Helsedirektoratet viser til høring om endringer i pasientjournalloven mv. om nasjonal digital samhandling til beste for pasienter og brukere med høringsfrist 15. oktober 2021.
Helsedirektoratet støtter forslaget til lovregulering av ny nasjonal samhandlingsløsning. Vi mener det er viktig at lovverket hensyntar teknologisk utvikling som understøtter helsefaglige behov.
Videre mener vi det er viktig at regelverket understøtter en tydelig oppgavefordeling og gjør det enkelt for virksomhetene å forstå eget ansvar. Helselovgivningen er omfattende og må leses i sammenheng. Det må være tydelig hvor langt eget ansvar strekker seg inn i en digital samhandlingsinfrastruktur.
Vi støtter også forslaget om å forskriftsfeste et sentralisert dataansvar.
Vi har følgende innspill til konkrete punkter i høringsnotatet:
5.1: Hva er nasjonal datainfrastruktur for digital samhandling?
Departementet skriver at med nasjonal digital samhandling menes et nettverk av digital teknologi og ulike aktører, som til sammen utgjør en digital samhandlingsinfrastruktur. Datainfrastrukturen kan omfatte journalopplysninger og annen informasjon som benyttes i samhandling for å yte, administrere eller kvalitetssikre helsehjelp til enkeltpersoner. Dette inkluderer nasjonale e-helseløsninger og andre felleskomponenter. Løsningene som inngår i den digitale infrastrukturen er hver for seg hjemlet i lov. Forslaget gir ikke hjemmel til å etablere nye nasjonale registre eller e-helseløsninger, utover det som følger av dagens lovgivning (høringen side 34).
Sentralt i forståelsen av nasjonal datainfrastruktur for digital samhandling er at helsepersonellet via egen journalløsning kan få tilgang til opplysninger dokumentert i andre
journalløsninger. Informasjon knyttet til enkeltpersoner registrert i ulike journalløsninger vil være søkbare, og i personvernforordningens forstand utgjøre et register.
Datainfrastrukturen skal legge til rette for at helsepersonell enkelt og raskt kan lese relevante journalopplysninger nedtegnet av helsepersonell i egen og andre virksomheter, men åpner i begrenset utstrekning for skriveadgang. Skriveadgangen vil typisk gjelde registrering av journalopplysninger knyttet til behandling av pasienter i egen virksomhet, helsefellesskap mv. og enkelte elementer i samhandlingsløsningen som e-resept og kjernejournal. Det må være tydelig for aktørene hvor dataansvaret for dokumentasjon av helsehjelp ligger, som til virksomheter som yter helsehjelp og Norsk helsenett for kjernejournal.
I punkt 5.5.3.4 skriver departementet at det kan være aktuelt å legge dataansvaret for felles oppgaver til forvaltningsorganisasjoner. De kan da forestå sentrale oppgaver som er felles for virksomhetene i ulike nasjonale løp, som samlet utgjør nasjonal journal. I samme punkt på side 46 står det at den dataansvarlige må legge praktisk til rette for at for eksempel retting og sletting kan skje.
Helsedirektoratets innspill:
Slik vi forstår høringsnotatet, vil formålet med den nasjonale datainfrastrukturen være å tilgjengeliggjøre helseopplysninger på tvers av pasientjournalsystemer. Datainfrastrukturen er i seg selv ikke et behandlingsrettet helseregister, men skal være en overbygning for samhandling om en pasient eller bruker i et behandlingsforløp.
Helsedirektoratet mener det er uklart hvilken rettslig ramme lovforslaget gir. Det er ikke tydelig avgrenset hvilken behandling av opplysninger infrastrukturen skal ha ansvaret for, utover et ansvar for å tilgjengeliggjøre opplysninger mellom virksomheter. Det er heller ikke tydelig hva som omfattes av "annen informasjon som benyttes for samhandling" i lovforslaget.
Vi legger til grunn at datainfrastrukturen ikke skal overta oppgaver som ligger til behandlingsansvarlige virksomheter som yter helsehjelp, men bistå med en tilgjengeliggjøring for å kunne samhandle om helsehjelpen. Dette innebærer blant annet at det er uklart hvilke rolle dataansvarlig for datainfrastrukturen skal ha for retting og sletting av opplysninger, hvor ansvaret ligger hos den enkelte virksomhet som yter helsehjelp.
Vi mener loven og forarbeidene på en tydeligere måte må avklare det rettslige grunnlaget for den nasjonale datainfrastrukturen, for å gi rammer for kommende forskriftsarbeid. Det er, slik vi ser det, ikke tydelig hvilke personopplysninger, utover journalopplysninger, som skal tilgjengeliggjøres i datainfrastrukturen. Det er heller ikke gått opp et tilstrekkelig tydelig skille mellom virksomhetenes ansvar og ansvaret til datainfrastrukturen.
Vi stiller spørsmål til om lovteksten kan tydeliggjøres, blant annet ved å definere begrepet nasjonal datainfrastruktur for digital samhandling i pasientjournalloven § 2. Se mer om våre innspill til lovteksten i punkt 9.
5.2 Formålet med forslaget
Departementets forslag skal bidra til en bedre, mer helhetlig og koordinert helsetjeneste, trygge tjenester av høy kvalitet og mer effektiv ressursbruk. Den digitale samhandlingen blir underlagt lovbestemt formålsbegrensning i samsvar med pasientjournalloven. Dette vil ikke være til hinder for at journalopplysninger også kan være tilgjengelig for å kunne videreutvikle helse- og omsorgstjenesten gjennom forskning og undervisning.
Det er en forutsetning at det er helsepersonellets og pasientenes behov som er styrende for den teknologiske utviklingen i sektoren, blant annet ved at utviklingen innrettes for å understøtte helsepersonells arbeidsprosesser.
Helsedirektoratets innspill:
Behovet for tilgang til data for såkalte sekundærformål er i begrenset grad tematisert i høringsnotatet, men det poengteres innledningsvis i notatet at relevante data må være tilgjengelige for kvalitetsforbedring, helseovervåkning, styring og forskning.
Vi mener at det er viktig at det ved en lovendring, samt en eventuell fremtidig forskriftsregulering av en nasjonal datainfrastruktur for primærformål, også legges til rette for at opplysninger som behandles i denne infrastrukturen kan samles inn og behandles (brukes) til sekundærformål. Dette gjelder både i forhold til ulike helseregistre etter helseregisterloven, registre etter helseberedskapslovgivningen og eventuelle andre løsninger/systemer hvor opplysninger fra helse- og omsorgstjenesten er essensielle. Vi viser til at behovet for tilgang til aktuelle data fra helse- og omsorgstjenesten, i form av helseopplysninger, opplysninger om ulike kapasiteter i tjenesten osv, for bruk til sekundærformål og på ulike nivåer i helseforvaltningen har vært svært tydelig ifm. håndteringen av korona-pandemien.
5.4 Adgangen til å dele pasientopplysninger mellom helsepersonell som skal yte helsehjelp
Departementet viser til at det er et vilkår at delingen av journalopplysninger etter § 45 er nødvendig for å kunne yte forsvarlig helsehjelp. Det må, med andre ord, foretas en konkret vurdering av nødvendigheten av delingen og hvilke opplysninger det er behov for å dele i den konkrete helsehjelpssituasjonen. Departementet skriver at vurderingen av om vilkårene er oppfylt kan gjøres både ved en konkret forespørsel om deling av helseopplysninger, eller i forkant når opplysningene nedtegnes, uavhengig av om det er en delingssituasjon eller om det vil komme til å bli en situasjon der helseopplysninger skal deles. Delingen kan skje ved en teknisk løsning for tilgangsstyring som tillater at helsepersonellet selv kan tilegne seg opplysninger innen rammen av den tilgang de er gitt.
Departementet vurderer at journalopplysninger kan deles etter § 45 i en samhandlingsløsning som nasjonal datainfrastruktur er. Samtidig ser departementet at det med nye samhandlingsløsninger, og for å sikre forutberegnelighet, bør kravene til forhåndsvurdering av hvilke journalopplysninger som kan deles, tydeliggjøres. Dette kan gjøres i forskrift etter § 45 tredje ledd.
Helsedirektoratets innspill:
Helsedirektoratet støtter at adgangen til å dele helseopplysninger etter helsepersonelloven §§ 25 og 45 via datainfrastrukturen reguleres i forskrift. Det er nødvendig å etablere tydelige og forutsigbare rammer for denne delingen, slik at lovens vilkår og personvernet til den enkelte pasient og bruker ivaretas på en rettmessig og forutsigbar måte.
5.5.3.5 Departementets forslag om hjemmel til å forskriftsregulere dataansvaret
Departementet ber om høringsinstansenes innspill til hvordan dataansvaret bør reguleres.
Helsedirektoratets innspill:
Helsedirektoratet støtter at et sentralt dataansvar reguleres i forskrift. Vi er enige med departementet i at dette vil bidra til et tydeligere ansvar for forvaltning, internkontroll og etterlevelse av krav til informasjonssikkerhet.
Vi støtter departementets vurdering om at virksomhetene på samme måte som i dag bør ha kompetanse ( menes myndighet? ) til å beslutte om og hvordan egengenererte helseopplysninger skal brukes, blant annet til andre formål enn helsehjelp, administrasjon og kvalitetsforbedring av helsehjelpen og sekundærbruk. Dette vil innebære at forvaltningsorganisasjonene utelukkende har en rolle knyttet til å bistå virksomhetene med uttrekk, sammenstilling og eventuell overføring av helse- og personopplysninger til helseregistre mv.
Vi mener imidlertid at rammene for hvilke opplysninger som kan behandles i en nasjonal digital datainfrastruktur tydeligere bør fastsettes i loven og forarbeidene til loven. Det bør fastsettes hvilke opplysninger som kan behandles i løsningen, og hvilke oppgaver som skal ligge til datainfrastrukturen.
5.7.2 Personer med adressesperre (kode 6 og 7)
Departementet skriver at særlige forhold til deling av helseopplysninger om personer med adressesperre kan eventuelt også reguleres i forskrift etter lovforslaget § 10 andre og tredje ledd.
Helsedirektoratets innspill:
Helsedirektoratet støtter at det fastsettes i forskrift på hvilken måte opplysninger om adressesperring ivaretas. Det er et viktig samfunnsansvar å ivareta pasienter og brukere som er utsatt for trusler. Dette samfunnsansvaret må slik vi ser det ivaretas på en systematisk og tydelig måte gjennom forskrift, for å sikre at helse- og omsorgstjenesten og helse- og omsorgsforvaltningen ivaretar dette ansvaret.
Punkt 6.2.1 Forslag til endring av pasientjournalloven § 11 og folketrygdloven § 21-11a
Departementet foreslår at pasientjournalloven og folketrygdloven endres slik at det tillates at det fattes enkeltvedtak som utelukkende er basert på automatisert behandling av helseopplysninger når avgjørelsen er lite inngripende overfor den enkelte.
Departementet legger til grunn at forskriftshjemmelen i folketrygdloven § 21-11a åttende ledd vil hjemle forskrifter om slike automatiserte enkeltvedtak etter folketrygdloven kapittel 5. Departementet foreslår imidlertid en endring, slik at det fremgår klart at det også kan gis forskrifter som tillater inngripende automatiserte enkeltvedtak.
Klagebehandlingen skal ikke være automatisert. Det skal i forskrift heller ikke gjøres unntak fra eventuell rett til å klage.
Helsedirektoratets innspill:
Helsedirektoratet anbefaler at begrepet "lite inngripende" bør omtales nærmere i forarbeidene. Dette er et skjønnsmessig begrep, som kan bidra til å skape usikkerhet rundt hva som omfattes av bestemmelsen. Forarbeidene viser til at "beløpets størrelse" kan være et moment i vurderingen. Det fremstår imidlertid som uklart hvorvidt vedtak om blå resept er å anse som små beløp, da det over tid vil kunne dreie seg om store beløp også der den enkelte utlevering utgjør mindre beløp. For en sikker og forutsigbar rettstilstand anbefaler vi nærmere føringer for hva som er ment med "lite inngripende".
Videre mener vi at folketrygdloven § 21-11 a må gi en rettslig ramme for at forskrifter kan tillate automatisert behandling av vedtak som er inngripende overfor den enkelte. Uten en slik rettslig ramme i loven kan forskrifter som tillater slike vedtak komme i strid med lovteksten, og ikke oppnå Departementets intensjoner, blant annet ved at vedtak kan bli kjent ugyldige.
Vi vil også bemerke at det vil være viktig at forskriftshjemmelen faktisk tas i bruk dersom videre digitalisering av stønadsordningene i kap. 5 skal kunne skje.
Vi støtter at klagebehandlingen ikke automatiseres, og at klagerett beholdes. Dette vil bidra til å ivareta den sikkerhet som personvernforordningen har tatt sikte på å ivareta ved at automatisert behandling i utgangspunktet er forbudt uten nasjonal hjemmel.
Punkt 9 Forslag til lovendring
"Datainfrastrukturen kan omfatte journalopplysninger og annen informasjon som benyttes i samhandling for å yte, administrere eller kvalitetssikre helsehjelp til enkeltpersoner og som er hentet fra registre som er hjemlet i en annen lovbestemmelse."
Helsedirektoratets innspill:
Begrepet nasjonal datainfrastruktur for digital samhandling bør slik vi ser det defineres i pasientjournalloven § 2.
Vi stiller spørsmål til om § 10 andre setning ikke i tilstrekkelig grad setter rammer for behandlingsgrunnlaget, dvs. i hvilken grad datainfrastrukturen kan behandle personopplysninger. Videre er det ikke klart hvilke opplysninger som omfattes av begrepet "annen informasjon". Spørsmålet er om dette er ment å omfatte nasjonale e-helseløsninger og andre felleskomponenter som nevnt i punkt 5.1 og såkalte grunnmurskomponenter som virksomhetsdata, personellregister og helse-ID som nevnt i punkt 2.2.5.
Det er også uklart hva som "er hjemlet i en annen lovbestemmelse". Menes en annen lovbestemmelse i pasientjournalloven?
Vi ber departementet vurdere om lovteksten istedenfor utformes slik:
"Datainfrastrukturen kan tilgjengeliggjøre opplysninger fra behandlingsrettede helseregistre og registre i helse- og omsorgsforvaltningen som understøtter samhandling for å yte, administrere eller kvalitetssikre helsehjelp til enkeltpersoner."
Helsedirektoratet støtter forslaget til lovregulering av ny nasjonal samhandlingsløsning. Vi mener det er viktig at lovverket hensyntar teknologisk utvikling som understøtter helsefaglige behov.
Videre mener vi det er viktig at regelverket understøtter en tydelig oppgavefordeling og gjør det enkelt for virksomhetene å forstå eget ansvar. Helselovgivningen er omfattende og må leses i sammenheng. Det må være tydelig hvor langt eget ansvar strekker seg inn i en digital samhandlingsinfrastruktur.
Vi støtter også forslaget om å forskriftsfeste et sentralisert dataansvar.
Vi har følgende innspill til konkrete punkter i høringsnotatet:
5.1: Hva er nasjonal datainfrastruktur for digital samhandling?
Departementet skriver at med nasjonal digital samhandling menes et nettverk av digital teknologi og ulike aktører, som til sammen utgjør en digital samhandlingsinfrastruktur. Datainfrastrukturen kan omfatte journalopplysninger og annen informasjon som benyttes i samhandling for å yte, administrere eller kvalitetssikre helsehjelp til enkeltpersoner. Dette inkluderer nasjonale e-helseløsninger og andre felleskomponenter. Løsningene som inngår i den digitale infrastrukturen er hver for seg hjemlet i lov. Forslaget gir ikke hjemmel til å etablere nye nasjonale registre eller e-helseløsninger, utover det som følger av dagens lovgivning (høringen side 34).
Sentralt i forståelsen av nasjonal datainfrastruktur for digital samhandling er at helsepersonellet via egen journalløsning kan få tilgang til opplysninger dokumentert i andre
journalløsninger. Informasjon knyttet til enkeltpersoner registrert i ulike journalløsninger vil være søkbare, og i personvernforordningens forstand utgjøre et register.
Datainfrastrukturen skal legge til rette for at helsepersonell enkelt og raskt kan lese relevante journalopplysninger nedtegnet av helsepersonell i egen og andre virksomheter, men åpner i begrenset utstrekning for skriveadgang. Skriveadgangen vil typisk gjelde registrering av journalopplysninger knyttet til behandling av pasienter i egen virksomhet, helsefellesskap mv. og enkelte elementer i samhandlingsløsningen som e-resept og kjernejournal. Det må være tydelig for aktørene hvor dataansvaret for dokumentasjon av helsehjelp ligger, som til virksomheter som yter helsehjelp og Norsk helsenett for kjernejournal.
I punkt 5.5.3.4 skriver departementet at det kan være aktuelt å legge dataansvaret for felles oppgaver til forvaltningsorganisasjoner. De kan da forestå sentrale oppgaver som er felles for virksomhetene i ulike nasjonale løp, som samlet utgjør nasjonal journal. I samme punkt på side 46 står det at den dataansvarlige må legge praktisk til rette for at for eksempel retting og sletting kan skje.
Helsedirektoratets innspill:
Slik vi forstår høringsnotatet, vil formålet med den nasjonale datainfrastrukturen være å tilgjengeliggjøre helseopplysninger på tvers av pasientjournalsystemer. Datainfrastrukturen er i seg selv ikke et behandlingsrettet helseregister, men skal være en overbygning for samhandling om en pasient eller bruker i et behandlingsforløp.
Helsedirektoratet mener det er uklart hvilken rettslig ramme lovforslaget gir. Det er ikke tydelig avgrenset hvilken behandling av opplysninger infrastrukturen skal ha ansvaret for, utover et ansvar for å tilgjengeliggjøre opplysninger mellom virksomheter. Det er heller ikke tydelig hva som omfattes av "annen informasjon som benyttes for samhandling" i lovforslaget.
Vi legger til grunn at datainfrastrukturen ikke skal overta oppgaver som ligger til behandlingsansvarlige virksomheter som yter helsehjelp, men bistå med en tilgjengeliggjøring for å kunne samhandle om helsehjelpen. Dette innebærer blant annet at det er uklart hvilke rolle dataansvarlig for datainfrastrukturen skal ha for retting og sletting av opplysninger, hvor ansvaret ligger hos den enkelte virksomhet som yter helsehjelp.
Vi mener loven og forarbeidene på en tydeligere måte må avklare det rettslige grunnlaget for den nasjonale datainfrastrukturen, for å gi rammer for kommende forskriftsarbeid. Det er, slik vi ser det, ikke tydelig hvilke personopplysninger, utover journalopplysninger, som skal tilgjengeliggjøres i datainfrastrukturen. Det er heller ikke gått opp et tilstrekkelig tydelig skille mellom virksomhetenes ansvar og ansvaret til datainfrastrukturen.
Vi stiller spørsmål til om lovteksten kan tydeliggjøres, blant annet ved å definere begrepet nasjonal datainfrastruktur for digital samhandling i pasientjournalloven § 2. Se mer om våre innspill til lovteksten i punkt 9.
5.2 Formålet med forslaget
Departementets forslag skal bidra til en bedre, mer helhetlig og koordinert helsetjeneste, trygge tjenester av høy kvalitet og mer effektiv ressursbruk. Den digitale samhandlingen blir underlagt lovbestemt formålsbegrensning i samsvar med pasientjournalloven. Dette vil ikke være til hinder for at journalopplysninger også kan være tilgjengelig for å kunne videreutvikle helse- og omsorgstjenesten gjennom forskning og undervisning.
Det er en forutsetning at det er helsepersonellets og pasientenes behov som er styrende for den teknologiske utviklingen i sektoren, blant annet ved at utviklingen innrettes for å understøtte helsepersonells arbeidsprosesser.
Helsedirektoratets innspill:
Behovet for tilgang til data for såkalte sekundærformål er i begrenset grad tematisert i høringsnotatet, men det poengteres innledningsvis i notatet at relevante data må være tilgjengelige for kvalitetsforbedring, helseovervåkning, styring og forskning.
Vi mener at det er viktig at det ved en lovendring, samt en eventuell fremtidig forskriftsregulering av en nasjonal datainfrastruktur for primærformål, også legges til rette for at opplysninger som behandles i denne infrastrukturen kan samles inn og behandles (brukes) til sekundærformål. Dette gjelder både i forhold til ulike helseregistre etter helseregisterloven, registre etter helseberedskapslovgivningen og eventuelle andre løsninger/systemer hvor opplysninger fra helse- og omsorgstjenesten er essensielle. Vi viser til at behovet for tilgang til aktuelle data fra helse- og omsorgstjenesten, i form av helseopplysninger, opplysninger om ulike kapasiteter i tjenesten osv, for bruk til sekundærformål og på ulike nivåer i helseforvaltningen har vært svært tydelig ifm. håndteringen av korona-pandemien.
5.4 Adgangen til å dele pasientopplysninger mellom helsepersonell som skal yte helsehjelp
Departementet viser til at det er et vilkår at delingen av journalopplysninger etter § 45 er nødvendig for å kunne yte forsvarlig helsehjelp. Det må, med andre ord, foretas en konkret vurdering av nødvendigheten av delingen og hvilke opplysninger det er behov for å dele i den konkrete helsehjelpssituasjonen. Departementet skriver at vurderingen av om vilkårene er oppfylt kan gjøres både ved en konkret forespørsel om deling av helseopplysninger, eller i forkant når opplysningene nedtegnes, uavhengig av om det er en delingssituasjon eller om det vil komme til å bli en situasjon der helseopplysninger skal deles. Delingen kan skje ved en teknisk løsning for tilgangsstyring som tillater at helsepersonellet selv kan tilegne seg opplysninger innen rammen av den tilgang de er gitt.
Departementet vurderer at journalopplysninger kan deles etter § 45 i en samhandlingsløsning som nasjonal datainfrastruktur er. Samtidig ser departementet at det med nye samhandlingsløsninger, og for å sikre forutberegnelighet, bør kravene til forhåndsvurdering av hvilke journalopplysninger som kan deles, tydeliggjøres. Dette kan gjøres i forskrift etter § 45 tredje ledd.
Helsedirektoratets innspill:
Helsedirektoratet støtter at adgangen til å dele helseopplysninger etter helsepersonelloven §§ 25 og 45 via datainfrastrukturen reguleres i forskrift. Det er nødvendig å etablere tydelige og forutsigbare rammer for denne delingen, slik at lovens vilkår og personvernet til den enkelte pasient og bruker ivaretas på en rettmessig og forutsigbar måte.
5.5.3.5 Departementets forslag om hjemmel til å forskriftsregulere dataansvaret
Departementet ber om høringsinstansenes innspill til hvordan dataansvaret bør reguleres.
Helsedirektoratets innspill:
Helsedirektoratet støtter at et sentralt dataansvar reguleres i forskrift. Vi er enige med departementet i at dette vil bidra til et tydeligere ansvar for forvaltning, internkontroll og etterlevelse av krav til informasjonssikkerhet.
Vi støtter departementets vurdering om at virksomhetene på samme måte som i dag bør ha kompetanse ( menes myndighet? ) til å beslutte om og hvordan egengenererte helseopplysninger skal brukes, blant annet til andre formål enn helsehjelp, administrasjon og kvalitetsforbedring av helsehjelpen og sekundærbruk. Dette vil innebære at forvaltningsorganisasjonene utelukkende har en rolle knyttet til å bistå virksomhetene med uttrekk, sammenstilling og eventuell overføring av helse- og personopplysninger til helseregistre mv.
Vi mener imidlertid at rammene for hvilke opplysninger som kan behandles i en nasjonal digital datainfrastruktur tydeligere bør fastsettes i loven og forarbeidene til loven. Det bør fastsettes hvilke opplysninger som kan behandles i løsningen, og hvilke oppgaver som skal ligge til datainfrastrukturen.
5.7.2 Personer med adressesperre (kode 6 og 7)
Departementet skriver at særlige forhold til deling av helseopplysninger om personer med adressesperre kan eventuelt også reguleres i forskrift etter lovforslaget § 10 andre og tredje ledd.
Helsedirektoratets innspill:
Helsedirektoratet støtter at det fastsettes i forskrift på hvilken måte opplysninger om adressesperring ivaretas. Det er et viktig samfunnsansvar å ivareta pasienter og brukere som er utsatt for trusler. Dette samfunnsansvaret må slik vi ser det ivaretas på en systematisk og tydelig måte gjennom forskrift, for å sikre at helse- og omsorgstjenesten og helse- og omsorgsforvaltningen ivaretar dette ansvaret.
Punkt 6.2.1 Forslag til endring av pasientjournalloven § 11 og folketrygdloven § 21-11a
Departementet foreslår at pasientjournalloven og folketrygdloven endres slik at det tillates at det fattes enkeltvedtak som utelukkende er basert på automatisert behandling av helseopplysninger når avgjørelsen er lite inngripende overfor den enkelte.
Departementet legger til grunn at forskriftshjemmelen i folketrygdloven § 21-11a åttende ledd vil hjemle forskrifter om slike automatiserte enkeltvedtak etter folketrygdloven kapittel 5. Departementet foreslår imidlertid en endring, slik at det fremgår klart at det også kan gis forskrifter som tillater inngripende automatiserte enkeltvedtak.
Klagebehandlingen skal ikke være automatisert. Det skal i forskrift heller ikke gjøres unntak fra eventuell rett til å klage.
Helsedirektoratets innspill:
Helsedirektoratet anbefaler at begrepet "lite inngripende" bør omtales nærmere i forarbeidene. Dette er et skjønnsmessig begrep, som kan bidra til å skape usikkerhet rundt hva som omfattes av bestemmelsen. Forarbeidene viser til at "beløpets størrelse" kan være et moment i vurderingen. Det fremstår imidlertid som uklart hvorvidt vedtak om blå resept er å anse som små beløp, da det over tid vil kunne dreie seg om store beløp også der den enkelte utlevering utgjør mindre beløp. For en sikker og forutsigbar rettstilstand anbefaler vi nærmere føringer for hva som er ment med "lite inngripende".
Videre mener vi at folketrygdloven § 21-11 a må gi en rettslig ramme for at forskrifter kan tillate automatisert behandling av vedtak som er inngripende overfor den enkelte. Uten en slik rettslig ramme i loven kan forskrifter som tillater slike vedtak komme i strid med lovteksten, og ikke oppnå Departementets intensjoner, blant annet ved at vedtak kan bli kjent ugyldige.
Vi vil også bemerke at det vil være viktig at forskriftshjemmelen faktisk tas i bruk dersom videre digitalisering av stønadsordningene i kap. 5 skal kunne skje.
Vi støtter at klagebehandlingen ikke automatiseres, og at klagerett beholdes. Dette vil bidra til å ivareta den sikkerhet som personvernforordningen har tatt sikte på å ivareta ved at automatisert behandling i utgangspunktet er forbudt uten nasjonal hjemmel.
Punkt 9 Forslag til lovendring
"Datainfrastrukturen kan omfatte journalopplysninger og annen informasjon som benyttes i samhandling for å yte, administrere eller kvalitetssikre helsehjelp til enkeltpersoner og som er hentet fra registre som er hjemlet i en annen lovbestemmelse."
Helsedirektoratets innspill:
Begrepet nasjonal datainfrastruktur for digital samhandling bør slik vi ser det defineres i pasientjournalloven § 2.
Vi stiller spørsmål til om § 10 andre setning ikke i tilstrekkelig grad setter rammer for behandlingsgrunnlaget, dvs. i hvilken grad datainfrastrukturen kan behandle personopplysninger. Videre er det ikke klart hvilke opplysninger som omfattes av begrepet "annen informasjon". Spørsmålet er om dette er ment å omfatte nasjonale e-helseløsninger og andre felleskomponenter som nevnt i punkt 5.1 og såkalte grunnmurskomponenter som virksomhetsdata, personellregister og helse-ID som nevnt i punkt 2.2.5.
Det er også uklart hva som "er hjemlet i en annen lovbestemmelse". Menes en annen lovbestemmelse i pasientjournalloven?
Vi ber departementet vurdere om lovteksten istedenfor utformes slik:
"Datainfrastrukturen kan tilgjengeliggjøre opplysninger fra behandlingsrettede helseregistre og registre i helse- og omsorgsforvaltningen som understøtter samhandling for å yte, administrere eller kvalitetssikre helsehjelp til enkeltpersoner."