Lov om helseregistre og behandling av helseopplysninger (helseregisterloven)

helseregisterloven

Denne siden viser Lov om helseregistre og behandling av helseopplysninger (helseregisterloven) i en brukervennlig struktur med kapitler, paragrafer og stabile lenker til hver bestemmelse.

Dokumenttype: Lov
Dato: 2014-06-20
Nummer: 43
Kilde: Lovdata
Departement: Helse- og omsorgsdepartementet
I kraft: 2015-01-01
Sist importert: 17. juni 2026
Sist oppdatert i kilde: 24. mars 2022
Rettsområde: Forvaltnings- og kommunalrett, Statistikk. Registrering, Helse- og omsorgsrett, Pasientrettigheter, Helse- og omsorgsrett, IKT- og medierett, Personopplysninger

Vis på Lovdata ↗

Kapittel 1. Generelle bestemmelser

§ 1. Lovens formålegen side

Formålet med loven er å legge til rette for innsamling og annen behandling av helseopplysninger, for å fremme helse, forebygge sykdom og skade og gi bedre helse- og omsorgstjenester. Loven skal sikre at behandlingen foretas på en etisk forsvarlig måte, ivaretar den enkeltes personvern og brukes til individets og samfunnets beste.

§ 2. Definisjoneregen side

I denne loven forstås med:

helseopplysninger: personopplysninger om en fysisk persons fysiske eller psykiske helse, medregnet om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand, jf. personvernforordningen artikkel 4 nr. 15
behandling av helseopplysninger: enhver operasjon eller rekke av operasjoner som gjøres med helseopplysninger, enten automatisert eller ikke, for eksempel innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring, jf. personvernforordningen artikkel 4 nr. 2
helseregister: enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier, og som inneholder helseopplysninger, jf. personvernforordningen artikkel 4 nr. 6
dataansvarlig: ansvarlig for behandling av helseopplysninger, jf. personvernforordningen artikkel 4 nr. 7
samtykke: enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av helseopplysninger som gjelder vedkommende, jf. personvernforordningen artikkel 4 nr. 11
indirekte personidentifiserbare helseopplysninger: helseopplysninger der navn, fødselsnummer og andre personidentifiserende kjennetegn er fjernet, men hvor opplysningene likevel kan knyttes til en enkeltperson.

Endret ved lover 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195), 10 juni 2022 nr. 37.

§ 3. Saklig virkeområdeegen side

Loven gjelder for behandling av helseopplysninger til statistikk, helseanalyser, forskning, kvalitetsforbedring, planlegging, styring og beredskap i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten.

For opplysninger som er taushetsbelagte etter helsepersonelloven § 21, og for opplysninger om avdøde personer gjelder bestemmelsene her om behandling av helseopplysninger så langt de passer.

Loven gjelder også tilsvarende for behandling av opplysninger i Helsearkivregisteret i Norsk helsearkiv.

Loven gjelder ikke for behandling av helseopplysninger som reguleres av helseforskningsloven eller pasientjournalloven.

Kongen i statsråd kan i forskrift bestemme at loven helt eller delvis skal gjelde for behandling av helseopplysninger utenfor helse- og omsorgsforvaltningen eller helse- og omsorgstjenesten.

Endret ved lov 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195).

§ 4. Geografisk virkeområdeegen side

Loven gjelder for dataansvarlige som er etablert i Norge. Kongen kan i forskrift bestemme at loven helt eller delvis skal gjelde for Svalbard og Jan Mayen, og kan fastsette særlige regler om behandling av helseopplysninger for disse områdene.

Endret ved lover 19 juni 2015 nr. 61 (ikr. 1 juli 2015 iflg. res. 19 juni 2015 nr. 680), 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195).

§ 5. Forholdet til personvernforordningen og personopplysningslovenegen side

Personvernforordningen og personopplysningsloven gjelder så langt ikke noe annet følger av denne loven.

Endret ved lov 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195).

Kapittel 2. Adgang til å behandle helseopplysninger og å etablere helseregistre

§ 6. Alminnelige vilkår for å behandle helseopplysningeregen side

Helseopplysninger skal behandles i samsvar med prinsippene for behandling i personvernforordningen artikkel 5.

Graden av personidentifikasjon skal ikke være større enn nødvendig for det aktuelle formålet. Graden av personidentifikasjon skal begrunnes. Tilsynsmyndigheten kan kreve at den dataansvarlige legger frem begrunnelsen.

Departementet kan gi forskrift om godkjenning av programvare, sertifisering og om bruk av standarder, klassifikasjonssystemer og kodeverk, samt hvilke nasjonale eller internasjonale standardsystemer som skal følges ved behandling av helseopplysninger etter denne loven.

Endret ved lov 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195).

§ 7. (Opphevet)egen side

Opphevet ved lov 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195).

§ 8. Vilkår for etablering av helseregistre ved forskriftegen side

Kongen i statsråd kan i forskrift gi nærmere bestemmelser om etablering av helseregistre og behandling av helseopplysninger i registre etter §§ 9, 10 eller 11, når vilkårene i denne bestemmelsen og § 6 er oppfylt.

Den helsefaglige eller samfunnsmessige nytten av registeret må klart overstige personvernulempene.

Registrene skal ivareta oppgaver etter apotekloven, folkehelseloven, helse- og omsorgstjenesteloven, legemiddelloven, smittevernloven, spesialisthelsetjenesteloven og tannhelsetjenesteloven.

Forskriften skal blant annet angi

formålet med behandlingen av helseopplysningene,
hvilke typer opplysninger som kan behandles,
krav til identitetsforvaltning,
krav til sikring av opplysningene, og
hvem som er dataansvarlig.

Endret ved lov 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195).

§ 9. Registre som er samtykkebaserte eller uten personidentifiserende kjennetegnegen side

Kongen i statsråd kan, i samsvar med vilkår i § 8, gi forskrift om behandling av opplysninger i helseregistre dersom

den registrerte samtykker, eller
opplysningene behandles uten at den dataansvarlige har tilgang til navn, fødselsnummer eller andre personidentifiserende kjennetegn.

Endret ved lover 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. j1195), 10 juni 2022 nr. 37.

§ 10. Helseregistre der den registrerte har rett til å motsette seg behandling av helseopplysningeregen side

Kongen i statsråd kan i samsvar med vilkårene i § 8 gi forskrift om behandling av opplysninger i helseregistre der navn, fødselsnummer eller andre personidentifiserende kjennetegn skal kunne behandles uten samtykke fra den registrerte. Slike forskrifter kan gis dersom

det for å oppnå formålet med behandlingen av opplysningene, og av hensyn til registerets kvalitet, ikke kan kreves at samtykke innhentes, og
den registrerte har rett til å motsette seg at helseopplysninger behandles i registeret.

Endret ved lov 10 juni 2022 nr. 37.

§ 11. Lovbestemte helseregistreegen side

Det kan gis forskrifter om følgende registre:

Dødsårsaksregisteret
Kreftregisteret
Medisinsk fødselsregister
Meldingssystem for smittsomme sykdommer (MSIS)
System for vaksinasjonskontroll (SYSVAK)
Forsvarets helseregister
Norsk pasientregister
Nasjonalt register over hjerte- og karlidelser
System for bivirkningsrapportering
Kommunalt pasient- og brukerregister
Legemiddelregisteret.

Kreftregisteret kan inneholde helseopplysninger om personer som har deltatt i undersøkelsesprogram for tidlig diagnose og kontroll for kreftsykdom. Ved negativt funn kan opplysninger om navn, fødselsnummer, adresse, bostedskommune og sivilstand registreres permanent, med mindre den registrerte motsetter seg det. Dersom den registrerte har motsatt seg permanent registrering, skal opplysningene slettes etter at de er kvalitetssikret og senest seks måneder etter innsamlingen. Dette leddet gjelder også funn som er innsamlet før 1. januar 2014.

Endret ved lover 17 juni 2016 nr. 47 (ikr. 1 juli 2016 iflg. res. 17 juni 2016 nr. 730), 4 des 2020 nr. 133 (ikr. 1 jan 2021 iflg. res. 4 des 2020 nr. 2713), 10 juni 2022 nr. 37.

§ 12. Helsearkivregisteretegen side

Kongen i statsråd kan i forskrift gi bestemmelser om etablering av Helsearkivregisteret.

Helsearkivregisteret er et helseregister med personidentifiserbar pasientdokumentasjon om avdøde pasienter. Opplysningene i Helsearkivregisteret behandles uten de registrertes samtykke.

Nasjonalarkivet er dataansvarlig for opplysningene i Helsearkivregisteret, jf. arkivlova § 4 første ledd.

Kongen i statsråd kan i forskrift gi nærmere bestemmelser om behandlingen av helseopplysningene i registeret og formålet med behandlingen. Forskriften skal angi den dataansvarliges plikt til å gjøre data tilgjengelig.

Kongen i statsråd kan i forskriften gi nærmere bestemmelser om bevaring, kassasjon og avlevering av pasientdokumentasjon for private virksomheter som yter tjenester etter spesialisthelsetjenesteloven.

Endret ved lover 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195), 20 juni 2025 nr. 96 (i kraft 1 jan 2026 iflg. res. 12 des 2025 nr. 2510).

§ 13. Innmelding av helseopplysninger til helseregistreegen side

Virksomheter og helsepersonell som tilbyr eller yter tjenester som omfattes av apotekloven, folkehelseloven, helse- og omsorgstjenesteloven, legemiddelloven, smittevernloven, spesialisthelsetjenesteloven eller tannhelsetjenesteloven plikter å melde opplysninger som bestemt i forskrifter etter §§ 8 til 12. Innmelding til registre etter §§ 9 bokstav b, 10, 11 og 12 kan skje uten hinder av taushetsplikt.

Kongen kan gi forskrifter om innmelding av helseopplysninger til registre som omfattes av §§ 8 til 12, blant annet om hvem som skal gi og motta opplysningene og om frister, formkrav, bruk av meldingsskjemaer og standarder. Den som mottar opplysningene, skal varsle avsenderen dersom opplysningene er mangelfulle.

§ 14. Innhenting av personopplysninger fra offentlige myndigheteregen side

Dataansvarlige kan uten hinder av taushetsplikten innhente personopplysninger de har tillatelse til å behandle etter §§ 8 til 12, fra Folkeregisteret, Skatteetaten og Arbeids- og velferdsetaten.

§ 15. Hvem som har samtykkekompetanseegen side

Rett til å samtykke til behandling av helseopplysninger har

myndige personer, og
mindreårige etter fylte 16 år.

For samtykke til behandling av opplysninger som gjelder personer under 16 år, gjelder pasient- og brukerrettighetsloven § 4-4 tilsvarende. Dersom barn mellom 12 og 16 år, av grunner som bør respekteres, ikke ønsker at foreldrene, andre med foreldreansvar eller barnevernstjenesten gjøres kjent med opplysninger om barnet, skal dette ivaretas.

For personer uten beslutningskompetanse etter pasient- og brukerrettighetsloven § 4-3 andre ledd, skal nærmeste pårørende etter pasient- og brukerrettighetsloven § 1-3 bokstav b gi samtykke.

For personer som er fratatt rettslig handleevne på det personlige området, gjelder pasient- og brukerrettighetsloven § 4-7 tilsvarende.

Departementet kan i forskrift bestemme at barn mellom 12 og 16 år kan samtykke til behandling av helseopplysninger for nærmere bestemte spesielle formål.

Endret ved lov 20 juni 2025 nr. 67 (i kraft 1 juni 2026 iflg. res. 20 juni 2025 nr. 1109).

§ 16. Plikt til å innrapportere data til statistikkegen side

Departementet kan i forskrift eller ved enkeltvedtak pålegge regionale helseforetak, helseforetak, fylkeskommuner og kommuner å innrapportere anonyme data eller indirekte personidentifiserbare helseopplysninger, uten hensyn til taushetsplikt, til statistikk. Forskriften kan ha nærmere regler om blant annet bruk av standarder, klassifikasjonssystemer og kodeverk.

Endret ved lov 10 juni 2022 nr. 37.

Kapittel 3. Alminnelige bestemmelser om behandling av helseopplysninger

§ 17. Taushetspliktegen side

Enhver som behandler helseopplysninger etter denne loven, har taushetsplikt etter helsepersonelloven §§ 21 flg. Andre som får adgang eller kjennskap til helseopplysninger fra helseregistre, har samme taushetsplikt. For søknader om dispensasjon fra taushetsplikten for tilgjengeliggjøring av opplysninger i helseregistre gjelder § 19 e.

Endret ved lov 4 des 2020 nr. 133 (ikr. 1 juni 2021 iflg. res. 21 mai 2021 nr. 1578).

§ 18. Forbud mot urettmessig tilegnelse av taushetsbelagte helseopplysningeregen side

Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger som behandles etter denne loven, uten særskilt hjemmel i lov eller forskrift.

§ 19. Utarbeidelse av statistikkegen side

Dataansvarlige for helseregistre kan utarbeide og offentliggjøre relevant statistikk basert på helseopplysninger i registeret og opplysninger som er sammenstilt etter § 19 c.

Dataansvarlige for helseregistre som er etablert med hjemmel i § 11 skal utarbeide og løpende offentliggjøre relevant statistikk som nevnt i første ledd. Departementet kan gi forskrift om at også andre dataansvarlige skal utarbeide statistikk.

Dataansvarlige for helseregistre skal på forespørsel utarbeide og tilgjengeliggjøre statistikk basert på opplysninger i registeret og opplysninger som er sammenstilt etter § 19 c, dersom statistikken skal brukes til formål som er innenfor registrenes formål.

Utarbeidet statistikk skal være anonym.

Plikten til å utarbeide statistikk etter andre og tredje ledd gjelder ikke dersom tilgjengeliggjøring av opplysningene kan true samfunnets evne til å verne grunnleggende verdier og funksjoner og sette liv og helse i fare.

Endret ved lover 9 des 2016 nr. 88 (ikr. 1 okt 2017 iflg. res. 9 juni 2017 nr. 718), 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195), 4 des 2020 nr. 133 (ikr. 1 juni 2021 iflg. res. 21 mai 2021 nr. 1578), 22 des 2025 nr. 126 (i kraft 15 april 2026 iflg. res. 13 mars 2026 nr. 401). Endres ved lov 20 juni 2025 nr. 71 (i kraft fra den tid Kongen bestemmer).

§ 19 a. Tilgjengeliggjøring av helseopplysningeregen side

Den dataansvarlige skal etter søknad tilgjengeliggjøre helseopplysninger i helseregistre, inkludert opplysninger som er sammenstilt etter § 19 c, når

opplysningene skal brukes til et uttrykkelig angitt formål som er innenfor registerets formål,
mottakeren kan godtgjøre at behandlingen vil ha rettslig grunnlag etter personvernforordningen artikkel 6 og 9,
mottakeren kan godtgjøre at behandlingen av opplysningene vil være innenfor rammene av eventuelle samtykker og ikke i strid med eventuelle reservasjoner, og
mottakeren har gjort rede for hvilke egnede tekniske og organisatoriske tiltak som skal settes i verk for å ivareta informasjonssikkerheten.

Det skal ikke tilgjengeliggjøres flere opplysninger enn det som er nødvendig for formålet. Opplysningene skal tilgjengeliggjøres uten navn, fødselsnummer eller andre personidentifiserende kjennetegn med mindre slike opplysninger av særlige grunner er nødvendige.

Tilgjengeliggjøring kan bare skje når den registrerte har samtykket, tilgjengeliggjøringen omfattes av andre unntak fra taushetsplikten, eller det er gitt dispensasjon.

Den dataansvarlige kan sette som vilkår for tilgjengeliggjøring at mottakeren setter i verk særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.

Opplysningene kan bare tilgjengeliggjøres dersom det er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn. For tilgjengeliggjøring til medisinsk og helsefaglig forskning skal mottakeren ha fått forhåndsgodkjenning fra den regionale komiteen for medisinsk og helsefaglig forskningsetikk, jf. helseforskningsloven § 33.

Dersom det er gitt dispensasjon fra taushetsplikten etter § 19 e, skal opplysningene tilgjengeliggjøres i samsvar med dispensasjonsvedtaket uten at den dataansvarlige skal vurdere om vilkårene i første til femte ledd i bestemmelsen her er oppfylt.

Departementet kan gi forskrift om den dataansvarliges plikt og adgang til å tilgjengeliggjøre opplysninger som er overført til løsningen etter § 20.

Dersom tilgjengeliggjøring av helseopplysninger kan true samfunnets evne til å verne grunnleggende verdier og funksjoner og sette liv og helse i fare, skal opplysningene ikke gjøres tilgjengelig.

Tilføyd ved lov 4 des 2020 nr. 133 (ikr. 1 juni 2021 iflg. res. 21 mai 2021 nr. 1578), endret ved lov 10 juni 2022 nr. 37, 22 des 2025 nr. 126 (i kraft 15 april 2026 iflg. res. 13 mars 2026 nr. 401). Endres ved lov 20 juni 2025 nr. 71 (i kraft fra den tid Kongen bestemmer).

§ 19 b. Unntak fra taushetsplikten for indirekte personidentifiserbare helseopplysningeregen side

Taushetsplikten er ikke til hinder for tilgjengeliggjøring av indirekte personidentifiserbare helseopplysninger i registre som er etablert med hjemmel i § 11, dersom hensynet til den registrertes integritet og konfidensialitet er ivaretatt og behandlingen av opplysningene er av vesentlig interesse for samfunnet.

Dersom tilgjengeliggjøring av helseopplysninger kan true samfunnets evne til å verne grunnleggende verdier og funksjoner og sette liv og helse i fare, skal opplysningene ikke gjøres tilgjengelig.

Tilføyd ved lov 4 des 2020 nr. 133 (ikr. 1 juni 2021 iflg. res. 21 mai 2021 nr. 1578), endret ved lover 10 juni 2022 nr. 37, 22 des 2025 nr. 126 (i kraft 15 april 2026 iflg. res. 13 mars 2026 nr. 401).

§ 19 c. Sammenstillingegen side

Helseopplysninger i helseregistre etablert med hjemmel i §§ 8 til 12 og demografiske og sosioøkonomiske personopplysninger i Folkeregisteret og andre offentlige registre, kan sammenstilles for å utarbeide statistikk som skal tilgjengeliggjøres etter § 19 eller for å tilgjengeliggjøre opplysninger etter § 19 a. Det skal ikke sammenstilles flere opplysninger enn det som er nødvendig for formålet.

Sammenstillingen skal være i samsvar med eventuelle samtykker eller reservasjoner. Opplysninger i helseregistre etablert med hjemmel i § 9 første ledd bokstav b kan bare sammenstilles dersom sammenstillingen skjer uten at den dataansvarlige har tilgang til navn, fødselsnummer eller andre personidentifiserende kjennetegn.

Sammenstillingen skal gjøres av den dataansvarlige for et av registrene eller en virksomhet som departementet utpeker.

Som ledd i kvalitetskontroll av opplysningene i registeret kan den dataansvarlige også gjennomføre rutinemessige sammenstillinger med tilsvarende opplysninger i helseregistre hjemlet i § 11 og § 12 og i Folkeregisteret.

Dataansvarlige kan tilgjengeliggjøre opplysninger for sammenstilling uten hinder av taushetsplikten.

Kongen i statsråd kan gi forskrift om at opplysningene i registeret som ledd i kvalitetskontroll også kan sammenstilles med opplysninger i originalkilden (pasientjournal mv.).

Tilføyd ved lov 4 des 2020 nr. 133 (ikr. 1 juni 2021 iflg. res. 21 mai 2021 nr. 1578), endret ved lov 10 juni 2022 nr. 37.

§ 19 d. Tilgjengeliggjøring for påtalemyndigheten, arbeidsgivere og forsikringsøyemedegen side

Helseopplysningene kan ikke gjøres tilgjengelige for påtalemyndigheten eller til bruk for arbeidsgivere eller forsikringsøyemed selv om den registrerte samtykker.

Tilføyd ved lov 4 des 2020 nr. 133 (ikr. 1 juni 2021 iflg. res. 21 mai 2021 nr. 1578).

§ 19 e. Dispensasjon fra taushetspliktenegen side

Departementet kan etter søknad bestemme at helseopplysninger fra helseregistre skal tilgjengeliggjøres uten hinder av taushetsplikt etter § 17, når

opplysningene skal brukes til et uttrykkelig angitt formål som er innenfor registerets formål,
mottakeren har gjort rede for hvilke egnede tekniske og organisatoriske tiltak som skal settes i verk for å ivareta informasjonssikkerheten, og
behandlingen av opplysningene er av vesentlig interesse for samfunnet.

Departementet kan sette som vilkår for tilgjengeliggjøring at mottakeren setter i verk særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.

Det kan bare gis dispensasjon dersom tilgjengeliggjøringen er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn og ikke vil true samfunnets evne til å verne grunnleggende verdier og funksjoner og ikke sette liv og helse i fare. For tilgjengeliggjøring til medisinsk og helsefaglig forskning skal mottakeren ha fått forhåndsgodkjenning fra den regionale komiteen for medisinsk og helsefaglig forskningsetikk, jf. helseforskningsloven § 33.

Myndigheten etter første ledd kan delegeres til et underordnet forvaltningsorgan eller legges til den regionale komiteen for medisinsk og helsefaglig forskningsetikk.

§ 19 f. Frister for tilgjengeliggjøring av tilrettelagt statistikk og helseopplysningeregen side

Den dataansvarlige skal tilgjengeliggjøre helseopplysninger etter § 19 tredje ledd og § 19 a innen 30 virkedager fra en fullstendig søknad er mottatt. Dersom tilgjengeliggjøringen krever sammenstilling med opplysninger fra flere registre, er fristen 60 virkedager.

Tilgjengeliggjøringen kan utsettes dersom særlige forhold gjør det uforholdsmessig vanskelig å overholde fristen. Den dataansvarlige skal i så fall gi et foreløpig svar med informasjon om grunnen til forsinkelsen og tidspunktet for når tilgjengeliggjøring sannsynligvis vil skje.

Tilføyd ved lov 4 des 2020 nr. 133 (ikr. 1 juni 2021 iflg. res. 21 mai 2021 nr. 1578).

§ 19 g. Betaling for tilgjengeliggjøringegen side

Den dataansvarlige kan kreve betaling for tilrettelegging av statistikk og annen behandling av helseopplysninger etter § 19 til § 19 e. Betalingen kan ikke overstige de faktiske utgiftene knyttet til tilgjengeliggjøring av opplysninger fra registeret, inkludert utgifter knyttet til saksbehandling, uttrekk, tilrettelegging, sammenstilling og utarbeiding av statistikk.

Tilføyd ved lov 4 des 2020 nr. 133 (ikr. 1 juni 2021 iflg. res. 21 mai 2021 nr. 1578).

§ 19 h. Oversikt over tilgjengeliggjøringegen side

Den dataansvarlige skal føre en oversikt over tilgjengeliggjøring av helseopplysninger fra registeret. Oversikten skal vise hvem som har fått opplysningene, og hva som er det rettslige grunnlaget for mottakerens bruk av opplysningene.

Oversikten skal oppbevares i minst ti år etter tilgjengeliggjøringen.

Tilføyd ved lov 4 des 2020 nr. 133 (ikr. 1 juni 2021 iflg. res. 21 mai 2021 nr. 1578).

§ 20. Nasjonal løsning for tilgjengeliggjøringegen side

Departementet kan gi forskrift om en nasjonal organisatorisk og teknisk løsning for utarbeidelse av statistikk og for sammenstilling og tilgjengeliggjøring, av helseopplysninger fra helseregistre. Demografiske og sosioøkonomiske personopplysninger i Folkeregisteret og andre offentlige registre kan også inngå i løsningen.

Løsningen skal legges til et organ underordnet departementet. Organet skal ha dataansvaret for mottak, lagring, sammenstilling, tilgjengeliggjøring og annen behandling av helseopplysninger og andre personopplysninger som inngår i løsningen. Oppgaver knyttet til hele eller deler av løsningen kan utføres av en databehandler.

Opplysningene kan mottas, lagres og behandles på andre måter som et ledd i utarbeidelse av statistikk og tilgjengeliggjøring fra plattformen. Utarbeidelse av statistikk, tilgjengeliggjøring og sammenstilling skal skje i samsvar med vilkårene i §§ 19 til 19 h. Overføring av opplysninger til løsningen kan skje uten hinder av taushetsplikt.

Forskriften skal fastsette hvilke datakilder og opplysninger som skal omfattes av løsningen. Forskriften kan også inneholde bestemmelser om

ansvar og oppgaver for organet som løsningen er lagt til
ansvar og oppgaver for dataansvarlige for registrene som omfattes, inkludert plikt til å overføre kvalitetssikrede opplysninger til løsningen og plikt til å tilgjengeliggjøre opplysninger
krav til den organisatoriske og tekniske løsningen for å ivareta informasjonssikkerheten, innbyggertjenester og andre personvernkrav
krav til mottaker av opplysningene om dekning av utgifter knyttet til tilgjengeliggjøring etter § 19 g og utgifter til forvaltning, drift og videreutvikling av løsningen
krav til mottaker av opplysningene om publisering eller retur av analyseresultater.

Endret ved lover 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195), 4 des 2020 nr. 133 (ikr. 1 juni 2021 iflg. res. 21 mai 2021 nr. 1578).

§ 20 a. Forskrift om tilgjengeliggjøring av opplysninger fra Dødsårsaksregisteret for kommunelegeregen side

Departementet kan gi forskrift om at kommuneleger kan få tilgjengeliggjort opplysninger fra Dødsårsaksregisteret uten hinder av taushetsplikt.

Tilføyd ved lov 10 apr 2019 nr. 11 (ikr. 10 apr 2019 iflg. res. 10 apr 2019 nr. 473).

§ 21. Tekniske og organisatoriske sikkerhetstiltakegen side

Den dataansvarlige og databehandleren skal gjennomføre nødvendige tekniske og organisatoriske tiltak for å ivareta sikkerheten ved behandlingen av personopplysninger. Tiltakene skal være egnet med hensyn til risikoen ved behandlingen av personopplysningene, jf. personvernforordningen artikkel 32. I registre som er etablert med hjemmel i §§ 10 eller 11, skal navn, fødselsnummer og andre personidentifiserende kjennetegn lagres kryptert. Den dataansvarlige og databehandleren skal også gjennomføre risikovurderinger av nettverks- og informasjonssystemene som benyttes for å levere tjenester i henhold til denne loven.

Sikkerhetstiltakene skal være proporsjonale og tilpasset risikoen. Ved vurderingen av hva som er et forsvarlig sikkerhetsnivå, skal det tas hensyn til den enkeltes personvern, kritiske samfunnsfunksjoner, helse- og omsorgstjenestens evne til å ivareta sine oppgaver og den teknologiske utviklingen.

Den dataansvarlige og databehandleren skal iverksette tiltak for å forebygge, avdekke og redusere konsekvensene av skadelige hendelser. Dette omfatter tiltak som blant annet tilgangsstyring, logging og etterfølgende kontroll. Den dataansvarlige og databehandleren kan kreve uttømmende og utvidet politiattest, jf. politiregisterloven § 41 nr. 2, fra personer som skal ha privilegerte tilganger til nettverks- og informasjonssystemer.

Departementet kan i forskrift fastsette nærmere krav til tekniske og organisatoriske sikkerhetstiltak.

Endret ved lover 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195), 10 juni 2022 nr. 37, 22 des 2025 nr. 126 (i kraft 15 april 2026 iflg. res. 13 mars 2026 nr. 401).

§ 22. Internkontrollegen side

Den dataansvarlige skal gjennomføre tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med personvernforordningen, personopplysningsloven og denne loven, jf. forordningen artikkel 24.

Departementet kan i forskrift gi nærmere regler om tekniske og organisatoriske tiltak etter første ledd.

Endret ved lov 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195).

Kapittel 4. Informasjon, innsyn, retting, sletting og sperring

§ 23. Informasjon til allmennheten om behandling av helseopplysningeregen side

En dataansvarlig som behandler opplysninger etter forskrift i medhold av §§ 8 til 11, skal av eget tiltak informere allmennheten om hva slags behandling av helseopplysninger som foretas.

Endret ved lov 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195).

§ 24. Rett til informasjon og innsynegen side

Den registrerte har rett til informasjon og innsyn i henhold til personvernforordningen artikkel 13 til 15. Retten til informasjon og innsyn gjelder ikke opplysninger som omfattes av unntakene i personopplysningsloven §§ 16 og 17.

Den registrerte har også rett til innsyn i hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til den registrertes navn eller fødselsnummer, fra helseregistre etter §§ 8 til 11. Departementet kan i særlige tilfeller gi den dataansvarlige en tidsbegrenset dispensasjon fra plikten til å gi innsyn etter dette leddet.

Når det er nødvendig for å vurdere innsynskrav, kan den dataansvarlige innhente personopplysninger fra Folkeregisteret. Dette gjelder uten hensyn til taushetsplikt.

Kongen kan i forskrift gi nærmere bestemmelser om retten til informasjon og innsyn.

Endret ved lover 19 juni 2015 nr. 61 (ikr. 1 juli 2015 iflg. res. 19 juni 2015 nr. 680), 9 des 2016 nr. 88 (ikr. 1 okt 2017 iflg. res. 9 juni 2017 nr. 718), 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195).

§ 25. Retting, sperring eller slettingegen side

Den registrerte kan kreve retting eller sletting etter personvernforordningen artikkel 16 og 17. Unntaket i personopplysningsloven § 17 andre og tredje ledd gjelder. Den registrerte kan også kreve at helseopplysninger som behandles etter §§ 8 til 11, skal slettes eller sperres, dersom behandling av opplysningene føles sterkt belastende for den registrerte, og det ikke finnes sterke allmenne hensyn som tilsier at opplysningene behandles. Krav om retting, sletting eller sperring av opplysninger rettes til den dataansvarlige for opplysningene.

Datatilsynet kan, etter at Nasjonalarkivet er hørt, treffe vedtak om at retten til sletting etter første ledd går foran reglene gitt i eller i medhold av arkivlova § 6 bokstav b, § 13 første ledd og § 20. Hvis dokumentet som inneholdt de slettede opplysningene, gir et åpenbart misvisende bilde etter slettingen, skal hele dokumentet slettes.

Endret ved lover 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195), 20 juni 2025 nr. 96 (i kraft 1 jan 2026 iflg. res. 12 des 2025 nr. 2510).

Kapittel 5. Tilsyn og sanksjoner

§ 26. Tilsynsmyndigheteneegen side

Datatilsynet fører tilsyn med overholdelsen av loven og forskrifter gitt i medhold av loven. Dette gjelder ikke for tilsynsoppgaver som påligger Statens helsetilsyn eller statsforvalteren etter helsetilsynsloven.

Endret ved lover 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195), 7 mai 2021 nr. 34 (ikr. 1 juni 2021 iflg. res. 7 mai 2021 nr. 1416).

§ 27. (Opphevet)egen side

Opphevet ved lov 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195).

§ 28. (Opphevet)egen side

Opphevet ved lov 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195).

§ 29. Overtredelsesgebyregen side

Ved behandling av helseopplysninger i strid med loven eller forskrifter gitt i medhold av loven, kan Datatilsynet ilegge overtredelsesgebyr etter personvernforordningen artikkel 83 og personopplysningsloven §§ 26 og 27.

Endret ved lov 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195).

§ 30. Straff for brudd på taushetspliktegen side

Overtredelse av § 17 om taushetsplikt straffes etter straffeloven § 209, likevel slik at medvirkning straffes.

Endret ved lover 19 juni 2015 nr. 65 (ikr. 1 okt 2015), 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195), 10 apr 2019 nr. 11 (ikr. 10 apr 2019 iflg. res. 10 apr 2019 nr. 473).

§ 30 a. Straff for urettmessig tilegnelse av helseopplysningeregen side

Den som forsettlig eller grovt uaktsomt overtrer forbudet mot urettmessig tilegnelse av helseopplysninger i § 18, straffes med bøter eller fengsel i inntil 1 år.

Grov urettmessig tilegnelse av helseopplysninger straffes med fengsel i inntil 3 år.

Ved avgjørelsen av om den urettmessige tilegnelsen av helseopplysninger er grov skal det særlig legges vekt på

faren for stor skade eller ulempe for den registrerte,
den tilsiktede vinningen med overtredelsen,
overtredelsens varighet og omfang,
den utviste skyld, og
om handlingen er begått av noen som tidligere er ilagt en strafferettslig reaksjon for liknende handlinger.

Tilføyd ved lov 10 apr 2019 nr. 11 (ikr. 10 apr 2019 iflg. res. 10 apr 2019 nr. 473).

§ 31. Erstatningegen side

Den dataansvarlige og databehandleren skal erstatte skader som er oppstått som følge av at helseopplysninger er behandlet i strid med personvernforordningen, etter forordningen artikkel 82 og personopplysningsloven § 30. Ansvaret gjelder tilsvarende ved brudd på denne loven eller forskrifter gitt i medhold av loven.

Endret ved lov 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195).

Kapittel 6. Ikraftsetting m.m.

§ 32. Ikraftsettingegen side

Loven trer i kraft fra den tid Kongen bestemmer.¹ Fra samme tid oppheves lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger.

Kongen kan bestemme at de enkelte bestemmelsene i loven skal tre i kraft til ulik tid.

§ 33. Videreføring av forskrifteregen side

Forskrifter gitt i medhold av lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger gjelder også etter at loven her har trådt i kraft. Dette gjelder selv om forskriften ikke har alle bestemmelser som kreves etter § 8 fjerde ledd.

§ 34. Endringer i andre loveregen side

Fra den tid loven trer i kraft gjøres følgende endringer i andre lover: – – –