Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

pasientjournalloven

Denne siden viser Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) i en brukervennlig struktur med kapitler, paragrafer og stabile lenker til hver bestemmelse.

Dokumenttype: Lov
Dato: 2014-06-20
Nummer: 42
Kilde: Lovdata
Departement: Helse- og omsorgsdepartementet
I kraft: 2015-01-01
Sist importert: 17. juni 2026
Sist oppdatert i kilde: 17. november 2021
Rettsområde: Forvaltnings- og kommunalrett, Statistikk. Registrering, Helse- og omsorgsrett, Pasientrettigheter, Helse- og omsorgsrett, IKT- og medierett, Personopplysninger

Vis på Lovdata ↗

Kapittel 1. Generelle bestemmelser

§ 1. Lovens formålegen side

Formålet med loven er at behandling av helseopplysninger skal skje på en måte som

gir pasienter og brukere helsehjelp av god kvalitet ved at relevante og nødvendige opplysninger på en rask og effektiv måte blir tilgjengelige for helsepersonell, samtidig som vernet mot at opplysninger gis til uvedkommende ivaretas, og
sikrer pasienters og brukeres personvern, pasientsikkerhet og rett til informasjon og medvirkning.

§ 2. Definisjoneregen side

I denne loven forstås med:

helsehjelp: enhver handling som har forebyggende, diagnostisk, behandlende, helsebevarende, rehabiliterende eller pleie- og omsorgsformål, og som utføres av helsepersonell, jf. helsepersonelloven § 3 første ledd
helseopplysninger: personopplysninger om en fysisk persons fysiske eller psykiske helse, herunder om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand, jf. personvernforordningen artikkel 4 nr. 15
behandling av helseopplysninger: enhver operasjon eller rekke av operasjoner som gjøres med helseopplysninger, enten automatisert eller ikke, for eksempel innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring, jf. personvernforordningen artikkel 4 nr. 2
behandlingsrettet helseregister: pasientjournal- og informasjonssystem eller annet register, fortegnelse eller lignende, der helseopplysninger er lagret systematisk, slik at opplysninger om den enkelte kan finnes igjen, og som skal gi grunnlag for helsehjelp eller administrasjon av helsehjelp til enkeltpersoner
dataansvarlig: ansvarlig for behandling av helseopplysninger etter personvernforordningen artikkel 4 nr. 7.

Endret ved lov 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195).

§ 3. Saklig virkeområdeegen side

Loven gjelder all behandling av helseopplysninger som er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til enkeltpersoner.

For opplysninger som er taushetsbelagte etter helsepersonelloven § 21, og for opplysninger om avdøde personer gjelder bestemmelsene i loven her om behandling av helseopplysninger så langt de passer.

Kongen i statsråd kan i forskrift eller enkeltvedtak bestemme at loven helt eller delvis skal gjelde for behandling av helseopplysninger til andre formål enn helsehjelp.

Endret ved lov 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195).

§ 4. Geografisk virkeområdeegen side

Loven gjelder for dataansvarlige som er etablert i Norge. Kongen kan i forskrift bestemme at loven helt eller delvis skal gjelde for Svalbard og Jan Mayen, og kan fastsette særlige regler om behandling av helseopplysninger for disse områdene.

Endret ved lov 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195).

§ 5. Forholdet til personvernforordningen og personopplysningslovenegen side

Personvernforordningen og personopplysningsloven gjelder så langt ikke noe annet følger av loven her.

Endret ved lov 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195).

Kapittel 2. Pasientjournaler og andre behandlingsrettede helseregistre

§ 6. Rett til å behandle helseopplysningeregen side

Behandlingsrettede helseregistre må ha hjemmel i lov.

Helseopplysninger i behandlingsrettede helseregistre kan bare behandles når det er nødvendig for å kunne gi helsehjelp, eller for administrasjon, internkontroll eller kvalitetssikring av helsehjelpen.

Ved behandling av helseopplysninger til internkontroll eller kvalitetssikring skal opplysningene så langt som mulig behandles uten at den registrertes navn og fødselsnummer fremgår.

Endret ved lov 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195).

§ 7. Krav til behandlingsrettede helseregistreegen side

Behandlingsrettede helseregistre skal understøtte pasientforløp i klinisk praksis og være lett å bruke og å finne frem i.

Behandlingsrettede helseregistre skal være utformet og organisert slik at krav fastsatt i eller i medhold av lov kan oppfylles. Dette gjelder blant annet regler om:

taushetsplikt, jf. § 15,
forbud mot urettmessig tilegnelse av helseopplysninger, jf. § 16,
retten til å motsette seg behandling av helseopplysninger, jf. § 17,
retten til informasjon og innsyn, jf. § 18,
helsepersonells dokumentasjonsplikt, jf. helsepersonelloven § 39,
tilgjengeliggjøring av helseopplysninger, jf. §§ 19 og 20 og
informasjonssikkerhet og internkontroll, jf. §§ 22 og 23.

Departementet kan i forskrift gi nærmere bestemmelser om plikt til å ha elektroniske systemer, om godkjenning av programvare og sertifisering og om bruk av standarder, standardsystemer, kodeverk og klassifikasjonssystemer.

Endres ved lov 23 jan 2026 nr. 1 (i kraft 1 juli 2026 iflg. res. 13 mars 2026 nr. 402).

§ 8. Virksomheters plikt til å sørge for behandlingsrettede helseregistreegen side

Virksomheter som yter helsehjelp skal sørge for å ha behandlingsrettede helseregistre for gjennomføring av helsepersonells dokumentasjonsplikt, jf. helsepersonelloven § 39.

Departementet kan gi forskrift om at virksomheter som yter helse- og omsorgstjenester etter spesialisthelsetjenesteloven, helse- og omsorgstjenesteloven, apotekloven og tannhelsetjenesteloven, skal ta i bruk følgende nasjonale e-helseløsninger i virksomheten:

helsenettet: nasjonal infrastruktur med felles tjenester og felleskomponenter for utveksling av opplysninger med virksomheter i helse- og omsorgssektoren
nasjonal kjernejournal opprettet etter § 13
elektronisk kommunikasjonskjede for overføring av reseptinformasjon opprettet etter § 12.

Departementet kan også gi forskrift om at virksomheter nevnt i andre ledd skal gjøre digitale tjenester tilgjengelige på en nasjonal innbyggerportal.

Departementet kan gi forskrift om:

betaling for bruk av helsenettet
at regionale helseforetak og kommuner skal betale for at de nasjonale e-helseløsningene nevnt i andre og tredje ledd gjøres tilgjengelige for virksomheter i helse- og omsorgstjenesten eller allmennheten
at apotek og bandasjister som har gjort løsningen nevnt i andre ledd bokstav c tilgjengelig i virksomheten, skal betale for løsningen
det nærmere innholdet i betalingsplikten og løsningene, hvem som er dataansvarlig, og statlige foretaks ansvar for å tilby løsningene.

Virksomhetenes samlede betaling skal ikke overstige kostnadene til forvaltning og drift av løsningene.

Forskrift om kommunenes plikt etter andre og tredje ledd kan ikke fastsettes før en vesentlig andel av kommunene har tilgjengeliggjort eller tatt i bruk den enkelte løsningen.

Endret ved lov 22 des 2021 nr. 165 (ikr. 22 des 2021 iflg. res. 22 des 2021 nr. 3832).

§ 9. Samarbeid mellom virksomheter om behandlingsrettede helseregistreegen side

To eller flere virksomheter kan samarbeide om behandlingsrettede helseregistre, jf. § 8. Virksomhetene skal da inngå skriftlig avtale om

hva samarbeidet omfatter,
hvordan pasientens eller brukerens rettigheter skal ivaretas,
hvordan helseopplysningene skal behandles og sikres, også ved endringer i eller opphør av samarbeidet, og
dataansvar.

Departementet kan i forskrift eller enkeltvedtak fastsette vilkår for slikt samarbeid.

Endret ved lov 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195).

§ 9 a. Behandlingsrettet helseregister med tolkede genetiske varianteregen side

Virksomheter som gjør undersøkelser etter bioteknologiloven § 4-1, § 5-1 annet ledd bokstav a eller § 5-1 annet ledd bokstav b, kan samarbeide om etablering av et behandlingsrettet helseregister med tolkede genetiske varianter. Direkte personidentifiserbare opplysninger, som navn eller fødselsnummer, kan ikke behandles i registeret. Opplysningene kan tilgjengeliggjøres for registeret uten hinder av taushetsplikt.

Formålet med behandlingen av helseopplysningene skal være å yte og kvalitetssikre helsehjelp til pasienter som kan knyttes til en tolket genvariant. Første ledd gir ikke grunnlag for opprettelse av et helseregister med genomer eller eksomer. Det er ikke tillatt å bruke opplysningene i registeret for å rekonstruere hele eller deler av genomer eller eksomer.

Helseopplysningene kan behandles uten samtykke fra den registrerte, men den registrerte har rett til å motsette seg behandlingen. Den dataansvarlige skal sørge for at den registrerte så snart som mulig etter at opplysningene er samlet inn, får nødvendig informasjon for at vedkommende skal få innsikt i hva retten til å motsette seg behandling av opplysningene innebærer.

Helseopplysningene kan, i samsvar med formålet i annet ledd og uten hinder av taushetsplikt, tilgjengeliggjøres fra registeret dersom den som får tilgang til opplysningene

er underlagt lovbestemt taushetsplikt,
godtgjør at behandlingen vil ha rettslig grunnlag etter personvernforordningen artikkel 6 og 9 og
har gjort rede for hvilke egnede tekniske og organisatoriske tiltak som skal gjøres for å ivareta informasjonssikkerheten.

Den dataansvarlige skal vurdere om vilkårene for tilgjengeliggjøring er oppfylt.

Departementet gir forskrift om hvilke helseopplysninger som kan behandles i et register med hjemmel etter første ledd og på hvilken måte og i hvilken form opplysningene skal tilgjengeliggjøres for registeret.

Tilføyd ved lov 11 juni 2021 nr. 67 (ikr. 1 juli 2021 iflg. res. 11 juni 2021 nr. 1869).

§ 10. Etablering av nasjonale behandlingsrettede helseregistre og nasjonal datainfrastrukturegen side

Kongen i statsråd kan gi forskrift om etablering av nasjonale behandlingsrettede helseregistre som på bestemte områder kommer i stedet for registre etter §§ 8 og 9.

Kongen i statsråd kan gi forskrift om nasjonal datainfrastruktur for digital samhandling. Datainfrastrukturen kan omfatte helseopplysninger og andre personopplysninger som benyttes i samhandling mellom helsepersonell for å yte, administrere eller kvalitetssikre helsehjelp. Datainfrastrukturen kan tilgjengeliggjøre helseopplysninger og andre personopplysninger som er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp.

Forskriftene etter første og andre ledd skal gi nærmere bestemmelser om drift, behandling og sikring av helseopplysningene, om dataansvar, om tilgangskontroll og om hvordan rettighetene til pasienten eller brukeren skal ivaretas.

Endret ved lover 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195), 17 juni 2022 nr. 51 (i kraft 1 juli 2022 iflg. res. 17 juni 2022 nr. 1042).

§ 11. Systemer for saksbehandling, administrasjon mv. av helsehjelpegen side

Ved saksbehandling, administrasjon, oppgjør og gjennomføring av helsehjelp, kan det treffes avgjørelser som utelukkende er basert på automatisert behandling av helseopplysninger eller andre personopplysninger, når avgjørelsen er lite inngripende overfor den enkelte.

Direkte identifiserbare helseopplysninger kan behandles i lukkede testmiljøer for å utvikle og teste behandlingsrettede helseregistre dersom det er umulig eller uforholdsmessig vanskelig å oppnå formålet ved å bruke pseudonyme, anonyme eller fiktive opplysninger.

Kongen i statsråd kan gi forskrift om behandling av helseopplysninger og andre personopplysninger, også ved bruk av automatiserte avgjørelser, for saksbehandling, administrasjon, oppgjør og gjennomføring av helsehjelp til enkeltpersoner. Forskriften kan gi nærmere bestemmelser om behandlingen av opplysningene, hvilke opplysninger som kan behandles, hvem det kan behandles opplysninger om, den enkeltes rett til å motsette seg behandling av opplysningene og om dataansvar. Forskriften kan gi adgang til å fatte automatiserte avgjørelser selv om avgjørelsen ikke er lite inngripende overfor den enkelte.

Taushetsplikt er ikke til hinder for behandlingen av opplysningene. Helseopplysningene kan behandles uten hensyn til samtykke fra pasienten. Graden av personidentifikasjon skal ikke være større enn nødvendig for det aktuelle formålet. Opplysninger om diagnose eller sykdom kan bare behandles når det er nødvendig for å nå formålet med behandlingen av opplysningen.

Endret ved lover 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195), 17 juni 2022 nr. 51 (i kraft 1 juli 2022 iflg. res. 17 juni 2022 nr. 1042).

§ 12. Reseptformidlerenegen side

Kongen i statsråd kan gi forskrift med nærmere bestemmelser om behandling av helseopplysninger i nasjonal database for resepter (Reseptformidleren).

Opplysningene kan behandles uten samtykke fra pasienten.

Forskriften skal gi nærmere bestemmelser om formålet med behandlingen av opplysningene, hvilke opplysninger som skal behandles, og hvem som er dataansvarlig for opplysningene.

Endret ved lov 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195).

§ 13. Nasjonal kjernejournalegen side

Kongen i statsråd kan gi forskrift om behandling av helseopplysninger i nasjonal kjernejournal.

Nasjonal kjernejournal er et sentralt virksomhetsovergripende behandlingsrettet helseregister. Journalen skal inneholde et begrenset sett relevante helseopplysninger som er nødvendig for å yte forsvarlig helsehjelp.

Opplysninger kan registreres og på annen måte behandles uten samtykke fra pasienten. Den registrerte har rett til å motsette seg at helseopplysninger behandles i registeret.

Helsepersonell med tjenstlig behov ved ytelse av helsehjelp kan etter samtykke fra den registrerte gis tilgang til nødvendige og relevante helseopplysninger fra nasjonal kjernejournal. Med samtykke menes enhver frivillig, spesifikk, informert og utvetydig viljesytring fra pasienten der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til at det gis slik tilgang, jf. personvernforordningen artikkel 4 nr. 11. Når det er nødvendig for å yte forsvarlig helsehjelp, kan Kongen i statsråd i forskrift gjøre unntak fra kravet om samtykke. Ved unntak fra samtykke gjelder helsepersonelloven § 45 første ledd første punktum tilsvarende.

Kongen i statsråd kan i forskrift gi nærmere bestemmelser om innholdet i kjernejournalen, drift av kjernejournalen og behandling av helseopplysningene. Dette omfatter blant annet hvilke opplysninger som skal behandles, hvem som er dataansvarlig, regler om sletting, tilgang og tilgangskontroll, samt pasientens rettigheter.

Endret ved lover 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195), 10 apr 2019 nr. 11 (ikr. 10 apr 2019 iflg. res. 10 apr 2019 nr. 473), 16 juni 2023 nr. 56 (i kraft 1 juli 2023 iflg. res. 16 juni 2023 nr. 945). Endres ved lov 23 jan 2026 nr. 1 (i kraft 1 juli 2026 iflg. res. 13 mars 2026 nr. 402).

§ 14. Registrering og melding av helseopplysningeregen side

Virksomheter og helsepersonell som tilbyr eller yter tjenester som omfattes av apotekloven, folkehelseloven, helse- og omsorgstjenesteloven, legemiddelloven, smittevernloven, spesialisthelsetjenesteloven eller tannhelsetjenesteloven, plikter uten hinder av taushetsplikt å registrere eller melde opplysninger som bestemt i forskrifter etter §§ 11 til 13.

Kongen kan i forskrift gi nærmere bestemmelser om innhenting av helseopplysninger til registre som omfattes av §§ 11 til 13, blant annet om frister, formkrav, bruk av meldingsskjemaer og standarder.

Mottaker av opplysningene skal varsle den som har registrert eller meldt opplysningene dersom opplysningene er mangelfulle.

Kapittel 3. Taushetsplikt, innsynsrett og rett til å motsette seg behandling av helseopplysninger

§ 15. Taushetspliktegen side

Enhver som behandler helseopplysninger etter denne lov, har taushetsplikt etter helsepersonelloven §§ 21 flg. Andre som får adgang eller kjennskap til helseopplysninger fra et behandlingsrettet helseregister, har samme taushetsplikt.

§ 16. Forbud mot urettmessig tilegnelse av helseopplysningeregen side

Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger fra behandlingsrettede helseregistre uten at det er begrunnet i helsehjelp til den enkelte, administrasjon av slike tjenester eller har særskilt hjemmel i lov eller forskrift.

§ 17. Rett til å motsette seg behandling av helseopplysningeregen side

Pasienten eller brukeren kan motsette seg at

helseopplysninger i et behandlingsrettet helseregister etablert med hjemmel i §§ 8 til 10 gjøres tilgjengelige for helsepersonell etter § 19, jf. helsepersonelloven §§ 25 og 45 og pasient- og brukerrettighetsloven § 5-3,
opplysninger om betalte egenandeler i tilknytning til vedtak om frikort og refusjon registreres automatisk i system etablert med hjemmel i § 11, og
helseopplysninger registreres eller behandles på andre måter i nasjonal kjernejournal etablert med hjemmel i § 13.
helseopplysninger registreres eller behandles på andre måter i register etablert med hjemmel i § 9 a.

Reglene om beslutningskompetanse i pasient- og brukerrettighetsloven §§ 4-3 til 4-7 gjelder tilsvarende for retten til å motsette seg behandling av opplysningene.

Endret ved lover 11 juni 2021 nr. 67 (ikr. 1 juli 2021 iflg. res. 11 juni 2021 nr. 1869), 20 juni 2025 nr. 67 (i kraft 1 juni 2026 iflg. res. 20 juni 2025 nr. 1109). Endres ved lov 23 jan 2026 nr. 1 (i kraft 1 juli 2026 iflg. res. 13 mars 2026 nr. 402).

§ 18. Informasjon og innsynegen side

Pasienten eller brukeren har rett til informasjon og innsyn i henhold til pasient- og brukerrettighetsloven § 3-6 tredje ledd og § 5-1 og til personvernforordningen artikkel 13 og 15.

Når det er nødvendig for å gi innsyn, kan den dataansvarlige innhente personopplysninger fra Folkeregisteret. Dette gjelder uten hensyn til om opplysningene er underlagt taushetsplikt etter folkeregisterloven.

Kongen kan i forskrift gi nærmere bestemmelser om retten til innsyn i behandlingsrettede helseregistre.

Endret ved lover 9 des 2016 nr. 88 (ikr. 1 okt 2017 iflg. res. 9 juni 2017 nr. 718), 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195), 17 juni 2022 nr. 51 (i kraft 1 juli 2022 iflg. res. 17 juni 2022 nr. 1042). Endres ved lov 23 jan 2026 nr. 1 (i kraft 1 juli 2026 iflg. res. 13 mars 2026 nr. 402).

Kapittel 4. Virksomhetens plikter ved behandling av helseopplysninger

§ 19. Helseopplysninger ved helsehjelpegen side

Innenfor rammen av taushetsplikten skal den dataansvarlige sørge for at relevante og nødvendige helseopplysninger er tilgjengelige for helsepersonell og annet samarbeidende personell når dette er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til den enkelte.

Den dataansvarlige bestemmer på hvilken måte opplysningene skal gjøres tilgjengelige. Opplysningene skal gjøres tilgjengelige på en måte som ivaretar informasjonssikkerheten.

Departementet kan i forskrift gi nærmere bestemmelser om hvordan helseopplysninger i behandlingsrettede helseregistre kan gjøres tilgjengelige.

Endret ved lov 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195). Endres ved lov 23 jan 2026 nr. 1 (i kraft 1 juli 2026 iflg. res. 13 mars 2026 nr. 402).

§ 20. Helseopplysninger til andre formål enn helsehjelpegen side

Den dataansvarlige kan gjøre helseopplysninger tilgjengelige for andre formål enn helsehjelp når den enkelte samtykker eller dette er fastsatt i lov eller i medhold av lov. Med samtykke menes enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av helseopplysninger som gjelder vedkommende, jf. personvernforordningen artikkel 4 nr. 11.

Endret ved lov 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195).

§ 21. Personopplysninger fra Folkeregisteretegen side

Den dataansvarlige kan innhente personopplysninger fra Folkeregisteret når dette er nødvendig for å oppfylle den dataansvarliges plikter etter loven. Dette gjelder uten hensyn til om opplysningene er underlagt taushetsplikt etter folkeregisterloven.

Når det er nødvendig for å løse oppgaver helse- og omsorgstjenesten eller helse- og omsorgsforvaltningen er pålagt i lov eller forskrift, kan Norsk helsenett SF

innhente personopplysninger fra Folkeregisteret uten hinder av taushetsplikt, behandle opplysningene og sammenstille opplysningene med andre nødvendige opplysninger
dele opplysninger som nevnt i bokstav a med virksomheter i helse- og omsorgstjenesten og helse- og omsorgsforvaltningen.

Departementet kan gi forskrift om dataansvar og behandling av opplysninger etter andre ledd.

Endret ved lover 9 des 2016 nr. 88 (ikr. 1 okt 2017 iflg. res. 9 juni 2017 nr. 718), 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195), 22 des 2021 nr. 165 (ikr. 22 des 2021 iflg. res. 22 des 2021 nr. 3832).

§ 22. Tekniske og organisatoriske sikkerhetstiltakegen side

Den dataansvarlige og databehandleren skal gjennomføre nødvendige tekniske og organisatoriske tiltak for å ivareta sikkerheten ved behandling av personopplysninger. Tiltakene skal være egnet med hensyn til risikoen ved behandlingen av personopplysningene, jf. personvernforordningen artikkel 32. Den dataansvarlige og databehandleren skal også gjennomføre risikovurderinger av nettverks- og informasjonssystemene som benyttes for å levere tjenester i henhold til denne loven.

Sikkerhetstiltakene skal være proporsjonale og tilpasset risikoen. Ved vurderingen av hva som er et forsvarlig sikkerhetsnivå, skal det tas hensyn til den enkeltes personvern, kritiske samfunnsfunksjoner, helse- og omsorgstjenestens evne til å ivareta sine oppgaver og den teknologiske utviklingen.

Den dataansvarlige og databehandleren skal iverksette tiltak for å forebygge, avdekke og redusere konsekvensene av skadelige hendelser. Dette omfatter tiltak som blant annet tilgangsstyring, logging og etterfølgende kontroll. Den dataansvarlige og databehandleren kan kreve uttømmende og utvidet politiattest, jf. politiregisterloven § 41 nr. 2, fra personer som skal ha privilegerte tilganger til nettverks- og informasjonssystemer.

Departementet kan i forskrift fastsette nærmere krav til tekniske og organisatoriske sikkerhetstiltak.

Endret ved lover 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195), 22 des 2025 nr. 126 (i kraft 15 april 2026 iflg. res. 13 mars 2026 nr. 401).

§ 22 a. Dokumentasjon av tilgjengeliggjøringegen side

Tilføyes ved lov 23 jan 2026 nr. 1 (i kraft 1 juli 2026 iflg. res. 13 mars 2026 nr. 402).

§ 23. Internkontrollegen side

Den dataansvarlige skal gjennomføre tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med personvernforordningen, personopplysningsloven og denne loven, jf. forordningen artikkel 24.

Den dataansvarlige skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den dataansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for tilsynsmyndighetene.

Departementet kan i forskrift gi nærmere bestemmelser om internkontroll.

Endret ved lov 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195).

§ 24. Overdragelse eller opphør av virksomhetegen side

Ved overdragelse eller opphør av virksomhet kan behandlingsrettet helseregister overføres til en annen virksomhet. Den enkelte pasient eller bruker kan motsette seg overføring av sin journal og i stedet kreve at registeret overføres til en annen bestemt virksomhet. Dersom det er praktisk mulig, skal pasienten eller brukeren gjøres kjent med denne retten.

Departementet kan i forskrift gi nærmere bestemmelser om overføring av helseopplysninger ved opphør eller overdragelse av virksomhet.

§ 25. Plikt til bevaring eller slettingegen side

Helseopplysninger skal oppbevares til det av hensyn til helsehjelpens karakter ikke lenger antas å bli bruk for dem. Det samme gjelder opplysninger om hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til pasientens eller brukerens navn eller fødselsnummer.

Hvis ikke opplysningene deretter skal bevares etter arkivloven eller annen lovgivning, skal de slettes.

Kongen kan i forskrift gi nærmere bestemmelser om bevaring eller sletting av opplysninger som nevnt i første ledd.

Kapittel 5. Tilsyn og sanksjoner

§ 26. Tilsynegen side

Datatilsynet fører tilsyn med overholdelsen av loven og forskrifter gitt i medhold av loven. Dette gjelder ikke for tilsynsoppgaver som påligger Statens helsetilsyn eller statsforvalteren etter helsetilsynsloven.

Endret ved lover 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195), 10 juni 2022 nr. 37.

§ 27. (Opphevet)egen side

Opphevet ved lov 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195).

§ 28. (Opphevet)egen side

Opphevet ved lov 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195).

§ 29. Overtredelsesgebyregen side

Ved behandling av helseopplysninger i strid med loven eller forskrifter gitt i medhold av loven, kan Datatilsynet ilegge overtredelsesgebyr etter personvernforordningen artikkel 83 og personopplysningsloven §§ 26 og 27.

Endret ved lov 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195).

§ 30. Straff for brudd på taushetspliktegen side

Overtredelse av § 15 om taushetsplikt straffes etter straffeloven § 209, likevel slik at medvirkning straffes.

Endret ved lover 19 juni 2015 nr. 65 (ikr. 1 okt 2015), 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195), 10 apr 2019 nr. 11 (ikr. 10 apr 2019 iflg. res. 10 apr 2019 nr. 473). Endres ved lov 23 jan 2026 nr. 1 (i kraft 1 juli 2026 iflg. res. 13 mars 2026 nr. 402).

§ 30 a. Straff for urettmessig tilegnelse av helseopplysningeregen side

Den som forsettlig eller grovt uaktsomt overtrer forbudet mot urettmessig tilegnelse av helseopplysninger i § 16, straffes med bøter eller fengsel i inntil 1 år.

Grov urettmessig tilegnelse av helseopplysninger straffes med fengsel i inntil 3 år.

Ved avgjørelsen av om den urettmessige tilegnelsen av helseopplysninger er grov skal det særlig legges vekt på

faren for stor skade eller ulempe for pasienten eller brukeren,
den tilsiktede vinningen med overtredelsen,
overtredelsens varighet og omfang,
den utviste skyld, og
om handlingen er begått av noen som tidligere er ilagt en strafferettslig reaksjon for liknende handlinger.

Tilføyd ved lov 10 apr 2019 nr. 11 (ikr. 10 apr 2019 iflg. res. 10 apr 2019 nr. 473). Endres ved lov 23 jan 2026 nr. 1 (i kraft 1 juli 2026 iflg. res. 13 mars 2026 nr. 402).

§ 31. Erstatningegen side

Den dataansvarlige og databehandleren skal erstatte skader som er oppstått som følge av at helseopplysninger er behandlet i strid med personvernforordningen, etter forordningen artikkel 82 og personopplysningsloven § 30. Ansvaret gjelder tilsvarende ved brudd på denne loven eller forskrifter gitt i medhold av loven.

Endret ved lov 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195).

Kapittel 6. Ikraftsetting mv.

§ 32. Ikraftsettingegen side

Loven trer i kraft fra den tid Kongen bestemmer.¹ Kongen kan bestemme at de enkelte bestemmelsene i loven skal tre i kraft til ulik tid.

§ 33. Videreføring av forskrifteregen side

Forskrifter gitt i medhold av lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger, gjelder også etter at loven her har trådt i kraft.