Utlevering av helse og personopplysninger

Når og hvordan er det lov å utlevere?

Utlevering av helse- og personopplysninger til annen virksomhet krever et lovlig grunnlag, både for den som skal utlevere og den som skal motta opplysningene.

Hvem avgjør?

Ved OUS er det Personvernombudet som vurderer grunnlaget for utlevering til forskning og kvalitetssikring. Andre virksomheter kan ha annen organisering av utlevering.

Samtykke eller dispensasjon

Utgangspunktet for utlevering av personopplysninger er samtykke, så sant ikke annet hjemmelsgrunnlag foreligger (grunnlag i lov/forskrift). Samtykket må eksplisitt beskrive muligheten for å utlevere opplysningene.

Dersom samtykke ikke foreligger må virksomheten alternativt kunne fremvise dispensasjon fra taushetsplikten gitt av REK (for forskning), eller Helsedirektoratet (for kvalitetssikring).

Godkjenning hos den som mottar opplysningene

Eksempler på godkjenninger som må dokumenteres:

  • Helseforskning
    • REK
  • Annen forskning og helsetjenesteforskning
    • Personvernombud
  • Intern kvalitetssikring med hjemmel i hpl § 26
    • Personvernombud
    • Samtykke eller dispensasjon gitt av Helsedirektoratet
  • Legemiddelutprøvinger
    • REK
    • Legemiddelverket
  • Utprøving av medisinsk teknisk utstyr
    • REK
    • Helsedirektoratet

Informasjonssikkerhet

Både sykehuset som utleverer og virksomheten som mottar helse- og personopplysninger, har felles forpliktelse til å sørge for at utleveringen skjer på en sikker måte. Sykehuset vil derfor måtte godkjenne utleveringsformen. Dersom denne skjer elektronisk, må den elektroniske løsningen risikovurderes og godkjennes av begge parter.

Et minimumskrav for elektronisk overføring av helse- og personopplysninger, er at overføringen er kryptert. Det er imidlertid ikke den eneste faktoren som skal vurderes sikkerhetsmessig  

Sykehuset forventer derfor at eksterne virksomheter som ønsker helse- og personopplysninger utlevert elektronisk, fremlegger dokumentasjon på risikovurdering. 

Det er informasjonssikkerhetsleder i begge virksomheter som kan godkjenne utleveringsformen. Sykehusets aksept av utleveringsløsning er ikke statisk, men forutsetter at leverandør av den elektroniske utleveringsløsningen oppdaterer sikkerheten etterhvert som risikobildet endrer seg.

Det vises forøvrig til Styringssystem for informasjonssikkerhet i Helse Sør-Øst og dokumentet Utlevering av helse- og personopplysninger.

Dokumentasjon, melding og spørsmål

Den som ber om opplysninger fra en annen virksomhet, skal uoppfordret gi dokumentasjon som foreskrevet.

  • Ved OUS er melderutinene og dokumentasjonskravet beskrevet her.
  • Ved andre foretak som benytter samme personvernombud som OUS, gjelder egne rutiner.
Spørsmål kan rettes til Personvernombudet


Fant du det du lette etter?
Tilbakemeldingen vil ikke bli besvart. Ikke send personlig informasjon, for eksempel epost, telefonnummer eller personnummer.