We recommend that you upgrade to the latest version of your browser.
logo Oslo universitetssykehus

Når og hvordan er det lov å utlevere?

Utlevering av helse og personopplysninger

Utlevering av helse- og personopplysninger til annen virksomhet krever et lovlig grunnlag, både for den som skal utlevere og den som skal motta opplysningene.

Ved OUS er det Personvernombudet som vurderer grunnlaget for utlevering til forskning og kvalitetssikring. Andre virksomheter kan ha annen organisering av utlevering.

Utgangspunktet for utlevering av personopplysninger er samtykke, så sant ikke annet hjemmelsgrunnlag foreligger (grunnlag i lov/forskrift). Samtykket må eksplisitt beskrive muligheten for å utlevere opplysningene.

Dersom samtykke ikke foreligger må virksomheten alternativt kunne fremvise dispensasjon fra taushetsplikten gitt av REK (for forskning), eller Helsedirektoratet (for kvalitetssikring).

Eksempler på godkjenninger som må dokumenteres:

  • Helseforskning
    • REK
  • Annen forskning og helsetjenesteforskning
    • Personvernombud
  • Intern kvalitetssikring med hjemmel i hpl § 26
    • Personvernombud
    • Samtykke eller dispensasjon gitt av Helsedirektoratet
  • Legemiddelutprøvinger
    • REK
    • Legemiddelverket
  • Utprøving av medisinsk teknisk utstyr
    • REK
    • Helsedirektoratet

Både sykehuset som utleverer og virksomheten som mottar helse- og personopplysninger, har felles forpliktelse til å sørge for at utleveringen skjer på en sikker måte. Sykehuset vil derfor måtte godkjenne utleveringsformen. Dersom denne skjer elektronisk, må den elektroniske løsningen risikovurderes og godkjennes av begge parter.

Et minimumskrav for elektronisk overføring av helse- og personopplysninger, er at overføringen er kryptert. Det er imidlertid ikke den eneste faktoren som skal vurderes sikkerhetsmessig  

Sykehuset forventer derfor at eksterne virksomheter som ønsker helse- og personopplysninger utlevert elektronisk, fremlegger dokumentasjon på risikovurdering. 

Det er informasjonssikkerhetsleder i begge virksomheter som kan godkjenne utleveringsformen. Sykehusets aksept av utleveringsløsning er ikke statisk, men forutsetter at leverandør av den elektroniske utleveringsløsningen oppdaterer sikkerheten etterhvert som risikobildet endrer seg.

Det vises forøvrig til Ledelsessystem for informasjonssikkerhet i Helse Sør-Øst og dokumentet i eHåndboka Utlevering av helse- og personopplysninger.

Den som ber om opplysninger fra en annen virksomhet, skal uoppfordret gi dokumentasjon som foreskrevet.

  • Ved OUS er melderutinene og dokumentasjonskravet beskrevet her.
  • Ved andre foretak som benytter samme personvernombud som OUS, gjelder egne rutiner.

Spørsmål kan rettes til Personvernombudet


Last updated 8/3/2022