2. juli 2004 nr. 64 om ordning med lokaler for injeksjon av narkotika (sprøyteromsloven) § 8, lov 19. mai 2006 nr. 16 om rett til innsyn i dokument i offentleg verksemd (offentleglova) § 10 tredje ledd, lov 19. juni 2009 nr. 103 om tjenestevirksomhet (tjenesteloven) § 27, lov 20. juni 2014 nr. 42 om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) § 10, § 11, § 12, § 13, § 14 annet ledd, § 18 tredje ledd, § 22 annet ledd, § 23 tredje ledd og § 25 tredje ledd og lov 20. juni 2014 nr. 43 om helseregistre og behandling av helseopplysninger (helseregisterloven) § 3 fjerde ledd, § 8, § 9, § 11 første ledd, jf. annet ledd, § 12 fjerde ledd, § 13 annet ledd, § 19 første ledd, § 21 annet ledd, § 22 annet ledd og § 24 fjerde ledd og lov 15. juni 2018 nr. 38 om behandling av

personopplysninger (personopplysningsloven) § 4 fjerde ledd, § 13 og § 22 sjette ledd. Fremmet av Justis- og beredskapsdepartementet.

EØS-henvisninger: EØS-avtalen vedlegg XI nr. 5e (forordning (EU) 2016/679).

§ 1. Geografisk virkeområde

Personvernforordningen og personopplysningsloven med forskrift gjelder for Jan Mayen.

§ 2. Kommisjonens beslutninger om beskyttelsesnivået i tredjestater og internasjonale organisasjoner og om standard personvernbestemmelser

Kommisjonens beslutninger etter personvernforordningen artikkel 45 nr. 3 og 5 (beskyttelsesnivået i tredjestater og internasjonale organisasjoner) og artikkel 46 nr. 2 bokstav c og d (standard

personvernbestemmelser) gjelder i Norge når de er innlemmet i EØS-avtalen.

Er en beslutning som nevnt i første ledd ikke innlemmet i EØS-avtalen når den begynner å gjelde i EUs medlemsstater, gjelder beslutningen fra samme tidspunkt også i Norge, med mindre Norge beslutter at den ikke skal gjelde i Norge før den er innlemmet i EØS-avtalen.

§ 3. Personvernnemndas sekretariat

Personvernnemnda skal ha et sekretariat som tilrettelegger for nemndas arbeid og forbereder saker for behandling i nemnda.

§ 4. Personvernnemndas saksbehandling

Personvernnemnda er beslutningsdyktig når minst fem av nemndas medlemmer eller deres varamedlemmer deltar.

(2)

Personvernnemnda treffer vedtak med alminnelig flertall. Ved stemmelikhet har nemndas leder eller dennes varamedlem dobbeltstemme. Dersom verken nemndas leder eller dennes varamedlem deltar i behandlingen av en sak, har nestleder eller dennes varamedlem dobbeltstemme ved stemmelikhet.

Det skal fremgå av vedtakene om de er truffet ved enstemmighet. Ved dissens skal også en begrunnelse for mindretallets standpunkt fremgå.

Nemndas vedtak skal gjøres tilgjengelige for allmennheten, så langt vedtakene eller deler av vedtakene ikke er unntatt fra offentlighet, eller etter en konkret vurdering bør unntas fra offentlighet, etter reglene i offentleglova.

Personvernnemnda kan i det enkelte tilfelle bestemme at klager eller andre skal gis møte- og talerett under nemndas behandling av en sak.

§ 6. Delegering

Kongens myndighet etter lov om behandling av personopplysninger delegeres til Kommunal- og moderniseringsdepartementet. Departementet kan også endre og oppheve forskrift om behandling av personopplysninger slik den er fastsatt av Kongen.

§ 7. Ikrafttredelse

Forskriften trer i kraft samtidig med at lov om behandling av personopplysninger trer i kraft.

Fra samme tidspunkt oppheves forskrift 15. desember 2000 nr. 1265 om behandling av personopplysninger.

§ 8. Endringer i andre forskrifter

Fra den tiden forskriften her trer i kraft, gjøres følgende endringer i andre forskrifter:

1. I forskrift 23. august 1993 nr. 824 om konkursregisteret og om kunngjøringer etter konkursloven gjøres følgende endringer:

§ 21 fjerde ledd oppheves.

§ 22 annet punktum skal lyde:

Personvernforordningen artikkel 32 om personopplysningssikkerhet gjelder tilsvarende.

2. I forskrift 21. desember 2000 nr. 1385 om pasientjournal gjøres følgende endringer:

§ 4 bokstav a skal lyde:

a) innsyn i journal, jf. helsepersonelloven § 41 og pasient- og brukerrettighetsloven § 5-1,

§ 8 bokstav b skal lyde:

b) Opplysninger om hvem som er pasientens nærmeste pårørende, jf. pasient- og brukerrettighetsloven § 1-3 bokstav b og lov om psykisk helsevern § 1-3, og hvordan vedkommende om nødvendig kan kontaktes.

§ 8 bokstav c skal lyde:

c) Dersom pasienten ikke har samtykkekompetanse, skal det nedtegnes hvem som samtykker på vegne av pasienten, jf. pasient- og brukerrettighetsloven kapittel 4.

§ 8 bokstav i første punktum skal lyde:

i) Om det er gitt råd og informasjon til pasient og pårørende, og hovedinnholdet i dette, jf. pasient- og brukerrettighetsloven § 3-2.

(3)

§ 8 bokstav j annet punktum skal lyde:

Pasientens alvorlige overbevisning eller vegring mot helsehjelp, jf. pasient- og brukerrettighetsloven § 4-9.

§ 10 første punktum skal lyde:

Dokumentasjon skal behandles i samsvar med reglene i og i medhold av personvernforordningen, personopplysningsloven og pasientjournalloven.

§ 11 første ledd skal lyde:

Pasienten eller en representant for pasienten, og pårørende har rett til innsyn i journal etter reglene i pasient- og brukerrettighetsloven § 5-1 og personvernforordningen artikkel 15, jf. helsepersonelloven § 41.

§ 11 nytt tredje ledd skal lyde:

Innsyn skal som hovedregel være gratis. Dersom den registrerte ber om flere kopier, kan den

dataansvarlige kreve et rimelig gebyr basert på administrasjonskostnadene, jf. personvernforordningen artikkel 15 nr. 3.

§ 12 oppheves.

§ 14 annet ledd annet punktum skal lyde:

Hvis ikke journalopplysningene deretter skal bevares i henhold til arkivloven eller annen lovgivning, skal de slettes, jf. pasientjournalloven § 25.

3. I forskrift 15. juni 2001 nr. 635 om svangerskapsavbrudd (abortforskriften) skal overskriften i § 22 lyde:

§ 22. Forholdet til pasient- og brukerrettighetsloven

4. I forskrift 21. desember 2001 nr. 1476 om innsamling og behandling av helseopplysninger i Dødsårsaksregisteret (Dødsårsaksregisterforskriften) gjøres følgende endringer:

Ny § 1-2a skal lyde:

§ 1-2a. (Avidentifiserte opplysninger)

Med avidentifiserte opplysninger forstås i denne forskriften helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en

enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysninger som tidligere ble fjernet.

§ 1-4 skal lyde:

§ 1-4. (Dataansvarlig)

Folkehelseinstituttet er dataansvarlig for innsamling og behandling av helseopplysninger i Dødsårsaksregisteret.

§ 1-5 skal lyde:

§ 1-5. (Databehandler)

(4)

Folkehelseinstituttet kan inngå skriftlig avtale med en databehandler om innsamling og behandling av helseopplysninger i Dødsårsaksregisteret, herunder om overvåking og forskning, jf. § 1-3, drift og kvalitetssikring av registeret, samt tilgjengeliggjøring av data til brukere.

§ 2-6 første ledd annet punktum skal lyde:

Som ledd i kvalitetskontrollen kan det gjøres rutinemessige samkjøringer mot Folkeregisteret, Medisinsk fødselsregister, Kreftregisteret, Meldingssystemet for smittsomme sykdommer, Norsk pasientregister, Hjerte- og karregisteret og Helsearkivregisteret.

§ 2-6 annet ledd første punktum skal lyde:

Dersom meldingsskjema er mangelfullt utfylt, skal avsenderen av skjema varsles, jf. helseregisterloven

§ 13 annet ledd annet punktum.

§ 3-1 første ledd skal lyde:

Opplysninger i Dødsårsaksregisteret kan sammenstilles (kobles) med opplysninger i Medisinsk fødselsregister, Kreftregisteret, Meldingssystem for smittsomme sykdommer, System for

vaksinasjonskontroll, Reseptregisteret, Forsvarets helseregister, Norsk pasientregister og Hjerte- og karregisteret, dersom det gjøres av den dataansvarlige for ett av de nevnte registrene eller en virksomhet departementet bestemmer, og resultatet av sammenstillingen fremkommer i anonymisert form.

Den dataansvarlige skal normalt effektuere forespørsler om statistiske opplysninger som nevnt i første ledd fra forvaltningen og forskere innen 60 dager fra den dagen bestillingen kom inn.

§ 3-1 annet ledd tredje punktum skal lyde:

Den dataansvarlige skal i så fall gi et foreløpig svar med opplysninger om forespørselen kan effektueres, om grunnen til forsinkelsen og sannsynlig tidspunkt for når bestillingen kan effektueres.

§ 3-3 skal lyde:

§ 3-3. (Tilgjengeliggjøring av sammenstilte datafiler til forskning mv.)

Avidentifiserte opplysninger som nevnt i § 3-2 første ledd skal etter søknad utleveres eller på annen måte gjøres tilgjengelig for forskning, eventuelt annet uttrykkelig angitt formål innenfor registerets formål, jf. forskriften § 1-3, dersom

- mottakeren bare skal behandle avidentifiserte opplysninger,

- behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn og

- sammenstillingen og tilretteleggingen av dataene gjøres av dataansvarlig for et av de registrene hvis opplysninger behandles, eller i en virksomhet departementet bestemmer.

§ 3-2 annet ledd gjelder tilsvarende.

Ved spørsmål om tilgjengeliggjøring som beskrevet i første ledd til medisinsk og helsefaglig forskning kan registeret, i tilfeller der det etter registerets vurdering er tvil om behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn, forelegge spørsmålet om tilgjengeliggjøring skal skje for en regional komité for medisinsk og helsefaglig forskningsetikk for avgjørelse. Vedtak fattet av regional komité for medisinsk og helsefaglig forskningsetikk kan påklages til Den nasjonale forskningsetiske komité for medisin og helsefag.

(5)

Søknad om tilgjengeliggjøring av opplysninger som beskrevet i første ledd til medisinsk og helsefaglig forskning skal inneholde opplysninger om forskningsansvarlig og prosjektleder, jf. helseforskningsloven § 6.

Den dataansvarlige skal tilgjengeliggjøre nødvendige og relevante data til den ansvarlige for det angitte prosjektet innen 60 dager fra den dagen søknaden kom inn. Rettsgrunnlaget for behandlingen av

opplysningene skal fremgå av søknaden, jf. første ledd.

Dersom særlige forhold gjør det umulig å effektuere søknaden innen den angitte fristen, kan

effektueringen utsettes inntil det er mulig å oppfylle den. Den dataansvarlige skal i så fall gi et foreløpig svar med opplysninger om forespørselen kan effektueres, om grunnen til forsinkelsen og sannsynlig tidspunkt for når søknaden kan effektueres.

Alle opplysninger som inngår i behandlingen etter denne paragrafen, skal slettes eller tilbakeleveres ved prosjektavslutning.

§ 3-4 skal lyde:

§ 3-4. (Plikt til å tilgjengeliggjøre ikke koblede data til forskning mv.)

Folkehelseinstituttet skal etter forespørsel fra forvaltningen og forskere tilgjengeliggjøre statistiske opplysninger fra Dødsårsaksregisteret innen 30 dager fra den dagen forespørselen kom inn.

Folkehelseinstituttet skal etter søknad tilgjengeliggjøre avidentifiserte opplysninger fra Dødsårsaksregisteret, dersom:

- opplysningene skal brukes til et uttrykkelig angitt formål innenfor registerets formål, - mottakeren bare skal behandle avidentifiserte opplysninger, og

- behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn.

Ved spørsmål om tilgjengeliggjøring som beskrevet i annet ledd til medisinsk og helsefaglig forskning kan registeret, i tilfeller der det etter registerets vurdering er tvil om behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn, forelegge spørsmålet om tilgjengeliggjøring skal skje for en regional komité for medisinsk og helsefaglig forskningsetikk for avgjørelse. Vedtak fattet av regional komité for medisinsk og helsefaglig forskningsetikk kan påklages til Den nasjonale forskningsetiske komité for medisin og helsefag.

Søknad om tilgjengeliggjøring av opplysninger som beskrevet i annet ledd til medisinsk og helsefaglig forskning skal inneholde opplysninger om forskningsansvarlig og prosjektleder, jf. helseforskningsloven § 6.

Folkehelseinstituttet skal utlevere eller på annen måte tilgjengeliggjøre nødvendige og relevante data til den ansvarlige for det angitte prosjektet innen 30 dager fra den dagen søknaden kom inn. Rettsgrunnlaget for behandlingen av opplysningene skal fremgå av søknaden.

§ 3-3 sjette og syvende ledd gjelder tilsvarende.

§ 3-5 skal lyde:

§ 3-5. (Tilgjengeliggjøring og annen behandling av opplysninger i Dødsårsaksregisteret)

Personidentifiserende opplysninger i Dødsårsaksregisteret kan bare tilgjengeliggjøres eller behandles på andre måter dersom det er adgang til å behandle opplysningene etter denne forskriften, etter den

registrertes samtykke, etter vedtak om dispensasjon fra taushetsplikten, eller på andre grunnlag i samsvar med reglene om taushetsplikt og personvernforordningen artikkel 6 og 9.

(6)

Helsedirektoratet skal svare på forespørsler om tilgjengeliggjøring av personidentifiserende opplysninger for bruk i uttrykkelig angitte forskningsprosjekter innen 30 dager fra den dagen

forespørselen kom inn. Dersom særlige forhold gjør det umulig å svare på forespørselen innen den angitte fristen, kan svaret utsettes inntil det er mulig å gi svar. Helsedirektoratet skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis.

§ 3-8 skal lyde:

§ 3-8. (Oversikt over tilgjengeliggjøring)

Folkehelseinstituttet skal føre oversikt over hvem opplysninger fra Dødsårsaksregisteret er utlevert til eller på annen måte gjort tilgjengelige for og hjemmelsgrunnlaget for at opplysningene er gjort

tilgjengelige. Oversikten skal oppbevares i minst fem år etter at opplysningene er gjort tilgjengelige.

Enhver som behandler helseopplysninger etter denne forskriften har taushetsplikt etter helsepersonelloven.

§ 4-1 tredje ledd oppheves.

Folkehelseinstituttet og databehandleren skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32 og

helseregisterloven § 21.

§ 4-2 annet ledd oppheves.

Folkehelseinstituttet skal gjennomføre tekniske og organisatoriske tiltak for å sikre og påvise at

behandlingen av opplysninger utføres i samsvar med personvernforordningen, personopplysningsloven og helseregisterloven, jf. helseregisterloven § 22.

§ 4-4 første ledd første punktum skal lyde:

Internkontrollen innebærer at den dataansvarlige skal ha kunnskap om gjeldende regler om behandling av helseopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av rutiner, samt ha denne dokumentasjonen tilgjengelig for dem den måtte angå.

§ 4-4 første ledd nr. 3 skal lyde:

3. oversikt over de krav i og i medhold av personvernforordningen, personopplysningsloven og helseregisterloven som gjelder for virksomheten,

4. rutiner virksomheten følger for å sikre overholdelse av kravene, herunder rutiner for:

4.1. oppfyllelse av krav om at personidentifiserende opplysninger bare behandles når dette er nødvendig for å fremme formålet med behandlingen av opplysningene, og i tråd med gjeldende bestemmelser om taushetsplikt, jf. helseregisterloven § 6 og § 17,

4.2. dokumentasjon og kvalitetskontroll av helseopplysningene, jf. forskriften § 1-11 og § 2-4,

4.3. oppfyllelse av begjæringer om informasjon og innsyn, jf. helseregisterloven § 24, samt forskriften § 5- 1,

4.4. hvordan virksomhetene oppfyller bestemmelsene om tilgjengeliggjøring av opplysninger fra helseregistre, jf. forskriften § 3-1, § 3-3, § 3-4 og § 3-5,

(7)

7. rutiner for hvordan virksomheten systematisk og regelmessig gjennomgår sin internkontroll for å kontrollere at aktivitetene og resultatene av dem stemmer overens med det system virksomheten har fastlagt, og om det medfører oppfyllelse av personvernforordningen, personopplysningsloven og helseregisterloven,

Avdødes nærmeste pårørende har, med mindre særlige grunner taler mot det, rett til informasjon om Dødsårsaksregisteret og innsyn i behandling av opplysninger om den avdøde.

Begjæringer om innsyn etter § 5-1 skal besvares uten ugrunnet opphold og senest 30 dager fra den dagen henvendelsen kom inn.

§ 5-2 annet ledd annet punktum skal lyde:

Den dataansvarlige skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis.

§ 6-1 skal lyde:

Opplysninger i Dødsårsaksregisteret skal bevares i ubegrenset tid, med mindre annet følger av denne forskriften eller helseregisterloven § 25.

Kapittel 7 oppheves.

5. I forskrift 21. desember 2001 nr. 1477 om innsamling og behandling av helseopplysninger i Kreftregisteret (Kreftregisterforskriften) gjøres følgende endringer:

§ 1-5 skal lyde:

Kreftregisteret er dataansvarlig for innsamling og behandling av helseopplysninger i Kreftregisteret.

§ 1-6 skal lyde:

Kreftregisteret kan inngå skriftlig avtale med en databehandler om innsamling og behandling av helseopplysninger i Kreftregisteret, herunder om overvåking og forskning, jf. § 1-3, drift og kvalitetssikring av registeret, samt tilgjengeliggjøring av data til brukere.

(8)

Den dataansvarlige for Kreftregisteret skal ved enhver registrering i registeret kunne dokumentere hvilke klassifikasjoner eller kodeverk som er benyttet.

Den dataansvarlige for Kreftregisteret skal sørge for at helseopplysninger som innsamles og behandles i Kreftregisteret, er korrekte, relevante og nødvendige for de formål de innsamles for, jf. § 1-3. Som ledd i kvalitetskontrollen kan det gjøres rutinemessige samkjøringer mot Folkeregisteret, Dødsårsaksregisteret og Norsk pasientregister.

Opplysninger i Kreftregisteret kan sammenstilles (kobles) med opplysninger i Medisinsk fødselsregister, Dødsårsaksregisteret, Meldingssystem for smittsomme sykdommer, Det sentrale tuberkuloseregisteret, System for vaksinasjonskontroll, Reseptregisteret, Forsvarets helseregister, Norsk pasientregister og Hjerte- og karregisteret, dersom det gjøres av den dataansvarlige for ett av de nevnte registrene eller en virksomhet departementet bestemmer, og resultatet av sammenstillingen fremkommer i anonymisert form.

Den dataansvarlige skal normalt effektuere forespørsler om statistiske opplysninger fra forvaltningen og forskere innen 60 dager fra den dagen bestillingen kom inn.

Den dataansvarlige for Kreftregisteret kan sammenstille opplysninger i Kreftregisteret med opplysninger i helseregistre som nevnt i § 3-1 første ledd, med unntak av Forsvarets helseregister, for uttrykkelig angitte formål, innen registrenes formål, jf. forskriften § 1-3, dersom det er ubetenkelig ut fra etiske hensyn og databehandleren (forskeren) bare skal behandle avidentifiserte opplysninger.

§ 3-3 skal lyde:

Avidentifiserte opplysninger som nevnt i § 3-2 første ledd skal etter søknad utleveres eller på annen måte tilgjengeliggjøres for forskning, eventuelt annet uttrykkelig angitt formål innenfor registerets formål, jf. forskriften § 1-3, dersom

- mottakeren bare skal behandle avidentifiserte opplysninger

Ved spørsmål om tilgjengeliggjøring som beskrevet i første ledd til medisinsk og helsefaglig forskning kan registeret, i tilfeller der det etter registerets vurdering er tvil om behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn, forelegge spørsmålet om tilgjengeliggjøring skal skje for en regional

(9)

komité for medisinsk og helsefaglig forskningsetikk for avgjørelse. Vedtak fattet av regional komité for medisinsk og helsefaglig forskningsetikk kan påklages til Den nasjonale forskningsetiske komité for medisin og helsefag.

Den dataansvarlige skal utlevere eller på annen måte tilgjengeliggjøre nødvendige og relevante data til den ansvarlige for det angitte prosjektet innen 60 dager fra den dagen søknaden kom inn. Rettsgrunnlaget for behandlingen av opplysningene skal fremgå av søknaden, jf. første ledd.

§ 3-4 skal lyde:

Den dataansvarlige for Kreftregisteret skal etter forespørsel fra forvaltningen og forskere utlevere eller på annen måte tilgjengeliggjøre statistiske opplysninger fra Kreftregisteret innen 30 dager fra den dagen forespørselen kom inn.

Den dataansvarlige for Kreftregisteret skal etter søknad tilgjengeliggjøre ikke koblede opplysninger fra Kreftregisteret dersom

- opplysningene skal brukes i ett uttrykkelig angitt formål innenfor registerets formål, - mottakeren bare skal behandle avidentifiserte opplysninger og

Den dataansvarlige skal utlevere eller på annen måte tilgjengeliggjøre nødvendige og relevante data til den ansvarlige for det angitte prosjektet innen 30 dager fra den dagen søknaden kom inn. Rettsgrunnlaget for behandlingen av opplysningene skal fremgå av søknaden.

§ 3-5 skal lyde:

§ 3-5. (Tilgjengeliggjøring og annen behandling av opplysninger i Kreftregisteret)

(10)

Personidentifiserende opplysninger i Kreftregisteret kan bare behandles dersom det er adgang til å behandle opplysningene etter denne forskriften, etter den registrertes samtykke, etter vedtak om dispensasjon fra taushetsplikten, eller på andre grunnlag i samsvar med reglene om taushetsplikt og personvernforordningen artikkel 6 og 9.

§ 3-6 skal lyde:

§ 3-6. (Informasjonsstrategi rettet mot brukergrupper)

For å fremme bruken av data fra Kreftregisteret og for å bygge opp informasjon og kunnskap, jf.

forskriften § 1-3, skal den dataansvarlige for Kreftregisteret ha en aktiv informasjonsstrategi og -plan rettet mot så vel helseforvaltningen, helse- og omsorgstjenesten og øvrig forvaltning, som mot forskere innen medisinsk forskning, helse- og omsorgstjenesteforskning og samfunnsforskning.

§ 3-7 første punktum skal lyde:

Den dataansvarlige for Kreftregisteret kan kreve betaling for behandling og tilrettelegging av opplysninger etter § 3-1 til § 3-5.

3-8 skal lyde:

Den dataansvarlige for Kreftregisteret skal føre oversikt over hvem opplysninger fra Kreftregisteret er gjort tilgjengelige for og hjemmelsgrunnlaget for at opplysningene er gjort tilgjengelige. Oversikten skal oppbevares i minst fem år etter at opplysningene er gjort tilgjengelige.

Den dataansvarlige for Kreftregisteret og databehandleren skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32 og helseregisterloven § 21.

§ 4-3 skal lyde:

§ 4-3. (Plikt til internkontroll)

Den dataansvarlige for Kreftregisteret skal gjennomføre tekniske og organisatoriske tiltak for å sikre og påvise at behandling av opplysninger utføres i samsvar med personvernforordningen,

personopplysingsloven og helseregisterloven, jf. helseregisterloven § 22.

Databehandlere som behandler helseopplysninger på vegne av den dataansvarlige, skal behandle opplysninger i samsvar med rutiner dataansvarlig har oppstilt.

(11)

Internkontroll innebærer at den dataansvarlige skal ha kunnskap om gjeldende regler om behandling av helseopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av rutiner, samt ha denne dokumentasjonen tilgjengelig for dem den måtte angå.

4.3. oppfyllelse av begjæringer om informasjon og innsyn, jf. helseregisterloven § 24, samt forskriften § 5- 1,

4.4. hvordan virksomhetene oppfyller bestemmelsene om tilgjengeliggjøring av opplysninger fra helseregistre, jf. forskriften § 3-1, § 3-3, § 3-4 og § 3-5,

Registrerte har rett til informasjon om Kreftregisteret og innsyn i behandling av helseopplysninger om seg selv i samsvar med personvernforordningen artikkel 13 til 15, jf. helseregisterloven § 24.

Innsyn i helseopplysninger om en selv skal fortrinnsvis gis gjennom den registrertes sist behandlende lege og helseinstitusjon.

§ 5-3 skal lyde:

§ 5-3. (Frist for å svare på henvendelser om innsyn)

Begjæringer om innsyn etter § 5-1 skal besvares uten ugrunnet opphold og senest én måned etter henvendelsen kom inn, jf. personvernforordningen artikkel 12 nr. 3.

Dersom særlige forhold gjør det umulig å svare på henvendelsen innen én måned, kan gjennomføringen utsettes med ytterligere to måneder. Den dataansvarlige skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis.

§ 6-1 skal lyde:

§ 6-1. (Bevaring av helseopplysninger)

(12)

Opplysninger i Kreftregisteret skal oppbevares i ubegrenset tid, med mindre annet følger av denne forskriften eller helseregisterloven § 25.

6. I forskrift 21. desember 2001 nr. 1483 om innsamling og behandling av helseopplysninger i Medisinsk fødselsregister (Medisinsk fødselsregisterforskriften) gjøres følgende endringer:

§ 1-5 skal lyde:

Folkehelseinstituttet er dataansvarlig for innsamling og behandling av helseopplysninger i Medisinsk fødselsregister.

§ 1-6 skal lyde:

Folkehelseinstituttet kan inngå skriftlig avtale med en databehandler om innsamling og behandling av helseopplysninger i Medisinsk fødselsregister, herunder om overvåking og forskning, jf. § 1-3, drift og kvalitetssikring av registeret, samt tilgjengeligjøring av data til brukere.

Som ledd i kvalitetskontrollen kan det gjøres rutinemessige samkjøringer mot Folkeregisteret, Dødsårsaksregisteret, Norsk pasientregister og MSIS.

Opplysninger i Medisinsk fødselsregister kan sammenstilles (kobles) med opplysninger i Kreftregisteret, Dødsårsaksregisteret, Meldingssystem for smittsomme sykdommer, System for vaksinasjonskontroll, Reseptregisteret, Forsvarets helseregister, Norsk pasientregister og Hjerte- og karregisteret, dersom det gjøres av den dataansvarlige for ett av de nevnte registrene eller en virksomhet departementet bestemmer, og resultatet av sammenstillingen fremkommer i anonymisert form.

(13)

§ 3-3 skal lyde:

Avidentifiserte opplysninger som nevnt i § 3-2 første ledd skal etter søknad utleveres eller på annen måte gjøres tilgjengelig for forskning, eventuelt annet uttrykkelig angitt formål innenfor registerets formål, jf. forskriften § 1-3, dersom

§ 3-4 skal lyde:

Folkehelseinstituttet skal etter forespørsel fra forvaltningen og forskere tilgjengeliggjøre statistiske opplysninger fra Medisinsk fødselsregister innen 30 dager fra den dagen forespørselen kom inn.

Folkehelseinstituttet skal etter søknad tilgjengeliggjøre avidentifiserte opplysninger fra Medisinsk fødselsregister dersom

- opplysningene skal brukes til et uttrykkelig angitt formål innenfor registerets formål, - mottakeren bare skal behandle avidentifiserte opplysninger, og

Ved spørsmål om tilgjengeliggjøring som beskrevet i annet ledd til medisinsk og helsefaglig forskning kan registeret, i tilfeller der det etter registerets vurdering er tvil om behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn, forelegge spørsmålet om tilgjengeliggjøring skal skje for en regional komité for medisinsk og helsefaglig forskningsetikk for avgjørelse. Vedtak fattet av regional komité for

(14)

medisinsk og helsefaglig forskningsetikk kan påklages til Den nasjonale forskningsetiske komité for medisin og helsefag.

Søknad om tilgjengeliggjøring av opplysninger som beskrevet i annet ledd til medisinsk og helsefaglig forskning skal inneholde opplysninger om forskningsansvarlig og prosjektleder, jf. helseforskningsloven § 6.

Folkehelseinstituttet skal tilgjengeliggjøre nødvendige og relevante data til den dataansvarlige for det angitte prosjektet innen 30 dager fra den dagen søknaden kom inn. Rettsgrunnlaget for behandlingen av opplysningene skal fremgå av søknaden.

§ 3-5 skal lyde:

§ 3-5. (Tilgjengeliggjøring og annen behandling av opplysninger i Medisinsk fødselsregister)

Personidentifiserende opplysninger fra Medisinsk fødselsregister kan bare behandles dersom det er adgang til å behandle opplysningene etter denne forskriften, etter den registrertes samtykke, etter vedtak om dispensasjon fra taushetsplikten, eller på andre grunnlag i samsvar med reglene om taushetsplikt og personvernforordningen artikkel 6 og 9.

§ 3-8 skal lyde:

Folkehelseinstituttet skal føre oversikt over hvem opplysninger fra Medisinsk fødselsregister er utlevert til eller på annen måte gjort tilgjengelige for og hjemmelsgrunnlaget for at opplysningene er gjort

tilgjengelige. Oversikten skal oppbevares i minst fem år etter at opplysningene er gjort tilgjengelige.

§ 4-3 skal lyde:

§ 4-3. (Plikt til internkontroll)

Folkehelseinstituttet skal gjennomføre teknisk og organisatoriske tiltak for å sikre og påvise at

behandling av helseopplysninger utføres i samsvar med personvernforordningen, personopplysningsloven og helseregisterloven, jf. helseregisterloven § 22.

(15)

Databehandlere som behandler helseopplysninger på vegne av den dataansvarlige, skal behandle opplysninger i samsvar med rutiner dataansvarlig har oppstilt.

4.3. oppfyllelse av begjæringer om informasjon og innsyn, jf. helseregisterloven § 24, samt forskriften § 5- 1, 4.4. hvordan virksomhetene oppfyller bestemmelsene om tilgjengeliggjøring av opplysninger fra helseregistre, jf. forskriften § 3-1, § 3-3, § 3-4 og § 3-5,

Registrerte har rett til informasjon om Medisinsk fødselsregister og innsyn i behandling av helseopplysninger om seg selv i samsvar med personvernforordningen artikkel 13 til 15, jf.

§ 5-3 skal lyde:

§ 6-1 skal lyde:

§ 6-1. (Bevaring av helseopplysninger)

Opplysninger innsamlet til Medisinsk fødselsregister skal oppbevares i ubegrenset tid, med mindre annet følger av denne forskriften eller helseregisterloven § 25.

(16)

7. I forskrift 20. juni 2003 nr. 739 om innsamling og behandling av helseopplysninger i Nasjonalt vaksinasjonsregister (SYSVAK-registerforskriften) gjøres følgende endringer:

§ 1-5 skal lyde:

Folkehelseinstituttet er dataansvarlig for innsamling og behandling av helseopplysninger i SYSVAK.

§ 1-6 skal lyde:

Folkehelseinstituttet kan inngå skriftlig avtale med en databehandler om innsamling og behandling av opplysninger i SYSVAK, herunder om overvåkning og forskning, jf. § 1-3, drift og kvalitetssikring av registeret, samt tilgjengeliggjøring av data til brukere.

Som ledd i kvalitetskontrollen kan det gjøres rutinemessige samkjøringer mot Folkeregisteret, Norsk pasientregister og MSIS.

Opplysninger i SYSVAK kan sammenstilles (kobles) med opplysninger i Kreftregisteret,

Dødsårsaksregisteret, Meldingssystemet for smittsomme sykdommer (MSIS), Medisinsk fødselsregister, Reseptregisteret, Forsvarets helseregister, Norsk pasientregister og Hjerte- og karregisteret, dersom det gjøres av den dataansvarlige for ett av de nevnte registrene eller en virksomhet departementet bestemmer, og resultatet av sammenstillingen fremkommer i anonymisert form.

§ 3-3 skal lyde:

Avidentifierte opplysninger som nevnt i § 3-2 første ledd skal etter søknad utleveres eller på annen måte gjøres tilgjengelig for forskning, eventuelt annet uttrykkelig angitt formål innenfor registerets formål, jf.

forskriften § 1-3, dersom:

(17)

- behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn, og

Forskriften § 3-2 annet ledd gjelder tilsvarende.

Ved spørsmål om tilgjengeliggjøring som beskrevet i første ledd til medisinsk og helsefaglig forskning kan registeret, i tilfeller der det etter registerets vurdering er tvil om behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn, forelegge spørsmålet om utlevering skal skje for en regional komité for medisinsk og helsefaglig forskningsetikk for avgjørelse. Vedtak fattet av regional komité for medisinsk og helsefaglig forskningsetikk kan påklages til Den nasjonale forskningsetiske komité for medisin og

helsefag.

§ 3-4 skal lyde:

Folkehelseinstituttet skal etter forespørsel fra forvaltningen og forskere tilgjengeliggjøre statistiske opplysninger fra SYSVAK innen 30 dager fra den dagen forespørselen kom inn.

Folkehelseinstituttet skal etter søknad tilgjengeliggjøre avidentifiserte opplysninger fra SYSVAK dersom

- opplysningene skal brukes til et uttrykkelig angitt formål innenfor registerets formål, - mottakeren bare skal behandle avidentifiserte opplysninger og

Ved spørsmål om tilgjengeliggjøring som beskrevet i annet ledd til medisinsk og helsefaglig forskning kan registeret, i tilfeller der det etter registerets vurdering er tvil om behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn, forelegge spørsmålet om utlevering skal skje for en regional komité for medisinsk og helsefaglig forskningsetikk for avgjørelse. Vedtak fattet av regional komité for medisinsk og helsefaglig forskningsetikk kan påklages til Den nasjonale forskningsetiske komité for medisin og

helsefag.

(18)

Folkehelseinstituttet skal tilgjengeliggjøre nødvendige og relevante data til den dataansvarlige for det angitte prosjektet innen 30 dager fra den dagen søknaden kom inn. Rettsgrunnlaget for behandlingen av opplysningene skal fremgå av søknaden.

Forskriften § 3-3 sjette og syvende ledd gjelder tilsvarende.

§ 3-5 skal lyde:

§ 3-5. (Tilgjengeliggjøring og annen behandling av opplysninger i SYSVAK)

Personidentifiserbare opplysninger fra SYSVAK kan bare tilgjengeliggjøres eller behandles på andre måter dersom det er adgang til å behandle opplysningene etter denne forskriften, etter den registrertes samtykke, etter vedtak om dispensasjon fra taushetsplikten, eller på andre grunnlag i samsvar med reglene om taushetsplikt og personvernforordningen artikkel 6 og 9.

§ 3-8 skal lyde:

Folkehelseinstituttet skal føre oversikt over hvem opplysninger fra SYSVAK er utlevert til eller på annen måte gjort tilgjengelig for og hjemmelsgrunnlaget for at opplysningene er gjort tilgjengelige.

Opplysningene skal oppbevares i minst fem år etter at opplysningene er gjort tilgjengelige.

Enhver som behandler helseopplysninger etter denne forskriften, har taushetsplikt etter helsepersonelloven.

Folkehelseinstituttet skal gjennomføre tekniske og organisatoriske tiltak for å sikre og påvise at behandling av opplysninger utføres i samsvar med personvernforordningen, personopplysningsloven og helseregisterloven, jf. helseregisterloven § 22.

§ 4-4 annet ledd nr. 3 skal lyde:

3. oversikt over de krav i og i medhold av personvernforordningen, personopplysningsloven og

(19)

helseregisterloven som gjelder for virksomheten,

§ 4-4 annet ledd nr. 4.4. skal lyde:

4.4. hvordan virksomheten oppfyller bestemmelsene om tilgjengeliggjøring av opplysninger fra helseregistre, jf. § 3-1, § 3-3, § 3-4 og § 3-5,

Registrerte har rett til informasjon om SYSVAK og innsyn i behandling av helseopplysninger om seg selv i samsvar med personvernforordningen artikkel 13 til 15, jf. helseregisterloven § 24.

§ 5-3 skal lyde:

8. I forskrift 20. juni 2003 nr. 740 om Meldingssystem for smittsomme sykdommer (MSIS-forskriften) gjøres følgende endringer:

Overskriften i § 1-5 skal lyde:

§ 1-5. (Dataansvarlig og ansvarlig for biobank)

Folkehelseinstituttet er dataansvarlig for innsamling og behandling av helseopplysninger i MSIS.

Folkehelseinstituttet kan inngå skriftlig avtale med en databehandler om innsamling og behandling av helseopplysninger i registeret, herunder om overvåking og forskning, jf. § 1-3, drift og kvalitetssikring av registeret, samt tilgjengeliggjøring av data til brukere.

§ 2-1 annet ledd skal lyde:

(20)

Dataansvarlig kan for enkelte sykdommer unnta leger for meldeplikt.

§ 2-6 annet ledd annet punktum skal lyde:

Som ledd i kvalitetskontrollen kan det gjøres samkjøringer mot Folkeregisteret, Dødsårsaksregisteret, Kreftregisteret, Norsk pasientregister, Medisinsk fødselsregister, SYSVAK og sykehusapotekenes lister over pasienter som har fått foreskrevet legemidler mot tuberkulose.

Opplysninger i MSIS kan sammenstilles (kobles) med opplysninger i Medisinsk fødselsregister, Dødsårsaksregisteret, Kreftregisteret, System for vaksinasjonskontroll (SYSVAK), Reseptregisteret, Forsvarets helseregister, Norsk pasientregister og Hjerte- og karregisteret dersom det gjøres av den dataansvarlige for ett av de nevnte registrene eller en virksomhet departementet bestemmer, og resultatet av sammenstillingen fremkommer i anonymisert form.

Den dataansvarlige skal normalt effektuere forespørsler om statistiske opplysninger som nevnt i første ledd fra forvaltningen og forskere innen 60 dager fra den dagen bestillingen kom inn.

§ 4-3 skal lyde:

Avidentifiserte opplysninger som nevnt i § 4-2 første ledd skal etter søknad utleveres eller tilgjengeliggjøres på andre måter for forskning, eventuelt annet uttrykkelig angitt formål innenfor registerets formål, jf. forskriften § 1-3, dersom:

- sammenstillingen og tilretteleggingen av dataene gjøres av dataansvarlig for et av de registeret hvis opplysninger behandles, eller i en virksomhet departementet bestemmer.

Forskriften § 4-2 annet ledd gjelder tilsvarende.

Den dataansvarlige skal tilgjengeliggjøre nødvendige og relevante data til den ansvarlige for det angitte prosjektet innen 60 dager fra den dagen søknaden kom inn. Rettsgrunnlaget for behandlingen av

opplysningene skal fremgå av søknaden, jf. første ledd.

effektueringen utsettes inntil det er mulig å oppfylle den. Den dataansvarlige skal i så fall gi et foreløpig

(21)

svar med opplysninger om forespørselen kan effektueres, om grunnen til forsinkelsen og sannsynlig tidspunkt for når søknaden kan effektueres.

§ 4-4 skal lyde:

Folkehelseinstituttet skal etter forespørsel fra forvaltningen og forskere utlevere eller på annen måte tilgjengeliggjøre statistiske opplysninger fra MSIS innen 30 dager fra den dagen forespørselen kom inn.

Folkehelseinstituttet skal etter søknad tilgjengeliggjøre avidentifiserte opplysninger fra registeret dersom - opplysningene skal brukes til et uttrykkelig angitt formål innenfor registerets formål,

- mottakeren bare skal behandle avidentifiserte opplysninger, og - behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn.

Folkehelseinstituttet skal tilgjengeliggjøre nødvendige og relevante data til den ansvarlige for det angitte prosjektet innen 30 dager fra den dagen søknaden kom inn. Rettsgrunnlaget for behandlingen av

opplysningene skal fremgå av søknaden.

Forskriften § 4-3 sjette og syvende ledd gjelder tilsvarende.

§ 4-5 skal lyde:

§ 4-5. (Tilgjengeliggjøring og annen behandling av opplysninger i registeret)

Personidentifiserende opplysninger i MSIS kan bare behandles dersom det er adgang til å behandle opplysningene etter denne forskriften, etter den registrertes samtykke, etter vedtak om dispensasjon fra taushetsplikten, eller på andre grunnlag i samsvar med reglene om taushetsplikt og

personvernforordningen artikkel 6 og 9.

§ 4-8 skal lyde:

(22)

Folkehelseinstituttet skal føre oversikt over hvem som får utlevert eller på annen måte tilgjengeliggjort opplysninger fra registeret og hjemmelsgrunnlaget for tilgjengeliggjøringen. Oversikten skal oppbevares i minst fem år etter at opplysningene er gjort tilgjengelige.

Enhver som behandler helseopplysninger etter denne forskriften, har taushetsplikt etter helsepersonelloven.

Folkehelseinstituttet og databehandleren skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf personvernforordningen artikkel 32 og

Folkehelseinstituttet skal gjennomføre tekniske og organisatoriske tiltak for å sikre og påvise at behandling av opplysninger skjer i samsvar med personvernforordningen, personopplysningsloven og helseregisterloven, jf. helseregisterloven § 22.

Internkontrollen innebærer at den dataansvarlige skal ha kunnskap om gjeldende regler om behandling av helseopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av rutiner, samt ha denne dokumentasjonen tilgjengelig for dem det måtte angå.

§ 5-4 annet ledd nr. 4.4. skal lyde:

4.4. hvordan virksomheten oppfyller bestemmelsene om tilgjengeliggjøring av opplysninger fra helseregistre, jf. § 4-1, § 4-3, § 4-4 og § 4-5,

7. rutiner for hvordan virksomheten systematisk og regelmessig gjennomgår sin internkontroll for å kontrollere at aktivitetene og resultatene av dem stemmer overens med det system virksomheten har fastlagt, og om det medfører oppfyllelse av personvernforordningen, personopplysningsloven og helseregisterloven.

§ 6-2 skal lyde:

§ 6-2. (Den registrertes rett til informasjon og innsyn)

Registrerte har rett til informasjon om registeret og innsyn i behandling av helseopplysninger om seg selv i samsvar med personvernforordningen artikkel 13 til 15, jf. helseregisterloven § 24.

Innsyn i helseopplysninger om en selv skal fortrinnsvis gis gjennom den registrertes sist behandlende lege og helseinstitusjon. Informasjonen skal gis i en forståelig form.

§ 6-4 skal lyde:

(23)

9. I forskrift 17. oktober 2003 nr. 1246 om innsamling og behandling av helseopplysninger i Reseptbasert legemiddelregister (Reseptregisteret) gjøres følgende endringer:

Denne forskriften etablerer et landsomfattende pseudonymt register for reseptbasert legemiddelstatistikk (Reseptregisteret). Forskriften gir bestemmelser for innsamling, lagring, tilgjengeliggjøring og annen behandling av opplysninger i registeret.

§ 1-2 nr. 1 skal lyde:

1. pseudonyme helseopplysninger: helseopplysninger der identitet er kryptert eller skjult på annet vis, men likevel individualisert slik at det lar seg gjøre å følge hver person uten at identiteten røpes; definisjonen i personvernforordningen artikkel 4 nr. 5 gjelder ikke bestemmelsene om pseudonyme opplysninger i denne forskriften;

§ 1-2 nr. 5 skal lyde:

5. tiltrodd pseudonymforvalter (TPF): en uavhengig instans som tildeler og forvalter pseudonymer på oppdrag fra den dataansvarlige.

§ 1-5 skal lyde:

§ 1-5. Dataansvarlig

Folkehelseinstituttet er dataansvarlig for Reseptregisteret.

Den dataansvarlige kan inngå avtale med en databehandler om behandling av data på vegne av den dataansvarlige.

Den dataansvarlige skal inngå skriftlig avtale med en tiltrodd pseudonymforvalter (TPF) om tildeling og forvaltning av pseudonymer.

§ 1-9 skal lyde:

§ 1-9. Koding og klassifisering av opplysningene i Reseptregisteret, krav til dokumentasjon

Den dataansvarlige skal ved enhver registrering i registeret kunne dokumentere hvilke kodeverk og klassifikasjoner som er benyttet.

(24)

Apotek plikter, uten hinder av taushetsplikten, å sende Reseptregisteret de opplysningene om hver enkelt ekspedert resept og rekvisisjon som gjør det mulig å registrere de opplysningene som er nevnt i § 1- 8 fjerde ledd. Den dataansvarlige gir nærmere bestemmelser om plikten til å sende inn slike opplysninger.

§ 2-2 skal lyde:

§ 2-2. Tidspunkt for innsending mv.

Innsending av opplysninger skal følge de rutiner og tidsfrister som til enhver tid er fastsatt av den dataansvarlige for Reseptregisteret.

Overføring av opplysninger fra apotek til Reseptregisteret skal skje i et format som bestemmes av dataansvarlig.

§ 2-3 tredje ledd tredje punktum skal lyde:

Den dataansvarlige gir nærmere bestemmelser om overføringen av data.

Den dataansvarlige skal sørge for at de opplysningene som blir samlet inn og behandlet i Reseptregisteret, er relevante og nødvendige for bruk til formål som nevnt i § 1-3.

§ 2-4 tredje ledd annet punktum skal lyde:

Dersom det ikke er mulig for databehandler å få korrekte data, skal den dataansvarlige varsles.

§ 4-1 skal lyde:

§ 4-1. Forbud mot samtidig tilgang

Ingen, verken TPF, databehandler eller dataansvarlig, skal kunne få samtidig tilgang til pseudonym, reseptopplysninger og fødselsnummer eller helsepersonellnummer.

Bare den dataansvarlige, databehandlere og den som arbeider under den dataansvarliges eller databehandlers instruksjonsmyndighet, kan gis tilgang til Reseptregisteret.

§ 4-3 skal lyde:

§ 4-3. Informasjonssikkerhet

Den dataansvarlige og databehandler skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32 og

§ 4-4 skal lyde:

§ 4-4. Taushetsplikt

Enhver som behandler opplysninger etter denne forskriften, har taushetsplikt etter helseregisterloven § 17.

§ 4-5 skal lyde:

(25)

§ 4-5. Plikt til å sørge for internkontroll

Den dataansvarlige skal gjennomføre tekniske og organisatoriske tiltak for å sikre og påvise at behandling av opplysninger utføres i samsvar med personvernforordningen, personopplysingsloven og helseregisterloven, jf. helseregisterloven § 22. Tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang det er nødvendig for å etterleve reglene om behandling av helseopplysninger, med særlig vekt på bestemmelser gitt i medhold av helseregisterloven § 21.

Internkontrollen innebærer at den dataansvarlige skal ha kunnskap om gjeldende regler om behandling av helseopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av rutiner, og har denne dokumentasjonen tilgjengelig for dem den måtte angå.

7. rutiner for hvordan virksomheten systematisk og regelmessig gjennomgår sin internkontroll for å kontrollere at aktivitetene og resultatene av dem stemmer overens med det systemet virksomheten har fastlagt, og om det medfører oppfyllelse av personvernforordningen, personopplysningsloven og helseregisterloven,

Overskriften til kapittel 5 skal lyde:

Kapittel 5. Sammenstilling og tilgjengeliggjøring av opplysninger

§ 5-1 skal lyde:

§ 5-1. Tilgjengeliggjøring av statistikk fra Reseptregisteret

Departementet bestemmer hvilke faste, offentlige statistikker som den dataansvarlige skal utarbeide.

Statistikkene kan baseres på opplysninger hentet fra Reseptregisteret eller opplysninger som er fremkommet ved sammenstilling med andre registre mv., jf. § 5-3.

Den dataansvarlige kan på forespørsel tilgjengeliggjøre andre statistiske opplysninger fra Reseptregisteret.

Statistiske opplysninger som offentliggjøres eller tilgjengeliggjøres etter denne bestemmelsen, må ikke ha en slik form at enkeltpersoner eller apotek kan gjenkjennes. Dette er ikke til hinder for at den enkelte lege kan hente ut statistiske opplysninger som gjelder egen virksomhet.

§ 5-2 skal lyde:

§ 5-2. Tilgjengeliggjøring av opplysninger fra Reseptregisteret

Den dataansvarlige skal etter begrunnet søknad utlevere eller på annen måte tilgjengeliggjøre

opplysninger fra Reseptregisteret til de formål som er angitt i § 1-3. Den dataansvarlige kan sette vilkår for slik tilgjengeliggjøring.

Opplysningene kan hentes fra Reseptregisteret eller fra sammenstilling med andre registre mv., jf. § 5-3.

Opplysningene skal ikke gjøres tilgjengelige dersom det er en begrunnet risiko for at opplysningene vil benyttes på en etisk uforsvarlig måte.

(26)

Den dataansvarlige skal svare på forespørsler om tilgjengeliggjøring av opplysninger for bruk i uttrykkelig angitte forskningsprosjekter innen 30 dager fra den dagen forespørselen kom inn. Dersom særlige forhold gjør det umulig å svare på forespørselen innen den angitte fristen, kan svaret utsettes inntil det er mulig å gi svar. Den dataansvarlige skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis.

Det skal ikke tilgjengeliggjøres flere opplysninger enn nødvendig for å ivareta søkerens berettigede formål med behandlingen av opplysningene.

Alle opplysninger som tilgjengeliggjøres etter søknad som nevnt i første ledd, skal slettes straks prosjektet er avsluttet.

Mottakeren må ikke offentliggjøre resultatet av behandlingen av opplysningene i slik form at

enkeltpersoner eller apotek kan gjenkjennes. Dette er ikke til hinder for at legemiddelrekvirenter kan gjøre opplysninger som ikke er taushetsbelagte og som gjelder egen virksomhet tilgjengelig for andre.

Koblingen må gjøres av den dataansvarlige for ett av registrene eller en virksomhet departementet bestemmer.

§ 5-3 annet ledd skal lyde:

Opplysninger i Reseptregisteret kan ellers bare sammenstilles med andre opplysninger dersom sammenstillingen er i samsvar med de alminnelige reglene om taushetsplikt og det er adgang til sammenstilling etter personvernforordningen artikkel 6 og 9.

§ 5-6 skal lyde:

§ 5-6.

Oversikt over tilgjengeliggjøring

Den dataansvarlige skal føre oversikt over hvem som har fått opplysninger fra Reseptregisteret og grunnlaget for tilgjengeliggjøringen. Oversikten skal oppbevares i minst fem år etter at opplysningene er gjort tilgjengelige.

§ 6-1 skal lyde:

§ 6-1. Bevaring av opplysningene

Opplysninger i Reseptregisteret skal bevares i ubegrenset tid, med mindre annet følger av denne forskriften, personvernforordningen eller lov. Tildelt pseudonym kan endres, dersom det av sikkerhetsmessige grunner er hensiktsmessig.

§ 6-2 oppheves.

10. I forskrift 14. november 2003 nr. 1353 om innsamling og behandling av helseopplysninger i Norsk overvåkningssystem for resistens hos bakterier, sopp og virus (Resistensregisterforskriften) gjøres følgende endringer: