Forskrift om innsamling og behandling av helseopplysninger i Nasjonalt register over hjerte- og karlidelser (Hjerte- og karregisterforskriften)

Kapittel 1. Generelle bestemmelser

§ 1-1. Nasjonalt register over hjerte- og karlidelser

Forskriften gjelder Nasjonalt register over hjerte- og karlidelser, innsamling og annen behandling av helseopplysninger i registeret. Hjerte- og karregisteret består av et basisregister og tilknyttede medisinske kvalitetsregistre og kan inneholde opplysninger om

alle personer som har eller har hatt hjerte- eller karlidelse
pasienter som mottar helsehjelp for slik sykdom i Norge eller i utlandet etter henvisning fra spesialisthelsetjenesten i Norge.

Opplysningene i Hjerte- og karregisteret kan ikke anvendes til formål som er uforenlig med § 1-2.

Opplysninger om enkeltindivider som er fremkommet ved behandling av helseopplysninger etter forskriften, kan ikke brukes i forsikringsøyemed, av påtalemyndighet, domstol eller arbeidsgiver, selv om den registrerte samtykker.

§ 1-2. Hjerte- og karregisterets formål

Formålet med Hjerte- og karregisteret er å bidra til bedre kvalitet på helsehjelpen til personer med hjerte- og karsykdommer. Opplysninger i registeret skal benyttes til forebyggende arbeid, kvalitetsforbedring og helseforskning. Registeret skal også utgjøre et grunnlag for styring og planlegging av helsetjenester rettet mot personer med hjerte- og karsykdommer, overvåkning av nye tilfeller og forekomst av slike sykdommer i befolkningen.

§ 1-3. Dataansvarlig, databehandler og fagråd

Folkehelseinstituttet er dataansvarlig for innsamling og behandling av helseopplysninger i registeret.

Folkehelseinstituttet kan inngå avtale med en databehandler om behandling av opplysningene på vegne av instituttet. Avtalen skal være skriftlig.

Den dataansvarlige skal opprette fagråd hvor de regionale helseforetakene er representert. Fagrådet skal avgi uttalelse før det fattes beslutninger av betydning for registerets innhold og organisering.

Endret ved forskrifter 18 des 2015 nr. 1588 (i kraft 1 jan 2016), 15 juni 2018 nr. 876 (i kraft 20 juli 2018).

§ 1-4. Opplysninger som kan registreres

Basisregisteret kan, når det er relevant og nødvendig for å fremme registerets formål, uten samtykke fra den registrerte, inneholde opplysninger fra Folkeregisteret, Norsk pasientregister og Dødsårsaksregisteret, om:

Identifikasjonsopplysninger:
1. fødselsnummer eller annet entydig identifikasjonsnummer
2. bostedskommune
3. fødested
4. sivilstand.
Administrative opplysninger:
1. om henvisning
2. om behandlende institusjon
3. om konsultasjon og innleggelse
4. om pasientrettigheter
5. om dødstidspunkt og dødssted.
Medisinske opplysninger:
1. fagområde
2. diagnose og diagnosekoder
3. behandling og prosedyrekoder
4. tidspunkt for oppstart og avslutning av helsehjelp
5. dødsårsak, obduksjonsresultat og mistanke om unaturlig død.
Når det er relevant og nødvendig for å fremme registerets formål kan kvalitetsregistrene inneholde flere og mer detaljerte opplysninger om sykdommen og helsehjelpen. Dette gjelder:
1. kjente risikofaktorer for hjerte- og karsykdom
2. tidligere sykehistorie og behandling, herunder komplikasjoner
3. aktuell sykdom
4. aktuell helsehjelp (medisinske detaljer)
5. resultatene av helsehjelpen
6. videre behandling som,
  
  hvilke legemidler pasienten skal bruke
  
  andre sekundærforebyggende tiltak.

Opplysningene skal følge den klassifikasjonen som Folkehelseinstituttet bestemmer.

Biologisk materiale og resultat av genetisk prediktive undersøkelser, jf. bioteknologiloven § 5-1 bokstav b, skal ikke inngå i registeret.

Endret ved forskrifter 18 des 2015 nr. 1588 (i kraft 1 jan 2016), 15 juni 2018 nr. 876 (i kraft 20 juli 2018).

§ 1-5. (Opphevet)

Tilføyd ved forskrift 15 juni 2018 nr. 876 (i kraft 20 juli 2018), opphevet ved forskrift 23 april 2021 nr. 1269 som endret ved forskrift 12 mai 2021 nr. 1902 (i kraft 1 juni 2021).

Kapittel 2. Innmelding, kontroll og behandling av opplysninger

§ 2-1. Plikt til å melde opplysninger

Helseforetak, annen virksomhet som yter spesialisthelsetjenester og dataansvarlig for Norsk pasientregister og Dødsårsaksregisteret skal melde inn nødvendige helseopplysninger etter § 1-4.

Opplysningene skal meldes inn elektronisk, i det format og etter rutiner og frister fastsatt av Folkehelseinstituttet.

Lovbestemt taushetsplikt er ikke til hinder for at opplysninger etter § 1-4 meldes til Hjerte- og karregisteret, jf. helseregisterloven § 13.

Endret ved forskrifter 18 des 2015 nr. 1588 (i kraft 1 jan 2016), 15 juni 2018 nr. 876 (i kraft 20 juli 2018).

§ 2-2. Ansvar for korrekte opplysninger

Folkehelseinstituttet skal sørge for at opplysninger som behandles i registeret er korrekte, relevante og nødvendige.

Melder skal varsles dersom meldingen er mangelfull, jf. helseregisterloven § 13 andre ledd andre punktum.

Folkehelseinstituttet skal sørge for at kvalitetskontrollerte data rutinemessig tilbakeføres til melder.

Endret ved forskrifter 18 des 2015 nr. 1588 (i kraft 1 jan 2016), 15 juni 2018 nr. 876 (i kraft 20 juli 2018).

Kapittel 3. Behandling av helseopplysninger i Hjerte- og karregisteret

§ 3-1. Tilgjengeliggjøring og annen behandling av helseopplysninger

Helseopplysninger i Hjerte- og karregisteret skal behandles i samsvar med personvernforordningen, personopplysningsloven og de alminnelige vilkårene i helseregisterloven § 6 og reglene om taushetsplikt i helseregisterloven § 17, jf. helsepersonelloven §§ 21 flg.

Ved tilgjengeliggjøring og sammenstilling av opplysninger i registeret gjelder i tillegg helseregisterloven § 19 til § 19h.

Endret ved forskrifter 18 des 2015 nr. 1588 (i kraft 1 jan 2016), 15 juni 2018 nr. 876 (i kraft 20 juli 2018), 23 april 2021 nr. 1269 som endret ved forskrift 12 mai 2021 nr. 1902 (i kraft 1 juni 2021).

§ 3-2. Informasjonsstrategi rettet mot brukergrupper

For i samsvar med forskriftens formål å fremme bruken av opplysninger fra registeret og for å bygge opp informasjon og kunnskap, skal Folkehelseinstituttet ha en aktiv informasjonsstrategi rettet mot helseforvaltningen, helsetjenesten, øvrig forvaltning, medisinsk og helsefaglig forskning, helsetjenesteforskning, samfunnsforskning og overfor publikum generelt.

Endret ved forskrifter 18 des 2015 nr. 1588 (i kraft 1 jan 2016), 23 april 2021 nr. 1269 som endret ved forskrift 12 mai 2021 nr. 1902 (i kraft 1 juni 2021, tidligere § 3-6).

Kapittel 4. Taushetsplikt, informasjonssikkerhet og internkontroll

§ 4-1. Taushetsplikt

Enhver som behandler helseopplysninger etter forskriften, har taushetsplikt etter helseregisterloven § 17.

Endret ved forskrift 15 juni 2018 nr. 876 (i kraft 20 juli 2018).

§ 4-2. Informasjonssikkerhet

Folkehelseinstituttet og databehandlere som Folkehelseinstituttet har inngått avtale med, skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32 og helseregisterloven § 21.

Endret ved forskrifter 18 des 2015 nr. 1588 (i kraft 1 jan 2016), 15 juni 2018 nr. 876 (i kraft 20 juli 2018).

§ 4-3. Kryptering og tilgjengeliggjøring av opplysninger

Direkte personidentifiserende kjennetegn som fødselsnummer og D-nummer skal separeres og lagres kryptert og adskilt fra andre registeropplysninger.

Bare personell som utfører tjenester eller arbeid mot registeret og arbeider under Folkehelseinstituttet eller databehandlers instruksjonsmyndighet, kan gis tilgang til opplysninger i registeret. Tilgangen kan ikke være mer omfattende enn det som er nødvendig for vedkommendes arbeid. Registeret skal ha systemer for hendelsesregistrering (logging) av elektroniske spor ved all tilgang til registeret.

Bare spesielt autoriserte personer som har behov for det i arbeidet, skal ha tilgang til ukrypterte opplysninger.

Endret ved forskrifter 18 des 2015 nr. 1588 (i kraft 1 jan 2016), 15 juni 2018 nr. 876 (i kraft 20 juli 2018).

§ 4-4. Krav til internkontroll

Folkehelseinstituttet skal gjennomføre tekniske og organisatoriske tiltak for å sike og påvise at behandlingen av opplysningene utføres i samsvar med personvernforordningen, personopplysningloven og helseregisterloven, jf. helseregisterloven § 22. Databehandlere som behandler helseopplysninger på vegne av Folkehelseinstituttet, skal behandle opplysninger i samsvar med rutiner fastsatt av Folkehelseinstituttet.

Det skal foreligge tilstrekkelig og oppdatert dokumentasjon for gjennomføring av rutiner som minst inneholder:

en oversikt over hvordan virksomheten er organisert,
en oversikt over ansvars- og myndighetsforhold,
en oversikt over de krav i og i medhold av personvernforordningen, personopplysningsloven og helseregisterloven som gjelder for virksomheten,
rutiner virksomheten følger for å oppfylle kravene, herunder rutiner for
1. at personidentifiserbare opplysninger bare behandles når dette er nødvendig for å fremme formålet med behandlingen av opplysningene, og i tråd med gjeldende bestemmelser om taushetsplikten, jf. helseregisterloven § 6 og § 17,
2. dokumentasjon og kvalitetskontroll av helseopplysningene, jf. § 2-1 og § 2-2,
3. å behandle krav om informasjon og innsyn, jf. helseregisterloven § 24, samt forskriften § 5-1,
4. tilgjengeliggjøring og sammenstilling av opplysninger fra helseregistre, jf. § 3-1,
rutiner virksomheten følger dersom avvik oppstår og opplysninger om hvem som er ansvarlig,
rutiner virksomheten følger for å hindre gjentakelse av avvik og opplysninger om hvem som er ansvarlig,
rutiner for hvordan virksomheten systematisk og regelmessig gjennomgår sin internkontroll for å kontrollere at aktivitetene og resultatene av dem samsvarer med det systemet virksomheten har fastlagt, og oppfyller kravene i personvernforordningen, personopplysningsloven og helseregisterloven,
rutiner for hvordan virksomheten sikrer seg at alle aktuelle og kun gjeldende rutiner blir benyttet, og
rutiner for hvordan virksomheten sikrer at de ansatte har tilstrekkelig kompetanse til å overholde forskriftens krav.

Dokumentasjonen skal være tilgjengelig for dem det måtte angå. Tilsynsmyndighetene kan gi pålegg om skriftlig dokumentasjon ut over dette dersom det anses påkrevd.

Endret ved forskrifter 18 des 2015 nr. 1588 (i kraft 1 jan 2016), 15 juni 2018 nr. 876 (i kraft 20 juli 2018), 19 nov 2021 nr. 3235.

§ 4-5. Oversikt over tilgjengeliggjøring

Folkehelseinstituttet skal føre oversikt over hvem som får utlevert eller på annen måte tilgjengeliggjort opplysninger fra registeret og hjemmelsgrunnlaget for tilgjengeliggjøringene. Oversikten skal oppbevares i minst fem år etter angitte tidspunkt for prosjektavslutning.

Endret ved forskrifter 18 des 2015 nr. 1588 (i kraft 1 jan 2016), 15 juni 2018 nr. 876 (i kraft 20 juli 2018).

§ 4-6. Bevaring av helseopplysninger

Opplysninger i registeret skal bevares så lenge det er nødvendig for å oppfylle formålet jf. § 1-2, med mindre annet følger av forskriften, helseregisterloven § 25 eller arkivloven.

Endret ved forskrift 15 juni 2018 nr. 876 (i kraft 20 juli 2018).

Kapittel 5. Den registrertes rettigheter

§ 5-1. Den registrertes rett til informasjon og innsyn

Registrerte har rett til informasjon om registeret og innsyn i behandling av helseopplysninger om seg selv i samsvar med helseregisterloven § 24.

Registrerte har rett til innsyn i utleveringer som gis i personidentifiserbar form. Er den registrerte mindreårig, gjelder pasientrettighetsloven § 3-4 tilsvarende.

Informasjon skal gis i en forståelig form.

Endret ved forskrift 15 juni 2018 nr. 876 (i kraft 20 juli 2018).

§ 5-2. Frist for å svare på henvendelser om innsyn

Begjæringer om innsyn etter § 5-1 skal besvares uten ugrunnet opphold og senest én måned etter at henvendelsen kom inn, jf. personvernforordningen artikkel 12 nr. 3.

Dersom særlige forhold gjør det umulig å svare på henvendelsen innen én måned, kan gjennomføringen utsettes med ytterligere to måneder. Den dataansvarlige skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis.

Endret ved forskrifter 18 des 2015 nr. 1588 (i kraft 1 jan 2016), 15 juni 2018 nr. 876 (i kraft 20 juli 2018).

§ 5-3. Retting og sletting av helseopplysninger

Den registrerte har rett til å kreve retting og sletting av opplysninger etter bestemmelsene i helseregisterloven § 25.

Endret ved forskrift 15 juni 2018 nr. 876 (i kraft 20 juli 2018).

Kapittel 6. Tilsyn, pålegg, tvangsmulkt, straff og ikraftsetting

§ 6-1. Forsterket tilsyn med Hjerte- og karregisteret

Datatilsynet fører tilsyn med Hjerte- og karregisteret, jf. helseregisterloven § 26 og personopplysningsloven § 20. Folkehelseinstituttet skal årlig gi Datatilsynet rapport om virksomheten.

Endret ved forskrifter 18 des 2015 nr. 1588 (i kraft 1 jan 2016), 15 juni 2018 nr. 876 (i kraft 20 juli 2018).

§ 6-2. Overtredelsesgebyr

Datatilsynet kan ved behandling av opplysninger i strid med forskriften ilegge overtredelsesgebyr etter personvernforordningen artikkel 83 og personopplysningsloven §§ 26 og 27, jf. helseregisterloven § 29.

Endret ved forskrift 15 juni 2018 nr. 876 (i kraft 20 juli 2018).

§ 6-3. (Opphevet)

Opphevet ved forskrift 15 juni 2018 nr. 876 (i kraft 20 juli 2018).

§ 6-4. (Ikraftsetting)

Forskriften trer i kraft 1. januar 2012.

§ 6-5. Endringer i andre forskrifter

Fra 1. januar 2012 gjøres følgende endringer i andre forskrifter:

1. I forskrift 7. desember 2007 nr. 1389 om innsamling og behandling av helseopplysninger i Norsk pasientregister gjøres følgende endringer: – – –

2. I forskrift 21. desember 2001 nr. 1477 om innsamling og behandling av helseopplysninger i Kreftregisteret gjøres følgende endringer: – – –

3. I forskrift 21. desember 2001 nr. 1483 om innsamling og behandling av helseopplysninger i Medisinsk fødselsregister gjøres følgende endring: – – –

4. I forskrift 21. desember 2001 nr. 1476 om innsamling og behandling av helseopplysninger i Dødsårsaksregisteret gjøres følgende endringer: – – –

5. I forskrift 20. juni 2003 nr. 740 om innsamling og behandling av helseopplysninger i Meldingssystem for smittsomme sykdommer og i Tuberkuloseregisteret og om varsling om smittsomme sykdommer gjøres følgende endring: – – –

6. I forskrift 20. juni 2003 nr. 739 om innsamling og behandling av helseopplysninger i Nasjonalt vaksinasjonsregister gjøres følgende endring: – – –

7. I forskrift 17. oktober 2003 nr. 1246 om innsamling og behandling av helseopplysninger i Reseptbasert legemiddelregister gjøres følgende endring: – – –

8. I forskrift 2. september 2005 nr. 1010 om innsamling og behandling av opplysninger i Forsvarets helseregister gjøres følgende endring: – – –

Forskrift om innsamling og behandling av helseopplysninger i Nasjonalt register over hjerte- og karlidelser (Hjerte- og karregisterforskriften)

Kapittel 1. Generelle bestemmelser

§ 1-1. Nasjonalt register over hjerte- og karlidelser

§ 1-2. Hjerte- og karregisterets formål

§ 1-3. Dataansvarlig, databehandler og fagråd

§ 1-4. Opplysninger som kan registreres

§ 1-5. (Opphevet)

Kapittel 2. Innmelding, kontroll og behandling av opplysninger

§ 2-1. Plikt til å melde opplysninger

§ 2-2. Ansvar for korrekte opplysninger

Kapittel 3. Behandling av helseopplysninger i Hjerte- og karregisteret

§ 3-1. Tilgjengeliggjøring og annen behandling av helseopplysninger

§ 3-2. Informasjonsstrategi rettet mot brukergrupper

Kapittel 4. Taushetsplikt, informasjonssikkerhet og internkontroll

§ 4-1. Taushetsplikt

§ 4-2. Informasjonssikkerhet

§ 4-3. Kryptering og tilgjengeliggjøring av opplysninger

§ 4-4. Krav til internkontroll

§ 4-5. Oversikt over tilgjengeliggjøring

§ 4-6. Bevaring av helseopplysninger

Kapittel 5. Den registrertes rettigheter

§ 5-1. Den registrertes rett til informasjon og innsyn

§ 5-2. Frist for å svare på henvendelser om innsyn

§ 5-3. Retting og sletting av helseopplysninger

Kapittel 6. Tilsyn, pålegg, tvangsmulkt, straff og ikraftsetting

§ 6-1. Forsterket tilsyn med Hjerte- og karregisteret

§ 6-2. Overtredelsesgebyr

§ 6-3. (Opphevet)

§ 6-4. (Ikraftsetting)

§ 6-5. Endringer i andre forskrifter

Refereres av