Gjeldende regelverk
Forskrift om nasjonal kjernejournal
Lov om pasient- og brukerrettigheter
Sentrale tema fra regelverkene
Om Nasjonal kjernejournal
Nasjonal kjernejournal er et behandlingsrettet helseregister og en nasjonal samhandlingsløsning. Registeret sammenstiller et begrenset sett av relevante helseopplysninger som er nødvendige for å yte forsvarlig helsehjelp. Helsepersonell kan melde opplysninger til kjernejournal uavhengig av taushetsplikten. Opplysningene er dermed kopi av opplysninger som ligger i lokale og regionale pasientjournalsystemer.
Behandling av opplysninger i kjernejournalen har rettslig grunnlag i pasientjournalloven § 13. Formålet med kjernejournal er å bidra til forsvarlig helsehjelp til pasienten, jf. lovens § 13 og kjernejournalforskriften § 1. Kjernejournalforskriften regulerer nærmere hvilke opplysninger kjernejournal kan ha, hvem som kan ha tilgang til dem, lagring av opplysninger og pasientens rettigheter ved behandlingen av opplysningene i registeret.
Kjernejournal kan opprettes for alle personer som omfattes av pasient- og brukerrettighetsloven § 1-2 og som har fødselsnummer eller D-nummer, med mindre den enkelte har reservert seg. Alminnelige representasjonsregler etter pasient- og brukerrettighetsloven kap. 4 gjelder.
Helsedirektoratet er dataansvarlig for kjernejournal og skal sikre at pasientens opplysninger behandles i tråd med lovpålagt taushetsplikt og i samsvar med personvernregelverket.
Nærmere om kritisk informasjon
Kritisk informasjon i kjernejournal er opplysninger som i en gitt situasjon vil kunne ha avgjørende betydning for valg av helsehjelp, og som hvis den mangler kan medføre fare for feil eller forsinket behandling.
Etter kjernejournalforskriften § 4 første ledd nr. 5 kan pasientens kritiske informasjon deles i kjernejournal.
Hvem kan ha tilgang til pasientens kritiske informasjon i kjernejournal
De rettslige rammene bestemmer hvem som kan ha tilgang til pasientens opplysninger i kjernejournal.
Hovedvilkåret for tilgang fremgår av § 13 fjerde ledd første setning. Bestemmelsen gir rettslig grunnlag for behandling av opplysningene.
Om taushetsplikt
Pasientens opplysninger i kjernejournal er som utgangspunkt underlagt lovbestemt taushetsplikt. Pasientjournalloven § 13 fjerde ledd utgjør et unntak fra taushetsplikten. Etter bestemmelsen er det kun helsepersonell som yter helsehjelp som kan gis tilgang til pasientens opplysninger i kjernejournal. Videre må opplysningene i kjernejournal være nødvendige og relevante for helsepersonellets ytelse av helsehjelp i den konkrete behandlingssituasjonen.
Etter hovedregelen plikter derfor helsepersonellet som skal behandle pasienten, både å vurdere om de trenger opplysninger fra kjernejournal, og å vurdere hvilke opplysninger som er nødvendige og relevante for å yte forsvarlig helsehjelp til pasienten.
Denne vurderingen må helsepersonellet foreta på bakgrunn av sine helsefaglige oppgaver og tjenstlige behov.
Om samtykkekravet
Etter regelverket er tilgang til kjernejournal som hovedregel samtykkebasert. Dette betyr at før oppslag i kjernejournal foretas, må pasienten gi helsepersonell sitt samtykke.
Kjernejournalforskriften § 7 gir unntak fra samtykkekravet. Blant annet gjelder ikke samtykkekravet i akuttsituasjoner der det er alvorlig fare for pasientens liv, når det ikke er tid til å innhente pasientens samtykke eller dersom pasienten på grunn av sin fysiske eller psykiske tilstand ikke er i stand til å samtykke. I tillegg har også fastlege samt lege og sykepleier i spesialisthelsetjenesten unntak fra samtykkekravet.
Om autorisasjon og autentisering
Tilgang til kjernejournal skal alltid skje gjennom autorisasjons- og autentiseringsløsningen (nhn.no) i egen virksomhet, jf. kjernejournalforskriften § 9. Hver virksomhet skal etablere nødvendige organisatoriske og tekniske tiltak for tildeling, administrasjon og kontroll av autorisasjoner for tilgang til helseopplysninger i nasjonal kjernejournal. En autorisasjon skal knyttes til en entydig identifisert person i en bestemt rolle og være tidsbegrenset.
Den som gis elektronisk tilgang til helseopplysninger i kjernejournal skal kunne autentiseres på et høyt sikkerhetsnivå.
Hvem har ansvar for å dele kritisk informasjon i kjernejournal
Hovedregelen er at helsepersonell som yter helsehjelp kan melde opplysninger om kritisk informasjon uten hinder av taushetsplikten, jf. kjernejournalforskriften § 5.
Når den enkelte virksomhet har etablert teknisk løsning (via API), for automatisk innmelding fra lokalt pasientjournal system til kjernejournal, pålegges meldeplikt av opplysninger til pasientens kritiske informasjon i kjernejournal, jf. kjernejournalforskriften § 5 tredje ledd
Nærmere om meldeplikt til kritisk informasjon i kjernejournal
Meldeplikten skal sikre at pasientens kritiske informasjon blir registrert og tilgjengelig i kjernejournal slik at helsepersonell har tilgang til disse opplysningene når de trenger dem for å kunne gi forsvarlig helsehjelp. Tiltaket er tenkt å øke registreringsgraden og bidra til bedre bruk av kritisk informasjon. Når teknisk løsning for automatisert innmelding er tilgjengelig hos virksomheten, skal denne benyttes til å dele kritisk informasjon i kjernejournal.
Med automatisert innmelding menes teknisk løsning som gjør det mulig å dele opplysninger i kjernejournal uten at helsepersonellet får en ekstra belastning ved å måtte foreta manuell registrering av opplysningene i både i lokal pasientjournal og i kjernejournal..
Det er respektive virksomhet som er nærmest til å avgjøre når teknisk løsning kan sies å være "tilgjengelig for den enkelte virksomheten", jf. kjernejournalforskriften § 5 tredje ledd. Dette vil kunne avhenge av virksomhetens risikovurderinger knyttet til innføring, opplæring etc. av ny løsning. Virksomheten må selv etablere rutiner og prosedyrer som sikrer at helsepersonell settes i stand til å etterleve meldeplikten.
Begrensninger i meldeplikten
For personer som har reservert seg mot at det behandles helseopplysninger i kjernejournal eller personer som har adressesperre, vil det ikke være teknisk mulig å melde opplysningene til kjernejournal.
Det må imidlertid skilles mellom retten til å reservere seg mot kjernejournal, jf. kjernejournalforskriften § 3 andre ledd, jf. § 4 tredje ledd og retten til å sperre opplysninger i kjernejournal, jf. § 6 tredje ledd andre punktum.
Kritisk informasjon som meldes til kjernejournal kan være underlagt tilgangsbegrensninger mot tilgjengeliggjøring til utvalgt helsepersonell (sperring/skjerming). Dersom det allerede er satt sperring/skjerming i kjernejournal, vil det nye innholdselementet som meldes, omfattes av allerede satte tilgangsbegrensninger. Virksomheten som melder inn opplysninger til kjernejournal har plikt til å ta hensyn til sperringer satt i lokal EPJ når opplysningene meldes til kjernejournal.
Se Helsedirektoratets vurdering av plikt til å overføre sperringer (pdf)
Dele kritisk informasjon fra kjernejournal til pasientjournal
Helsepersonell er forpliktet til å journalføre opplysninger hentet fra pasientens kjernejournal i samsvar med alminnelige bestemmelser for journalføring, jf. helsepersonelloven §§ 39 og 40. Journalføringsplikten utgjør det rettslige grunnlaget for behandling av opplysningene i pasientens lokale journal.
Det vil på denne bakgrunn derfor ikke være innenfor gjeldende rett å eksempelvis etablere tekniske løsninger som automatisk/systeminitiert overfører og lagrer opplysninger fra kjernejournal til pasientjournal uten at helsepersonell har sett og vurdert om opplysningene er nødvendige og relevante for den konkrete helsehjelpen.
Se Helsedirektoratets vurdering av helautomatisert overføring fra kjernejournal til EPJ (pdf)
Pasientens rettigheter
Oppslag i kjernejournal logges og det vil være synlig for pasienten hvem som har sett opplysningene, jf. kjernejournalforskriften § 6.
Pasienten har i henhold til kjernejournalforskriften § 6 rett til innsyn i egne opplysninger i kjernejournalen og opplysninger om hvem som har gjort oppslag i kjernejournalen, varsel om oppslag i kjernejournal, rett til retting, sletting og sperring av opplysninger om seg selv, jf. pasient- og brukerrettighetsloven §§ 5-1, 3-3 og 3-4, samt helsepersonelloven § 45.
Helsepersonells personvern
Ethvert oppslag i kjernejournal logges på det helsepersonellet som foretar oppslaget. Dette gjelder selv om oppslaget er automatisk. Pasienten vil derfor alltid kunne se hvem som har foretatt oppslag i kritisk informasjon i kjernejournal. Dette er det viktig at helsepersonell er kjent med og forstår.