Forskrift om kommunalt pasient- og brukerregister (KPR)
Kapittel 1. Innledende bestemmelser
§ 1-1. Formål
Forskriften skal sikre at innsamling og annen behandling av helseopplysninger i Kommunalt pasient- og brukerregister foretas på en etisk forsvarlig måte, ivaretar den enkeltes personvern og er til individets og samfunnets beste.Registeret skal gi sentrale og kommunale myndigheter grunnlag for planlegging, styring, finansiering og evaluering av kommunale helse- og omsorgstjenester.Helseopplysninger som er samlet inn til formålene angitt i andre ledd skal kunne brukes til kvalitetsforbedring, forebyggende arbeid, beredskap, analyser, forskning og Nasjonal kjernejournal.
§ 1-2. Virkeområde
Forskriften gjelder innsamling og annen behandling av helseopplysninger i Kommunalt pasient- og brukerregister om personer som har søkt, mottar eller har mottatt helse- og omsorgstjenester fra den kommunale helse- og omsorgstjenesten, fra virksomheter som yter tannhelsetjenester og fra private uten driftsavtale med kommune eller fylkeskommune som yter helse- og omsorgstjenester på kommunalt nivå.Endret ved forskrift 6 mai 2022 nr. 806.
§ 1-3. Dataansvarlig, databehandler og fagråd
Folkehelseinstituttet er dataansvarlig for registeret. Behandling av helseopplysninger skal skje i en avgrenset organisatorisk enhet i Folkehelseinstituttet.Den dataansvarlige kan inngå avtale med databehandlere om behandling av opplysningene på vegne av Folkehelseinstituttet. Avtalene skal være skriftlige.Den dataansvarlige skal opprette et fagråd hvor minst pasient- og brukerorganisasjonene, de kommunale helse- og omsorgstjenestene og de regionale helseforetakene er representert. Den dataansvarlige skal forelegge saken for fagrådet før det fattes beslutninger av vesentlig betydning for registerets innhold og behandling av opplysninger.Endret ved forskrifter 15 juni 2018 nr. 876 (i kraft 20 juli 2018), 20 des 2023 nr. 2165 (i kraft 1 jan 2024).
Kapittel 2. Opplysninger i registeret
§ 2-1. Opplysningstyper som kan registreres
Når det er nødvendig for registerets formål, jf. § 1-1 andre ledd, kan følgende opplysningstyper registreres:
direkte personidentifiserende kjennetegn:
fødselsnummer eller annen personidentifikator
demografiske og sosioøkonomiske opplysninger:
fødselsdato
kjønn
fødekommune/fødeland og innvandringstidspunkt
bosted/utvandringstidspunkt
bo- og omsorgssituasjon
sivilstand
utdanning
arbeidstilknytning
inntekt
dødsdato
administrative opplysninger om tjenestene:
tjenesteyter/organisasjon
tidsangivelse for varighet av og form for kontakt med tjenesten
om det er utarbeidet individuell plan, omsorgslønn og brukerstyrt personlig assistanse (BPA)
samhandling innad i tjenesten
helse- og omsorgsfaglige opplysninger:
helsetilstand
diagnose
funksjonsevne
risikofaktorer for sykdom og funksjonssvikt
kategorisering av/type tjenestebehov
type helsehjelp eller tjeneste
opplysninger om ulykker og skader:
skadested
skadetidspunkt
andre opplysninger om skade
opplysninger om finansiering av tjenesten
opplysninger om den registrerte har motsatt seg behandling av helseopplysninger
pasient- og brukerrapporterte opplysninger.
Opplysningstypene som nevnt i § 2-1 bokstav a til g kan registreres i registeret uten samtykke fra den registrerte.
§ 2-2. Rett til å motsette seg behandling av helseopplysninger
Den registrerte kan motsette seg registrering av helseopplysninger om skolehelsetjenester, helsestasjonstjenester og andre helsefremmende og forebyggende tjenester og svangerskaps- og barselsomsorgstjenester jf. helse- og omsorgstjenesteloven § 3-2 første ledd nr. 1 og 2, og tannhelsetjenester. Dette gjelder likevel ikke opplysninger etter denne forskriften § 2-1 første ledd bokstav a, b og c som er knyttet til disse tjenestene.Den registrerte kan motsette seg at helseopplysninger gjøres tilgjengelig fra registeret for formål som er nevnt i § 1-1 tredje ledd. Det samme gjelder tilgjengeliggjøring av helseopplysninger sammen med direkte personidentifiserende kjennetegn (fødselsnummer eller annen personidentifikator), jf. § 4-3 og § 4-5. Første og andre punktum gjelder ikke tilgjengeliggjøring for sammenstilling etter § 4-2.Endret ved forskrift 15 juni 2018 nr. 876 (i kraft 20 juli 2018).
Kapittel 3. Innmelding og kvalitetskontroll av helseopplysninger
§ 3-1. Plikt til å melde opplysninger til registeret
Virksomheter som yter helse- og omsorgstjenester etter helse- og omsorgstjenesteloven § 3-2, virksomheter som yter tannhelsetjenester og Helsedirektoratet skal sørge for at opplysninger som nevnt i § 2-1 blir meldt inn til registeret i samsvar med kravene etter § 3-2. Virksomhetene skal sørge for at det finnes rutiner som sikrer dette.Helsedirektoratet kan gi forskrifter om plikt til å melde opplysninger for private tjenesteytere uten driftsavtale med kommune eller fylkeskommune som yter helse- og omsorgstjenester på kommunalt nivå, jf. helsepersonelloven § 37.Lovbestemt taushetsplikt er ikke til hinder for at opplysningene meldes inn til registeret.Første og tredje ledd gjelder også for privatfinansierte virksomheter som yter helse- og omsorgstjenester uten driftsavtale med kommune eller fylkeskommune, herunder tannhelsetjenester.Endret ved forskrifter 1 nov 2022 nr. 1955, 6 sep 2024 nr. 2090 (i kraft 1 jan 2025, endring endret ved forskrift 6 nov 2024 nr. 2743).
§ 3-2. Konkrete opplysninger, rutiner mv.
Den dataansvarlige fastsetter hvilke tjenesteytere og hvilke konkrete opplysninger etter § 2-1 som skal meldes inn. Den dataansvarlige kan også fastsette tidsfrister og krav om bruk av bestemte klassifikasjonssystemer, kodeverk og standardiserte meldingsformater ved innmeldingen.Endret ved forskrift 15 juni 2018 nr. 876 (i kraft 20 juli 2018).
§ 3-3. Kvalitetskontroll i registeret og tilbakeføring
Den dataansvarlige skal kvalitetskontrollere helseopplysningene som behandles i registeret.Kvalitetskontrollerte helseopplysninger skal rutinemessig tilbakeføres til kommunene og andre virksomheter som har meldt inn opplysningene.Som ledd i kvalitetskontrollen kan helseopplysningene også sammenholdes med opplysninger i originalkilden (pasientjournal mv.). Dette skal skje hos virksomheten som har meldt inn opplysningene. Opplysninger som gjøres tilgjengelig skal være tilstrekkelige og relevante for den kvalitetskontrollen som skal gjennomføres.Endret ved forskrifter 15 juni 2018 nr. 876 (i kraft 20 juli 2018), 19 nov 2021 nr. 3235.
§ 3-4. Innmelding av pasient- og brukerrapporterte opplysninger
Den dataansvarlige skal legge til rette for at pasientene og brukerne selv kan melde inn person- og helseopplysninger til registeret, jf. § 2-1 første ledd bokstav h.Endret ved forskrift 15 juni 2018 nr. 876 (i kraft 20 juli 2018).
Kapittel 4. Tilgjengeliggjøring og annen behandling av helseopplysninger i registeret
§ 4-2. Tilrettelegging og tilgjengeliggjøring for andre registre
Den dataansvarlige kan tilrettelegge og tilgjengeliggjøre tilstrekkelige og relevante opplysninger fra registeret til andre helseregistre som har hjemmel i helseregisterloven § 9, § 10 og § 11 eller annen lov, for etablering, drift og kvalitetsutvikling i samsvar med loven eller forskriften for det aktuelle registeret, og til Nasjonal kjernejournal, jf. pasientjournalloven § 13. Tilrettelegging skal ikke føre til at Kommunalt pasient- og brukerregister tilføres flere opplysninger enn det som følger av § 2-1.Har den registrerte motsatt seg at helseopplysninger gjøres tilgjengelig fra registeret sammen med direkte personidentifiserende kjennetegn (fødselsnummer eller annen personidentifikator), jf. § 2-2 gjelder dette også for tilgjengeliggjøring etter første ledd, med mindre annet følger av samtykke eller er bestemt med hjemmel i lov.Ved tilgjengeliggjøring etter denne bestemmelsen gjelder fristene i helseregisterloven § 19f.Endret ved forskrifter 15 juni 2018 nr. 876 (i kraft 20 juli 2018), 23 april 2021 nr. 1269 som endret ved forskrift 12 mai 2021 nr. 1902 (i kraft 1 juni 2021).
§ 4-3. Bevaring av helseopplysninger
Helseopplysninger i registeret kan oppbevares i ubegrenset tid med mindre annet følger av helseregisterloven § 25 eller annen lovgivning. Den registrerte kan kreve at opplysningene om en selv slettes etter 30 år og senest 10 år etter ens død.Endret ved forskrift 19 nov 2021 nr. 3235 (tidligere § 4-9).
Kapittel 5. Informasjonssikkerhet
§ 5-1. Informasjonssikkerhet
Den dataansvarlige og databehandlere som den dataansvarlige har inngått avtale med, skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32 og helseregisterloven § 21.Endret ved forskrift 15 juni 2018 nr. 876 (i kraft 20 juli 2018).
§ 5-2. Kryptering og tilgang til opplysninger
Fødselsnummer og andre direkte personidentifiserende kjennetegn skal separeres og lagres kryptert og adskilt fra andre registeropplysninger.Bare autorisert personell som utfører tjenester eller arbeid mot registeret og arbeider under den dataansvarliges eller databehandlers instruksjonsmyndighet, kan gis tilgang til identifiserende opplysninger i registeret. Tilgangen kan ikke være mer omfattende enn det som er nødvendig for vedkommendes arbeid.Bare spesielt autoriserte personer som har behov for det i arbeidet, skal ha tilgang til ukrypterte helseopplysninger med direkte personidentifiserende kjennetegn (fødselsnumre eller annen personidentifikasjon).Endret ved forskrift 15 juni 2018 nr. 876 (i kraft 20 juli 2018).
Kapittel 6. IPLOS-registeret
§ 6-1. IPLOS-registeret
Pseudonyme IPLOS-opplysninger fra 2006 til 2017 kan bevares i ubegrenset tid, med mindre annet følger av denne forskriften eller helseregisterloven § 25. De pseudonyme opplysningene kan brukes i samsvar med forskrift 17. februar 2006 nr. 204 om pseudonymt register for individbasert helse- og omsorgsstatikk (IPLOS-forskriften).IPLOS-opplysninger fra 2006 til 2017 kan sammenstilles med opplysninger i Kommunalt pasient- og brukerregister for utarbeidelse av statistikk, jf. IPLOS-forskriften § 5-3.