NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Like dokumenter
Forskrift om endring i Dødsårsaksregisterforskriften, Kreftregisterforskriften, Medisinsk fødselsregisterforskriften, SYSVAKregisterforskriften,

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Kunngjort 28. august 2017 kl PDF-versjon 30. august 2017

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Juridisk regulering av helseregistre brukt til kvalitetssikring og forskningsformål

Lovvedtak 76. ( ) (Første gangs behandling av lovvedtak) Innst. 295 L ( ), jf. Prop. 72 L ( )

Helseforskningsrett med fokus på personvern

Det juridiske rammeverket for helseregistre

Rettslig grunnlag for behandling av helseopplysninger til kvalitetssikring og forskning

Forskrift om pasientjournal (pasientjournalforskriften)

Rettslig regulering av helseregistre

Retningslinjer for utlevering av data fra Kreftregisteret

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Hvilken betydning har personvernforordningen på helseområdet

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Retningslinjer for utlevering av data fra Kreftregisteret

Helseforskningsrett. Sverre Engelschiøn

RETNINGSLINJER FOR UTLEVERING AV DATA FRA NORSK PASIENTREGISTER

Besl. O. nr. 79. Jf. Innst. O. nr. 62 ( ) og Ot.prp. nr. 5 ( ) År 2001 den 5. april holdtes Odelsting, hvor da ble gjort slikt

Forskrift om innsamling og behandling av helseopplysninger i Norsk overvåkingssystem for infeksjoner i sykehustjenesten (NOIS registerforskriften)

Kvalitetsregistrene i det nasjonale registeret for hjerte- og karlidelser. Lov og forskrift

Plikt- og rettssubjekter. Den som har krav på noe, den som har rett på noe. Den som er pålagt noe, den som har ansvaret for å se til at noe blir gjort

Norsk helsearkiv og helsearkivregisteret

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Forskrift om organisering av medisinsk og helsefaglig forskning

Nødvendige godkjenningsinstanser

Hvilke krav stiller Folkehelseinstituttet ved søknad om data fra helseregistrene?

Eksempel fra helseregistre

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Lov 30. juni 2006 nr. 56 om behandling av etikk og redelighet i forskning

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Sikkerhetskrav for systemer

Kunngjort 15. desember 2017 kl PDF-versjon 15. desember Lov om statlig tilsyn med helse- og omsorgstjenesten mv. (helsetilsynsloven)

Dødsårsaksregisteret (DÅR) I dag og planer fremover

Samtykkeerklæring. Forespørsel om registrering i [sett inn navn på register]. [Sett inn databehandlingsansvarliges logo)

Kunngjort 16. juni 2017 kl PDF-versjon 19. juni Lov om Statens undersøkelseskommisjon for helse- og omsorgstjenesten

Helse- og omsorgsdepartementet. Høring: Forslag til endringer i helsepersonelloven 36 og dødsårsaksregisterforskriften mv. (elektronisk dødsmelding)

HØRINGSNOTAT. Opphentingsprogram for HPV-vaksinen. Forslag til endringer i forskrift om nasjonalt vaksinasjonsprogram og SYSVAK-registerforskriften

Skisse til lov om helseregistre, behandling av helseopplysninger

Lovvedtak 75. ( ) (Første gangs behandling av lovvedtak) Innst. 295 L ( ), jf. Prop. 72 L ( )

Helseforskningsloven - lovgivers intensjoner

Kunngjort 16. juni 2017 kl PDF-versjon 19. juni 2017

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Beskrivelse av prosjektet Formålet med det omsøkte prosjektet er todelt:

Eks7. Pics. Adressater i henhold til liste. Helseforskningslovens virkeområde

Lovfortolkning - Helsepersonelloven 29c - Opplysninger til bruk i læringsarbeid og kvalitetssikring

FYLKESMANNEN I OSLO OG AKERSHUS Helseavdelingen

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/443-13/ /RCA 31. mars 2014

REK-vurderinger etter GDPR

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Høringsnotat: Enklere tilgang til helseopplysninger for kvalitetssikring av helsehjelp og egen læring

Kunngjort 16. juni 2017 kl PDF-versjon 19. juni 2017

MOTTATT 1 3 OKT2011 DET KONGELIGE HELSE- OG OMSORGSDEPARTEMENT. Helsedirektoratet Postboks 7000 St. Olavs plass 0130 OSLO.

Vår ref: / Deres ref: /MAL Dato:

Helse-og omsorgsdepartementet. Høring: Forslag til endringer i egenandelsregisterforskriften

Dato: 9. juni Byrådssak 1230/09. Byrådet

Saksdokumenter - sak PS 0255/17. Høring - forskrift om befolkningsbaserte helseundersøkelser

NASJONALE HELSEREGISTRE - HVORDAN KAN DISSE BRUKES FOR Å BLI BEDRE? Veronica Mikkelborg Folkehelseavdelingen Helse- og omsorgsdepartementet

Mal for Vedtekter for nasjonale medisinske kvalitetsregistre

Gode helseregistre bedre helse

Ny lov nye muligheter for deling av pasientopplysninger

EØS-tillegget til Den europeiske unions tidende Nr. 46/1 EØS-ORGANER EØS-KOMITEEN. EØS-KOMITEENS BESLUTNING nr. 154/2018. av 6.

Tilgang til data fra Reseptregisteret. Olaug Sveinsgjerd Fenne, Seniorrådgiver, Folkehelseinstituttet

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Kunngjort 16. juni 2017 kl PDF-versjon 19. juni 2017

Helseforskningsloven - intensjon og utfordringer

Forskning basert på data fra Norsk pasientregister: Muligheter og utfordringer

DEL I TILRÅDING ELLER KONSESJON?

Personidentifiserbart Norsk pasientregister

1. Endringer siden siste versjon. 2. Hensikt og omfang

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Lagringsbegrensning. Cecilie L. B. Rønnevik, advokat Personvernkonferansen

Høringssvar: Forslag til forskrift om Norsk helsearkiv og Helsearkivregisteret

folkehelseinstituttet

DATABEHANDLERAVTALE. 1. Bakgrunn

Personvernerklæring Stendi

Kapittel 1. Generelle bestemmelser

Sikkerhetskrav for systemer

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

HJEM RESSURSER TJENESTER HJELP LENKER OM LOVDATA KONTAKT OSS

Høring - Utkast til forskrift om innsamling og behandling av helseopplysninger i nasjonalt register over hjerte- og karlidelser

Personvernforordningen og utfordringer i dagens helsetjeneste

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Sikkerhetskrav for systemer

Behov for oppdatering av EPJ standard som følge av regelverksendringer mv

Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter

Helseregistre: Eierskap, tilgang og bruk

Besl. O. nr. 83. ( ) Odelstingsbeslutning nr. 83. Jf. Innst. O. nr. 55 ( ) og Ot.prp. nr. 74 ( )

Høring - Rapport fra Helsedatautvalget - Et nytt system for enklere og sikrere tilgang til helsedata

Vedtekter for Norsk Register for Analinkontinens - NRA revidert mars 2017.

PERSONVERN OG DELING FRA KVALITETSREGISTRE

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Brevkontroll med sentrale helseregistre Datatilsynets oppsummering.

5-7fiSDEPARTEMENT. 23 N11117nng. Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO. Avp/K0N-rfpc14: / ". Obk NR ARKIVK-UDE:

Versjon pr. 25. mars Veileder til lov 20. juni 2008 nr. 44 om medisinsk og helsefaglig forskning (helseforskningsloven)

Kunngjort 16. juni 2017 kl PDF-versjon 19. juni Lov om godkjenning av yrkeskvalifikasjoner (yrkeskvalifikasjonsloven)

Forslag om etablering av et nasjonalt register over hjerte- og karlidelser og forslag til endring av taushetspliktsbestemmelsene i helsepersonelloven

Transkript:

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53. Kunngjort 15. juni 2018 kl. 15.40 PDF-versjon 20. juni 2018 15.06.2018 nr. 876 Forskrift om behandling av personopplysninger Hjemmel: Fastsatt ved kgl.res.15. juni 2018 med hjemmel i lov 13. august 1915 nr. 5 om domstolene (domstolloven) 197a tredje ledd, lov 13. juni 1975 nr. 50 om svangerskapsavbrudd 12, lov 8. juni 1984 nr. 58 om gjeldsforhandling og konkurs (konkursloven) 156 fjerde ledd, lov 2. juli 1999 nr. 63 om pasient- og brukerrettigheter (pasient- og brukerrettighetsloven) 5-1 sjette ledd, lov 2. juli 1999 nr. 64 om helsepersonell m.v. (helsepersonelloven) 40 tredje ledd, lov 2. juli 2004 nr. 64 om ordning med lokaler for injeksjon av narkotika (sprøyteromsloven) 8, lov 19. mai 2006 nr. 16 om rett til innsyn i dokument i offentleg verksemd (offentleglova) 10 tredje ledd, lov 19. juni 2009 nr. 103 om tjenestevirksomhet (tjenesteloven) 27, lov 20. juni 2014 nr. 42 om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) 10, 11, 12, 13, 14 annet ledd, 18 tredje ledd, 22 annet ledd, 23 tredje ledd og 25 tredje ledd og lov 20. juni 2014 nr. 43 om helseregistre og behandling av helseopplysninger (helseregisterloven) 3 fjerde ledd, 8, 9, 11 første ledd, jf. annet ledd, 12 fjerde ledd, 13 annet ledd, 19 første ledd, 21 annet ledd, 22 annet ledd og 24 fjerde ledd og lov 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven) 4 fjerde ledd, 13 og 22 sjette ledd. Fremmet av Justis- og beredskapsdepartementet. EØS-henvisninger: EØS-avtalen vedlegg XI nr. 5e (forordning (EU) 2016/679). 1. Geografisk virkeområde Personvernforordningen og personopplysningsloven med forskrift gjelder for Jan Mayen. 2. Kommisjonens beslutninger om beskyttelsesnivået i tredjestater og internasjonale organisasjoner og om standard personvernbestemmelser Kommisjonens beslutninger etter personvernforordningen artikkel 45 nr. 3 og 5 (beskyttelsesnivået i tredjestater og internasjonale organisasjoner) og artikkel 46 nr. 2 bokstav c og d (standard personvernbestemmelser) gjelder i Norge når de er innlemmet i EØS-avtalen. Er en beslutning som nevnt i første ledd ikke innlemmet i EØS-avtalen når den begynner å gjelde i EUs medlemsstater, gjelder beslutningen fra samme tidspunkt også i Norge, med mindre Norge beslutter at den ikke skal gjelde i Norge før den er innlemmet i EØS-avtalen. 3. Personvernnemndas sekretariat Personvernnemnda skal ha et sekretariat som tilrettelegger for nemndas arbeid og forbereder saker for behandling i nemnda. 4. Personvernnemndas saksbehandling Personvernnemnda er beslutningsdyktig når minst fem av nemndas medlemmer eller deres varamedlemmer deltar.

2 Personvernnemnda treffer vedtak med alminnelig flertall. Ved stemmelikhet har nemndas leder eller dennes varamedlem dobbeltstemme. Dersom verken nemndas leder eller dennes varamedlem deltar i behandlingen av en sak, har nestleder eller dennes varamedlem dobbeltstemme ved stemmelikhet. Det skal fremgå av vedtakene om de er truffet ved enstemmighet. Ved dissens skal også en begrunnelse for mindretallets standpunkt fremgå. Nemndas vedtak skal gjøres tilgjengelige for allmennheten, så langt vedtakene eller deler av vedtakene ikke er unntatt fra offentlighet, eller etter en konkret vurdering bør unntas fra offentlighet, etter reglene i offentleglova. Personvernnemnda kan i det enkelte tilfelle bestemme at klager eller andre skal gis møte- og talerett under nemndas behandling av en sak. 6. Delegering Kongens myndighet etter lov om behandling av personopplysninger delegeres til Kommunal- og moderniseringsdepartementet. Departementet kan også endre og oppheve forskrift om behandling av personopplysninger slik den er fastsatt av Kongen. 7. Ikrafttredelse Forskriften trer i kraft samtidig med at lov om behandling av personopplysninger trer i kraft. Fra samme tidspunkt oppheves forskrift 15. desember 2000 nr. 1265 om behandling av personopplysninger. 8. Endringer i andre forskrifter Fra den tiden forskriften her trer i kraft, gjøres følgende endringer i andre forskrifter: 1. I forskrift 23. august 1993 nr. 824 om konkursregisteret og om kunngjøringer etter konkursloven gjøres følgende endringer: 21 fjerde ledd oppheves. 22 annet punktum skal lyde: Personvernforordningen artikkel 32 om personopplysningssikkerhet gjelder tilsvarende. 2. I forskrift 21. desember 2000 nr. 1385 om pasientjournal gjøres følgende endringer: 4 bokstav a skal lyde: a) innsyn i journal, jf. helsepersonelloven 41 og pasient- og brukerrettighetsloven 5-1, 8 bokstav b skal lyde: b) Opplysninger om hvem som er pasientens nærmeste pårørende, jf. pasient- og brukerrettighetsloven 1-3 bokstav b og lov om psykisk helsevern 1-3, og hvordan vedkommende om nødvendig kan kontaktes. 8 bokstav c skal lyde: c) Dersom pasienten ikke har samtykkekompetanse, skal det nedtegnes hvem som samtykker på vegne av pasienten, jf. pasient- og brukerrettighetsloven kapittel 4. 8 bokstav i første punktum skal lyde: i) Om det er gitt råd og informasjon til pasient og pårørende, og hovedinnholdet i dette, jf. pasient- og brukerrettighetsloven 3-2.

3 8 bokstav j annet punktum skal lyde: Pasientens alvorlige overbevisning eller vegring mot helsehjelp, jf. pasient- og brukerrettighetsloven 4-9. 10 første punktum skal lyde: Dokumentasjon skal behandles i samsvar med reglene i og i medhold av personvernforordningen, personopplysningsloven og pasientjournalloven. 11 første ledd skal lyde: Pasienten eller en representant for pasienten, og pårørende har rett til innsyn i journal etter reglene i pasient- og brukerrettighetsloven 5-1 og personvernforordningen artikkel 15, jf. helsepersonelloven 41. 11 nytt tredje ledd skal lyde: Innsyn skal som hovedregel være gratis. Dersom den registrerte ber om flere kopier, kan den dataansvarlige kreve et rimelig gebyr basert på administrasjonskostnadene, jf. personvernforordningen artikkel 15 nr. 3. 12 oppheves. 14 annet ledd annet punktum skal lyde: Hvis ikke journalopplysningene deretter skal bevares i henhold til arkivloven eller annen lovgivning, skal de slettes, jf. pasientjournalloven 25. 3. I forskrift 15. juni 2001 nr. 635 om svangerskapsavbrudd (abortforskriften) skal overskriften i 22 lyde: 22. Forholdet til pasient- og brukerrettighetsloven 4. I forskrift 21. desember 2001 nr. 1476 om innsamling og behandling av helseopplysninger i Dødsårsaksregisteret (Dødsårsaksregisterforskriften) gjøres følgende endringer: Ny 1-2a skal lyde: 1-2a. (Avidentifiserte opplysninger) Med avidentifiserte opplysninger forstås i denne forskriften helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysninger som tidligere ble fjernet. 1-4 skal lyde: 1-4. (Dataansvarlig) Folkehelseinstituttet er dataansvarlig for innsamling og behandling av helseopplysninger i Dødsårsaksregisteret. 1-5 skal lyde: 1-5. (Databehandler)

4 Folkehelseinstituttet kan inngå skriftlig avtale med en databehandler om innsamling og behandling av helseopplysninger i Dødsårsaksregisteret, herunder om overvåking og forskning, jf. 1-3, drift og kvalitetssikring av registeret, samt tilgjengeliggjøring av data til brukere. 2-6 første ledd annet punktum skal lyde: Som ledd i kvalitetskontrollen kan det gjøres rutinemessige samkjøringer mot Folkeregisteret, Medisinsk fødselsregister, Kreftregisteret, Meldingssystemet for smittsomme sykdommer, Norsk pasientregister, Hjerte- og karregisteret og Helsearkivregisteret. 2-6 annet ledd første punktum skal lyde: Dersom meldingsskjema er mangelfullt utfylt, skal avsenderen av skjema varsles, jf. helseregisterloven 13 annet ledd annet punktum. 3-1 første ledd skal lyde: Opplysninger i Dødsårsaksregisteret kan sammenstilles (kobles) med opplysninger i Medisinsk fødselsregister, Kreftregisteret, Meldingssystem for smittsomme sykdommer, System for vaksinasjonskontroll, Reseptregisteret, Forsvarets helseregister, Norsk pasientregister og Hjerte- og karregisteret, dersom det gjøres av den dataansvarlige for ett av de nevnte registrene eller en virksomhet departementet bestemmer, og resultatet av sammenstillingen fremkommer i anonymisert form. 3-1 annet ledd første punktum skal lyde: Den dataansvarlige skal normalt effektuere forespørsler om statistiske opplysninger som nevnt i første ledd fra forvaltningen og forskere innen 60 dager fra den dagen bestillingen kom inn. 3-1 annet ledd tredje punktum skal lyde: Den dataansvarlige skal i så fall gi et foreløpig svar med opplysninger om forespørselen kan effektueres, om grunnen til forsinkelsen og sannsynlig tidspunkt for når bestillingen kan effektueres. 3-3 skal lyde: 3-3. (Tilgjengeliggjøring av sammenstilte datafiler til forskning mv.) Avidentifiserte opplysninger som nevnt i 3-2 første ledd skal etter søknad utleveres eller på annen måte gjøres tilgjengelig for forskning, eventuelt annet uttrykkelig angitt formål innenfor registerets formål, jf. forskriften 1-3, dersom - mottakeren bare skal behandle avidentifiserte opplysninger, - behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn og - sammenstillingen og tilretteleggingen av dataene gjøres av dataansvarlig for et av de registrene hvis opplysninger behandles, eller i en virksomhet departementet bestemmer. 3-2 annet ledd gjelder tilsvarende. Ved spørsmål om tilgjengeliggjøring som beskrevet i første ledd til medisinsk og helsefaglig forskning kan registeret, i tilfeller der det etter registerets vurdering er tvil om behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn, forelegge spørsmålet om tilgjengeliggjøring skal skje for en regional komité for medisinsk og helsefaglig forskningsetikk for avgjørelse. Vedtak fattet av regional komité for medisinsk og helsefaglig forskningsetikk kan påklages til Den nasjonale forskningsetiske komité for medisin og helsefag.

5 Søknad om tilgjengeliggjøring av opplysninger som beskrevet i første ledd til medisinsk og helsefaglig forskning skal inneholde opplysninger om forskningsansvarlig og prosjektleder, jf. helseforskningsloven 6. Den dataansvarlige skal tilgjengeliggjøre nødvendige og relevante data til den ansvarlige for det angitte prosjektet innen 60 dager fra den dagen søknaden kom inn. Rettsgrunnlaget for behandlingen av opplysningene skal fremgå av søknaden, jf. første ledd. Dersom særlige forhold gjør det umulig å effektuere søknaden innen den angitte fristen, kan effektueringen utsettes inntil det er mulig å oppfylle den. Den dataansvarlige skal i så fall gi et foreløpig svar med opplysninger om forespørselen kan effektueres, om grunnen til forsinkelsen og sannsynlig tidspunkt for når søknaden kan effektueres. Alle opplysninger som inngår i behandlingen etter denne paragrafen, skal slettes eller tilbakeleveres ved prosjektavslutning. 3-4 skal lyde: 3-4. (Plikt til å tilgjengeliggjøre ikke koblede data til forskning mv.) Folkehelseinstituttet skal etter forespørsel fra forvaltningen og forskere tilgjengeliggjøre statistiske opplysninger fra Dødsårsaksregisteret innen 30 dager fra den dagen forespørselen kom inn. Folkehelseinstituttet skal etter søknad tilgjengeliggjøre avidentifiserte opplysninger fra Dødsårsaksregisteret, dersom: - opplysningene skal brukes til et uttrykkelig angitt formål innenfor registerets formål, - mottakeren bare skal behandle avidentifiserte opplysninger, og - behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn. Ved spørsmål om tilgjengeliggjøring som beskrevet i annet ledd til medisinsk og helsefaglig forskning kan registeret, i tilfeller der det etter registerets vurdering er tvil om behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn, forelegge spørsmålet om tilgjengeliggjøring skal skje for en regional komité for medisinsk og helsefaglig forskningsetikk for avgjørelse. Vedtak fattet av regional komité for medisinsk og helsefaglig forskningsetikk kan påklages til Den nasjonale forskningsetiske komité for medisin og helsefag. Søknad om tilgjengeliggjøring av opplysninger som beskrevet i annet ledd til medisinsk og helsefaglig forskning skal inneholde opplysninger om forskningsansvarlig og prosjektleder, jf. helseforskningsloven 6. Folkehelseinstituttet skal utlevere eller på annen måte tilgjengeliggjøre nødvendige og relevante data til den ansvarlige for det angitte prosjektet innen 30 dager fra den dagen søknaden kom inn. Rettsgrunnlaget for behandlingen av opplysningene skal fremgå av søknaden. 3-3 sjette og syvende ledd gjelder tilsvarende. 3-5 skal lyde: 3-5. (Tilgjengeliggjøring og annen behandling av opplysninger i Dødsårsaksregisteret) Personidentifiserende opplysninger i Dødsårsaksregisteret kan bare tilgjengeliggjøres eller behandles på andre måter dersom det er adgang til å behandle opplysningene etter denne forskriften, etter den registrertes samtykke, etter vedtak om dispensasjon fra taushetsplikten, eller på andre grunnlag i samsvar med reglene om taushetsplikt og personvernforordningen artikkel 6 og 9.

6 Helsedirektoratet skal svare på forespørsler om tilgjengeliggjøring av personidentifiserende opplysninger for bruk i uttrykkelig angitte forskningsprosjekter innen 30 dager fra den dagen forespørselen kom inn. Dersom særlige forhold gjør det umulig å svare på forespørselen innen den angitte fristen, kan svaret utsettes inntil det er mulig å gi svar. Helsedirektoratet skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis. 3-8 skal lyde: 3-8. (Oversikt over tilgjengeliggjøring) Folkehelseinstituttet skal føre oversikt over hvem opplysninger fra Dødsårsaksregisteret er utlevert til eller på annen måte gjort tilgjengelige for og hjemmelsgrunnlaget for at opplysningene er gjort tilgjengelige. Oversikten skal oppbevares i minst fem år etter at opplysningene er gjort tilgjengelige. 4-1 første ledd skal lyde: Enhver som behandler helseopplysninger etter denne forskriften har taushetsplikt etter helsepersonelloven. 4-1 tredje ledd oppheves. 4-2 første ledd skal lyde: Folkehelseinstituttet og databehandleren skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32 og helseregisterloven 21. 4-2 annet ledd oppheves. 4-3 første ledd skal lyde: Folkehelseinstituttet skal gjennomføre tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen av opplysninger utføres i samsvar med personvernforordningen, personopplysningsloven og helseregisterloven, jf. helseregisterloven 22. 4-4 første ledd første punktum skal lyde: Internkontrollen innebærer at den dataansvarlige skal ha kunnskap om gjeldende regler om behandling av helseopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av rutiner, samt ha denne dokumentasjonen tilgjengelig for dem den måtte angå. 4-4 første ledd nr. 3 skal lyde: 3. oversikt over de krav i og i medhold av personvernforordningen, personopplysningsloven og helseregisterloven som gjelder for virksomheten, 4-4 første ledd nr. 4 skal lyde: 4. rutiner virksomheten følger for å sikre overholdelse av kravene, herunder rutiner for: 4.1. oppfyllelse av krav om at personidentifiserende opplysninger bare behandles når dette er nødvendig for å fremme formålet med behandlingen av opplysningene, og i tråd med gjeldende bestemmelser om taushetsplikt, jf. helseregisterloven 6 og 17, 4.2. dokumentasjon og kvalitetskontroll av helseopplysningene, jf. forskriften 1-11 og 2-4, 4.3. oppfyllelse av begjæringer om informasjon og innsyn, jf. helseregisterloven 24, samt forskriften 5-1, 4.4. hvordan virksomhetene oppfyller bestemmelsene om tilgjengeliggjøring av opplysninger fra helseregistre, jf. forskriften 3-1, 3-3, 3-4 og 3-5,

7 4-4 første ledd nr. 7 skal lyde: 7. rutiner for hvordan virksomheten systematisk og regelmessig gjennomgår sin internkontroll for å kontrollere at aktivitetene og resultatene av dem stemmer overens med det system virksomheten har fastlagt, og om det medfører oppfyllelse av personvernforordningen, personopplysningsloven og helseregisterloven, 5-1 første ledd skal lyde: Avdødes nærmeste pårørende har, med mindre særlige grunner taler mot det, rett til informasjon om Dødsårsaksregisteret og innsyn i behandling av opplysninger om den avdøde. 5-2 første ledd skal lyde: Begjæringer om innsyn etter 5-1 skal besvares uten ugrunnet opphold og senest 30 dager fra den dagen henvendelsen kom inn. 5-2 annet ledd annet punktum skal lyde: Den dataansvarlige skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis. 6-1 skal lyde: Opplysninger i Dødsårsaksregisteret skal bevares i ubegrenset tid, med mindre annet følger av denne forskriften eller helseregisterloven 25. Kapittel 7 oppheves. 5. I forskrift 21. desember 2001 nr. 1477 om innsamling og behandling av helseopplysninger i Kreftregisteret (Kreftregisterforskriften) gjøres følgende endringer: Ny 1-2a skal lyde: 1-2a. (Avidentifiserte opplysninger) Med avidentifiserte opplysninger forstås i denne forskriften helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysninger som tidligere ble fjernet. 1-5 skal lyde: 1-5. (Dataansvarlig) Kreftregisteret er dataansvarlig for innsamling og behandling av helseopplysninger i Kreftregisteret. 1-6 skal lyde: 1-6. (Databehandler) Kreftregisteret kan inngå skriftlig avtale med en databehandler om innsamling og behandling av helseopplysninger i Kreftregisteret, herunder om overvåking og forskning, jf. 1-3, drift og kvalitetssikring av registeret, samt tilgjengeliggjøring av data til brukere. 1-11 første ledd skal lyde:

8 Den dataansvarlige for Kreftregisteret skal ved enhver registrering i registeret kunne dokumentere hvilke klassifikasjoner eller kodeverk som er benyttet. 2-4 første ledd skal lyde: Den dataansvarlige for Kreftregisteret skal sørge for at helseopplysninger som innsamles og behandles i Kreftregisteret, er korrekte, relevante og nødvendige for de formål de innsamles for, jf. 1-3. Som ledd i kvalitetskontrollen kan det gjøres rutinemessige samkjøringer mot Folkeregisteret, Dødsårsaksregisteret og Norsk pasientregister. 2-4 annet ledd første punktum skal lyde: Dersom meldingsskjema er mangelfullt utfylt, skal avsenderen av skjema varsles, jf. helseregisterloven 13 annet ledd annet punktum. 3-1 første ledd skal lyde: Opplysninger i Kreftregisteret kan sammenstilles (kobles) med opplysninger i Medisinsk fødselsregister, Dødsårsaksregisteret, Meldingssystem for smittsomme sykdommer, Det sentrale tuberkuloseregisteret, System for vaksinasjonskontroll, Reseptregisteret, Forsvarets helseregister, Norsk pasientregister og Hjerte- og karregisteret, dersom det gjøres av den dataansvarlige for ett av de nevnte registrene eller en virksomhet departementet bestemmer, og resultatet av sammenstillingen fremkommer i anonymisert form. 3-1 annet ledd første punktum skal lyde: Den dataansvarlige skal normalt effektuere forespørsler om statistiske opplysninger fra forvaltningen og forskere innen 60 dager fra den dagen bestillingen kom inn. 3-1 annet ledd tredje punktum skal lyde: Den dataansvarlige skal i så fall gi et foreløpig svar med opplysninger om forespørselen kan effektueres, om grunnen til forsinkelsen og sannsynlig tidspunkt for når bestillingen kan effektueres. 3-2 første ledd skal lyde: Den dataansvarlige for Kreftregisteret kan sammenstille opplysninger i Kreftregisteret med opplysninger i helseregistre som nevnt i 3-1 første ledd, med unntak av Forsvarets helseregister, for uttrykkelig angitte formål, innen registrenes formål, jf. forskriften 1-3, dersom det er ubetenkelig ut fra etiske hensyn og databehandleren (forskeren) bare skal behandle avidentifiserte opplysninger. 3-3 skal lyde: 3-3. (Tilgjengeliggjøring av sammenstilte datafiler til forskning mv.) Avidentifiserte opplysninger som nevnt i 3-2 første ledd skal etter søknad utleveres eller på annen måte tilgjengeliggjøres for forskning, eventuelt annet uttrykkelig angitt formål innenfor registerets formål, jf. forskriften 1-3, dersom - mottakeren bare skal behandle avidentifiserte opplysninger - behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn og - sammenstillingen og tilretteleggingen av dataene gjøres av dataansvarlig for et av de registrene hvis opplysninger behandles, eller i en virksomhet departementet bestemmer. 3-2 annet ledd gjelder tilsvarende. Ved spørsmål om tilgjengeliggjøring som beskrevet i første ledd til medisinsk og helsefaglig forskning kan registeret, i tilfeller der det etter registerets vurdering er tvil om behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn, forelegge spørsmålet om tilgjengeliggjøring skal skje for en regional

9 komité for medisinsk og helsefaglig forskningsetikk for avgjørelse. Vedtak fattet av regional komité for medisinsk og helsefaglig forskningsetikk kan påklages til Den nasjonale forskningsetiske komité for medisin og helsefag. Søknad om tilgjengeliggjøring av opplysninger som beskrevet i første ledd til medisinsk og helsefaglig forskning skal inneholde opplysninger om forskningsansvarlig og prosjektleder, jf. helseforskningsloven 6. Den dataansvarlige skal utlevere eller på annen måte tilgjengeliggjøre nødvendige og relevante data til den ansvarlige for det angitte prosjektet innen 60 dager fra den dagen søknaden kom inn. Rettsgrunnlaget for behandlingen av opplysningene skal fremgå av søknaden, jf. første ledd. Dersom særlige forhold gjør det umulig å effektuere søknaden innen den angitte fristen, kan effektueringen utsettes inntil det er mulig å oppfylle den. Den dataansvarlige skal i så fall gi et foreløpig svar med opplysninger om forespørselen kan effektueres, om grunnen til forsinkelsen og sannsynlig tidspunkt for når søknaden kan effektueres. Alle opplysninger som inngår i behandlingen etter denne paragrafen, skal slettes eller tilbakeleveres ved prosjektavslutning. 3-4 skal lyde: 3-4. (Plikt til å tilgjengeliggjøre ikke koblede data til forskning mv.) Den dataansvarlige for Kreftregisteret skal etter forespørsel fra forvaltningen og forskere utlevere eller på annen måte tilgjengeliggjøre statistiske opplysninger fra Kreftregisteret innen 30 dager fra den dagen forespørselen kom inn. Den dataansvarlige for Kreftregisteret skal etter søknad tilgjengeliggjøre ikke koblede opplysninger fra Kreftregisteret dersom - opplysningene skal brukes i ett uttrykkelig angitt formål innenfor registerets formål, - mottakeren bare skal behandle avidentifiserte opplysninger og - behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn. Ved spørsmål om tilgjengeliggjøring som beskrevet i annet ledd til medisinsk og helsefaglig forskning kan registeret, i tilfeller der det etter registerets vurdering er tvil om behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn, forelegge spørsmålet om tilgjengeliggjøring skal skje for en regional komité for medisinsk og helsefaglig forskningsetikk for avgjørelse. Vedtak fattet av regional komité for medisinsk og helsefaglig forskningsetikk kan påklages til Den nasjonale forskningsetiske komité for medisin og helsefag. Søknad om tilgjengeliggjøring av opplysninger som beskrevet i første ledd til medisinsk og helsefaglig forskning skal inneholde opplysninger om forskningsansvarlig og prosjektleder, jf. helseforskningsloven 6. Den dataansvarlige skal utlevere eller på annen måte tilgjengeliggjøre nødvendige og relevante data til den ansvarlige for det angitte prosjektet innen 30 dager fra den dagen søknaden kom inn. Rettsgrunnlaget for behandlingen av opplysningene skal fremgå av søknaden. 3-3 sjette og syvende ledd gjelder tilsvarende. 3-5 skal lyde: 3-5. (Tilgjengeliggjøring og annen behandling av opplysninger i Kreftregisteret)

10 Personidentifiserende opplysninger i Kreftregisteret kan bare behandles dersom det er adgang til å behandle opplysningene etter denne forskriften, etter den registrertes samtykke, etter vedtak om dispensasjon fra taushetsplikten, eller på andre grunnlag i samsvar med reglene om taushetsplikt og personvernforordningen artikkel 6 og 9. Helsedirektoratet skal svare på forespørsler om tilgjengeliggjøring av personidentifiserende opplysninger for bruk i uttrykkelig angitte forskningsprosjekter innen 30 dager fra den dagen forespørselen kom inn. Dersom særlige forhold gjør det umulig å svare på forespørselen innen den angitte fristen, kan svaret utsettes inntil det er mulig å gi svar. Helsedirektoratet skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis. 3-6 skal lyde: 3-6. (Informasjonsstrategi rettet mot brukergrupper) For å fremme bruken av data fra Kreftregisteret og for å bygge opp informasjon og kunnskap, jf. forskriften 1-3, skal den dataansvarlige for Kreftregisteret ha en aktiv informasjonsstrategi og -plan rettet mot så vel helseforvaltningen, helse- og omsorgstjenesten og øvrig forvaltning, som mot forskere innen medisinsk forskning, helse- og omsorgstjenesteforskning og samfunnsforskning. 3-7 første punktum skal lyde: Den dataansvarlige for Kreftregisteret kan kreve betaling for behandling og tilrettelegging av opplysninger etter 3-1 til 3-5. 3-8 skal lyde: 3-8. (Oversikt over tilgjengeliggjøring) Den dataansvarlige for Kreftregisteret skal føre oversikt over hvem opplysninger fra Kreftregisteret er gjort tilgjengelige for og hjemmelsgrunnlaget for at opplysningene er gjort tilgjengelige. Oversikten skal oppbevares i minst fem år etter at opplysningene er gjort tilgjengelige. 4-1 første ledd skal lyde: Enhver som behandler helseopplysninger etter denne forskriften har taushetsplikt etter helsepersonelloven. 4-1 tredje ledd oppheves. 4-2 første ledd skal lyde: Den dataansvarlige for Kreftregisteret og databehandleren skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32 og helseregisterloven 21. 4-2 annet ledd oppheves. 4-3 skal lyde: 4-3. (Plikt til internkontroll) Den dataansvarlige for Kreftregisteret skal gjennomføre tekniske og organisatoriske tiltak for å sikre og påvise at behandling av opplysninger utføres i samsvar med personvernforordningen, personopplysingsloven og helseregisterloven, jf. helseregisterloven 22. Databehandlere som behandler helseopplysninger på vegne av den dataansvarlige, skal behandle opplysninger i samsvar med rutiner dataansvarlig har oppstilt.

11 4-4 første ledd første punktum skal lyde: Internkontroll innebærer at den dataansvarlige skal ha kunnskap om gjeldende regler om behandling av helseopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av rutiner, samt ha denne dokumentasjonen tilgjengelig for dem den måtte angå. 4-4 første ledd nr. 3 skal lyde: 3. oversikt over de krav i og i medhold av personvernforordningen, personopplysningsloven og helseregisterloven som gjelder for virksomheten, 4-4 første ledd nr. 4 skal lyde: 4. rutiner virksomheten følger for å sikre overholdelse av kravene, herunder rutiner for: 4.1. oppfyllelse av krav om at personidentifiserende opplysninger bare behandles når dette er nødvendig for å fremme formålet med behandlingen av opplysningene, og i tråd med gjeldende bestemmelser om taushetsplikt, jf. helseregisterloven 6 og 17, 4.2. dokumentasjon og kvalitetskontroll av helseopplysningene, jf. forskriften 1-11 og 2-4, 4.3. oppfyllelse av begjæringer om informasjon og innsyn, jf. helseregisterloven 24, samt forskriften 5-1, 4.4. hvordan virksomhetene oppfyller bestemmelsene om tilgjengeliggjøring av opplysninger fra helseregistre, jf. forskriften 3-1, 3-3, 3-4 og 3-5, 4-4 første ledd nr. 7 skal lyde: 7. rutiner for hvordan virksomheten systematisk og regelmessig gjennomgår sin internkontroll for å kontrollere at aktivitetene og resultatene av dem stemmer overens med det system virksomheten har fastlagt, og om det medfører oppfyllelse av personvernforordningen, personopplysningsloven og helseregisterloven, 5-1 første ledd skal lyde: Registrerte har rett til informasjon om Kreftregisteret og innsyn i behandling av helseopplysninger om seg selv i samsvar med personvernforordningen artikkel 13 til 15, jf. helseregisterloven 24. 5-1 annet ledd første punktum skal lyde: Innsyn i helseopplysninger om en selv skal fortrinnsvis gis gjennom den registrertes sist behandlende lege og helseinstitusjon. 5-3 skal lyde: 5-3. (Frist for å svare på henvendelser om innsyn) Begjæringer om innsyn etter 5-1 skal besvares uten ugrunnet opphold og senest én måned etter henvendelsen kom inn, jf. personvernforordningen artikkel 12 nr. 3. Dersom særlige forhold gjør det umulig å svare på henvendelsen innen én måned, kan gjennomføringen utsettes med ytterligere to måneder. Den dataansvarlige skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis. 6-1 skal lyde: 6-1. (Bevaring av helseopplysninger)

12 Opplysninger i Kreftregisteret skal oppbevares i ubegrenset tid, med mindre annet følger av denne forskriften eller helseregisterloven 25. Kapittel 7 oppheves. 6. I forskrift 21. desember 2001 nr. 1483 om innsamling og behandling av helseopplysninger i Medisinsk fødselsregister (Medisinsk fødselsregisterforskriften) gjøres følgende endringer: Ny 1-2a skal lyde: 1-2a. (Avidentifiserte opplysninger) Med avidentifiserte opplysninger forstås i denne forskriften helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysninger som tidligere ble fjernet. 1-5 skal lyde: 1-5. (Dataansvarlig) Folkehelseinstituttet er dataansvarlig for innsamling og behandling av helseopplysninger i Medisinsk fødselsregister. 1-6 skal lyde: 1-6. (Databehandler) Folkehelseinstituttet kan inngå skriftlig avtale med en databehandler om innsamling og behandling av helseopplysninger i Medisinsk fødselsregister, herunder om overvåking og forskning, jf. 1-3, drift og kvalitetssikring av registeret, samt tilgjengeligjøring av data til brukere. 2-4 første ledd annet punktum skal lyde: Som ledd i kvalitetskontrollen kan det gjøres rutinemessige samkjøringer mot Folkeregisteret, Dødsårsaksregisteret, Norsk pasientregister og MSIS. 2-4 annet ledd første punktum skal lyde: Dersom meldingsskjema er mangelfullt utfylt, skal avsenderen av skjema varsles, jf. helseregisterloven 13 annet ledd annet punktum. 3-1 første ledd skal lyde: Opplysninger i Medisinsk fødselsregister kan sammenstilles (kobles) med opplysninger i Kreftregisteret, Dødsårsaksregisteret, Meldingssystem for smittsomme sykdommer, System for vaksinasjonskontroll, Reseptregisteret, Forsvarets helseregister, Norsk pasientregister og Hjerte- og karregisteret, dersom det gjøres av den dataansvarlige for ett av de nevnte registrene eller en virksomhet departementet bestemmer, og resultatet av sammenstillingen fremkommer i anonymisert form. 3-1 annet ledd første punktum skal lyde: Den dataansvarlige skal normalt effektuere forespørsler om statistiske opplysninger fra forvaltningen og forskere innen 60 dager fra den dagen bestillingen kom inn. 3-1 annet ledd tredje punktum skal lyde: Den dataansvarlige skal i så fall gi et foreløpig svar med opplysninger om forespørselen kan effektueres, om grunnen til forsinkelsen og sannsynlig tidspunkt for når bestillingen kan effektueres.

13 3-3 skal lyde: 3-3. (Tilgjengeliggjøring av sammenstilte datafiler til forskning mv.) Avidentifiserte opplysninger som nevnt i 3-2 første ledd skal etter søknad utleveres eller på annen måte gjøres tilgjengelig for forskning, eventuelt annet uttrykkelig angitt formål innenfor registerets formål, jf. forskriften 1-3, dersom - mottakeren bare skal behandle avidentifiserte opplysninger, - behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn og - sammenstillingen og tilretteleggingen av dataene gjøres av dataansvarlig for et av de registrene hvis opplysninger behandles, eller i en virksomhet departementet bestemmer. 3-2 annet ledd gjelder tilsvarende. Ved spørsmål om tilgjengeliggjøring som beskrevet i første ledd til medisinsk og helsefaglig forskning kan registeret, i tilfeller der det etter registerets vurdering er tvil om behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn, forelegge spørsmålet om tilgjengeliggjøring skal skje for en regional komité for medisinsk og helsefaglig forskningsetikk for avgjørelse. Vedtak fattet av regional komité for medisinsk og helsefaglig forskningsetikk kan påklages til Den nasjonale forskningsetiske komité for medisin og helsefag. Søknad om tilgjengeliggjøring av opplysninger som beskrevet i første ledd til medisinsk og helsefaglig forskning skal inneholde opplysninger om forskningsansvarlig og prosjektleder, jf. helseforskningsloven 6. Den dataansvarlige skal utlevere eller på annen måte tilgjengeliggjøre nødvendige og relevante data til den ansvarlige for det angitte prosjektet innen 60 dager fra den dagen søknaden kom inn. Rettsgrunnlaget for behandlingen av opplysningene skal fremgå av søknaden, jf. første ledd. Dersom særlige forhold gjør det umulig å effektuere søknaden innen den angitte fristen, kan effektueringen utsettes inntil det er mulig å oppfylle den. Den dataansvarlige skal i så fall gi et foreløpig svar med opplysninger om forespørselen kan effektueres, om grunnen til forsinkelsen og sannsynlig tidspunkt for når søknaden kan effektueres. Alle opplysninger som inngår i behandlingen etter denne paragrafen, skal slettes eller tilbakeleveres ved prosjektavslutning. 3-4 skal lyde: 3-4. (Plikt til å tilgjengeliggjøre ikke koblede data til forskning mv.) Folkehelseinstituttet skal etter forespørsel fra forvaltningen og forskere tilgjengeliggjøre statistiske opplysninger fra Medisinsk fødselsregister innen 30 dager fra den dagen forespørselen kom inn. Folkehelseinstituttet skal etter søknad tilgjengeliggjøre avidentifiserte opplysninger fra Medisinsk fødselsregister dersom - opplysningene skal brukes til et uttrykkelig angitt formål innenfor registerets formål, - mottakeren bare skal behandle avidentifiserte opplysninger, og - behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn. Ved spørsmål om tilgjengeliggjøring som beskrevet i annet ledd til medisinsk og helsefaglig forskning kan registeret, i tilfeller der det etter registerets vurdering er tvil om behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn, forelegge spørsmålet om tilgjengeliggjøring skal skje for en regional komité for medisinsk og helsefaglig forskningsetikk for avgjørelse. Vedtak fattet av regional komité for

14 medisinsk og helsefaglig forskningsetikk kan påklages til Den nasjonale forskningsetiske komité for medisin og helsefag. Søknad om tilgjengeliggjøring av opplysninger som beskrevet i annet ledd til medisinsk og helsefaglig forskning skal inneholde opplysninger om forskningsansvarlig og prosjektleder, jf. helseforskningsloven 6. Folkehelseinstituttet skal tilgjengeliggjøre nødvendige og relevante data til den dataansvarlige for det angitte prosjektet innen 30 dager fra den dagen søknaden kom inn. Rettsgrunnlaget for behandlingen av opplysningene skal fremgå av søknaden. 3-3 sjette og syvende ledd gjelder tilsvarende. 3-5 skal lyde: 3-5. (Tilgjengeliggjøring og annen behandling av opplysninger i Medisinsk fødselsregister) Personidentifiserende opplysninger fra Medisinsk fødselsregister kan bare behandles dersom det er adgang til å behandle opplysningene etter denne forskriften, etter den registrertes samtykke, etter vedtak om dispensasjon fra taushetsplikten, eller på andre grunnlag i samsvar med reglene om taushetsplikt og personvernforordningen artikkel 6 og 9. Helsedirektoratet skal svare på forespørsler om tilgjengeliggjøring av personidentifiserende opplysninger for bruk i uttrykkelig angitte forskningsprosjekter innen 30 dager fra den dagen forespørselen kom inn. Dersom særlige forhold gjør det umulig å svare på forespørselen innen den angitte fristen, kan svaret utsettes inntil det er mulig å gi svar. Helsedirektoratet skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis. 3-8 skal lyde: 3-8. (Oversikt over tilgjengeliggjøring) Folkehelseinstituttet skal føre oversikt over hvem opplysninger fra Medisinsk fødselsregister er utlevert til eller på annen måte gjort tilgjengelige for og hjemmelsgrunnlaget for at opplysningene er gjort tilgjengelige. Oversikten skal oppbevares i minst fem år etter at opplysningene er gjort tilgjengelige. 4-1 første ledd skal lyde: Enhver som behandler helseopplysninger etter denne forskriften har taushetsplikt etter helsepersonelloven. 4-1 tredje ledd oppheves. 4-2 første ledd skal lyde: Folkehelseinstituttet og databehandleren skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32 og helseregisterloven 21. 4-2 annet ledd oppheves. 4-3 skal lyde: 4-3. (Plikt til internkontroll) Folkehelseinstituttet skal gjennomføre teknisk og organisatoriske tiltak for å sikre og påvise at behandling av helseopplysninger utføres i samsvar med personvernforordningen, personopplysningsloven og helseregisterloven, jf. helseregisterloven 22.

15 Databehandlere som behandler helseopplysninger på vegne av den dataansvarlige, skal behandle opplysninger i samsvar med rutiner dataansvarlig har oppstilt. 4-4 første ledd første punktum skal lyde: Internkontrollen innebærer at den dataansvarlige skal ha kunnskap om gjeldende regler om behandling av helseopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av rutiner, samt ha denne dokumentasjonen tilgjengelig for dem den måtte angå. 4-4 første ledd nr. 3 skal lyde: 3. oversikt over de krav i og i medhold av personvernforordningen, personopplysningsloven og helseregisterloven som gjelder for virksomheten, 4-4 første ledd nr. 4 skal lyde: 4. rutiner virksomheten følger for å sikre overholdelse av kravene, herunder rutiner for: 4.1. oppfyllelse av krav om at personidentifiserende opplysninger bare behandles når dette er nødvendig for å fremme formålet med behandlingen av opplysningene, og i tråd med gjeldende bestemmelser om taushetsplikt, jf. helseregisterloven 6 og 17, 4.2. dokumentasjon og kvalitetskontroll av helseopplysningene, jf. forskriften 1-11 og 2-4, 4.3. oppfyllelse av begjæringer om informasjon og innsyn, jf. helseregisterloven 24, samt forskriften 5-1, 4.4. hvordan virksomhetene oppfyller bestemmelsene om tilgjengeliggjøring av opplysninger fra helseregistre, jf. forskriften 3-1, 3-3, 3-4 og 3-5, 4-4 første ledd nr. 7 skal lyde: 7. rutiner for hvordan virksomheten systematisk og regelmessig gjennomgår sin internkontroll for å kontrollere at aktivitetene og resultatene av dem stemmer overens med det system virksomheten har fastlagt, og om det medfører oppfyllelse av personvernforordningen, personopplysningsloven og helseregisterloven, 5-1 første punktum skal lyde: Registrerte har rett til informasjon om Medisinsk fødselsregister og innsyn i behandling av helseopplysninger om seg selv i samsvar med personvernforordningen artikkel 13 til 15, jf. helseregisterloven 24. 5-3 skal lyde: 5-3. (Frist for å svare på henvendelser om innsyn) Begjæringer om innsyn etter 5-1 skal besvares uten ugrunnet opphold og senest én måned etter henvendelsen kom inn, jf. personvernforordningen artikkel 12 nr. 3. Dersom særlige forhold gjør det umulig å svare på henvendelsen innen én måned, kan gjennomføringen utsettes med ytterligere to måneder. Den dataansvarlige skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis. 6-1 skal lyde: 6-1. (Bevaring av helseopplysninger) Opplysninger innsamlet til Medisinsk fødselsregister skal oppbevares i ubegrenset tid, med mindre annet følger av denne forskriften eller helseregisterloven 25.

16 Kapittel 7 oppheves. 7. I forskrift 20. juni 2003 nr. 739 om innsamling og behandling av helseopplysninger i Nasjonalt vaksinasjonsregister (SYSVAK-registerforskriften) gjøres følgende endringer: Ny 1-2a skal lyde: 1-2a. (Avidentifiserte opplysninger) Med avidentifiserte opplysninger forstås i denne forskriften helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysninger som tidligere ble fjernet. 1-5 skal lyde: 1-5. (Dataansvarlig) Folkehelseinstituttet er dataansvarlig for innsamling og behandling av helseopplysninger i SYSVAK. 1-6 skal lyde: 1-6. (Databehandler) Folkehelseinstituttet kan inngå skriftlig avtale med en databehandler om innsamling og behandling av opplysninger i SYSVAK, herunder om overvåkning og forskning, jf. 1-3, drift og kvalitetssikring av registeret, samt tilgjengeliggjøring av data til brukere. 2-5 første ledd annet punktum skal lyde: Som ledd i kvalitetskontrollen kan det gjøres rutinemessige samkjøringer mot Folkeregisteret, Norsk pasientregister og MSIS. 3-1 første ledd skal lyde: Opplysninger i SYSVAK kan sammenstilles (kobles) med opplysninger i Kreftregisteret, Dødsårsaksregisteret, Meldingssystemet for smittsomme sykdommer (MSIS), Medisinsk fødselsregister, Reseptregisteret, Forsvarets helseregister, Norsk pasientregister og Hjerte- og karregisteret, dersom det gjøres av den dataansvarlige for ett av de nevnte registrene eller en virksomhet departementet bestemmer, og resultatet av sammenstillingen fremkommer i anonymisert form. 3-1 annet ledd første punktum skal lyde: Den dataansvarlige skal normalt effektuere forespørsler om statistiske opplysninger fra forvaltningen og forskere innen 60 dager fra den dagen bestillingen kom inn. 3-1 annet ledd tredje punktum skal lyde: Den dataansvarlige skal i så fall gi et foreløpig svar med opplysninger om forespørselen kan effektueres, om grunnen til forsinkelsen og sannsynlig tidspunkt for når bestillingen kan effektueres. 3-3 skal lyde: 3-3. (Tilgjengeliggjøring av sammenstilte datafiler til forskning mv.) Avidentifierte opplysninger som nevnt i 3-2 første ledd skal etter søknad utleveres eller på annen måte gjøres tilgjengelig for forskning, eventuelt annet uttrykkelig angitt formål innenfor registerets formål, jf. forskriften 1-3, dersom:

17 - mottakeren bare skal behandle avidentifiserte opplysninger, - behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn, og - sammenstillingen og tilretteleggingen av dataene gjøres av dataansvarlig for et av de registrene hvis opplysninger behandles, eller i en virksomhet departementet bestemmer. Forskriften 3-2 annet ledd gjelder tilsvarende. Ved spørsmål om tilgjengeliggjøring som beskrevet i første ledd til medisinsk og helsefaglig forskning kan registeret, i tilfeller der det etter registerets vurdering er tvil om behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn, forelegge spørsmålet om utlevering skal skje for en regional komité for medisinsk og helsefaglig forskningsetikk for avgjørelse. Vedtak fattet av regional komité for medisinsk og helsefaglig forskningsetikk kan påklages til Den nasjonale forskningsetiske komité for medisin og helsefag. Søknad om tilgjengeliggjøring av opplysninger som beskrevet i første ledd til medisinsk og helsefaglig forskning skal inneholde opplysninger om forskningsansvarlig og prosjektleder, jf. helseforskningsloven 6. Den dataansvarlige skal utlevere eller på annen måte tilgjengeliggjøre nødvendige og relevante data til den ansvarlige for det angitte prosjektet innen 60 dager fra den dagen søknaden kom inn. Rettsgrunnlaget for behandlingen av opplysningene skal fremgå av søknaden, jf. første ledd. Dersom særlige forhold gjør det umulig å effektuere søknaden innen den angitte fristen, kan effektueringen utsettes inntil det er mulig å oppfylle den. Den dataansvarlige skal i så fall gi et foreløpig svar med opplysninger om forespørselen kan effektueres, om grunnen til forsinkelsen og sannsynlig tidspunkt for når søknaden kan effektueres. Alle opplysninger som inngår i behandlingen etter denne paragrafen, skal slettes eller tilbakeleveres ved prosjektavslutning. 3-4 skal lyde: 3-4. (Plikt til å tilgjengeliggjøre ikke koblede data til forskning mv.) Folkehelseinstituttet skal etter forespørsel fra forvaltningen og forskere tilgjengeliggjøre statistiske opplysninger fra SYSVAK innen 30 dager fra den dagen forespørselen kom inn. Folkehelseinstituttet skal etter søknad tilgjengeliggjøre avidentifiserte opplysninger fra SYSVAK dersom - opplysningene skal brukes til et uttrykkelig angitt formål innenfor registerets formål, - mottakeren bare skal behandle avidentifiserte opplysninger og - behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn. Ved spørsmål om tilgjengeliggjøring som beskrevet i annet ledd til medisinsk og helsefaglig forskning kan registeret, i tilfeller der det etter registerets vurdering er tvil om behandlingen av opplysningene er ubetenkelig ut fra etiske hensyn, forelegge spørsmålet om utlevering skal skje for en regional komité for medisinsk og helsefaglig forskningsetikk for avgjørelse. Vedtak fattet av regional komité for medisinsk og helsefaglig forskningsetikk kan påklages til Den nasjonale forskningsetiske komité for medisin og helsefag. Søknad om tilgjengeliggjøring av opplysninger som beskrevet i første ledd til medisinsk og helsefaglig forskning skal inneholde opplysninger om forskningsansvarlig og prosjektleder, jf. helseforskningsloven 6.

18 Folkehelseinstituttet skal tilgjengeliggjøre nødvendige og relevante data til den dataansvarlige for det angitte prosjektet innen 30 dager fra den dagen søknaden kom inn. Rettsgrunnlaget for behandlingen av opplysningene skal fremgå av søknaden. Forskriften 3-3 sjette og syvende ledd gjelder tilsvarende. 3-5 skal lyde: 3-5. (Tilgjengeliggjøring og annen behandling av opplysninger i SYSVAK) Personidentifiserbare opplysninger fra SYSVAK kan bare tilgjengeliggjøres eller behandles på andre måter dersom det er adgang til å behandle opplysningene etter denne forskriften, etter den registrertes samtykke, etter vedtak om dispensasjon fra taushetsplikten, eller på andre grunnlag i samsvar med reglene om taushetsplikt og personvernforordningen artikkel 6 og 9. Helsedirektoratet skal svare på forespørsler om tilgjengeliggjøring av personidentifiserende opplysninger for bruk i uttrykkelig angitte forskningsprosjekter innen 30 dager fra den dagen forespørselen kom inn. Dersom særlige forhold gjør det umulig å svare på forespørselen innen den angitte fristen, kan svaret utsettes inntil det er mulig å gi svar. Helsedirektoratet skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis. 3-8 skal lyde: 3-8. (Oversikt over tilgjengeliggjøring) Folkehelseinstituttet skal føre oversikt over hvem opplysninger fra SYSVAK er utlevert til eller på annen måte gjort tilgjengelig for og hjemmelsgrunnlaget for at opplysningene er gjort tilgjengelige. Opplysningene skal oppbevares i minst fem år etter at opplysningene er gjort tilgjengelige. 4-1 første ledd skal lyde: Enhver som behandler helseopplysninger etter denne forskriften, har taushetsplikt etter helsepersonelloven. 4-1 tredje ledd oppheves. 4-2 første ledd skal lyde: Folkehelseinstituttet og databehandleren skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32 og helseregisterloven 21. 4-2 annet ledd oppheves. 4-3 første ledd skal lyde: Folkehelseinstituttet skal gjennomføre tekniske og organisatoriske tiltak for å sikre og påvise at behandling av opplysninger utføres i samsvar med personvernforordningen, personopplysningsloven og helseregisterloven, jf. helseregisterloven 22. 4-4 første ledd skal lyde: Internkontrollen innebærer at den dataansvarlige skal ha kunnskap om gjeldende regler om behandling av helseopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av rutiner, samt ha denne dokumentasjonen tilgjengelig for dem den måtte angå. 4-4 annet ledd nr. 3 skal lyde: 3. oversikt over de krav i og i medhold av personvernforordningen, personopplysningsloven og

19 helseregisterloven som gjelder for virksomheten, 4-4 annet ledd nr. 4.4. skal lyde: 4.4. hvordan virksomheten oppfyller bestemmelsene om tilgjengeliggjøring av opplysninger fra helseregistre, jf. 3-1, 3-3, 3-4 og 3-5, 4-4 annet ledd nr. 7 skal lyde: 7. rutiner for hvordan virksomheten systematisk og regelmessig gjennomgår sin internkontroll for å kontrollere at aktivitetene og resultatene av dem stemmer overens med det system virksomheten har fastlagt, og om det medfører oppfyllelse av personvernforordningen, personopplysningsloven og helseregisterloven, 5-1 første punktum skal lyde: Registrerte har rett til informasjon om SYSVAK og innsyn i behandling av helseopplysninger om seg selv i samsvar med personvernforordningen artikkel 13 til 15, jf. helseregisterloven 24. 5-3 skal lyde: 5-3. (Frist for å svare på henvendelser om innsyn) Begjæringer om innsyn etter 5-1 skal besvares uten ugrunnet opphold og senest én måned etter henvendelsen kom inn, jf. personvernforordningen artikkel 12 nr. 3. Dersom særlige forhold gjør det umulig å svare på henvendelsen innen én måned, kan gjennomføringen utsettes med ytterligere to måneder. Den dataansvarlige skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis. Kapittel 7 oppheves. 8. I forskrift 20. juni 2003 nr. 740 om Meldingssystem for smittsomme sykdommer (MSIS-forskriften) gjøres følgende endringer: Ny 1-2a skal lyde: 1-2a. (Avidentifiserte opplysninger) Med avidentifiserte opplysninger forstås i denne forskriften helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysninger som tidligere ble fjernet. Overskriften i 1-5 skal lyde: 1-5. (Dataansvarlig og ansvarlig for biobank) 1-5 første ledd skal lyde: Folkehelseinstituttet er dataansvarlig for innsamling og behandling av helseopplysninger i MSIS. 1-6 første ledd skal lyde: Folkehelseinstituttet kan inngå skriftlig avtale med en databehandler om innsamling og behandling av helseopplysninger i registeret, herunder om overvåking og forskning, jf. 1-3, drift og kvalitetssikring av registeret, samt tilgjengeliggjøring av data til brukere. 2-1 annet ledd skal lyde:

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding