Rettslig grunnlag

Jus og personvern

Rettslig grunnlag

Krav til rettslig grunnlag for kvalitetsregistre

Rettslig grunnlag tilsvarer hjemmel eller vilkår for å behandle personopplysninger. Et medisinsk kvalitetsregister er et helseregister. Forutsetninger for å behandle helseopplysninger i et slikt register er at den som mottar opplysningene må ha et rettslig grunnlag for å behandle dem, og den som har opplysningene må ha hjemmel for å levere dem ut. For kvalitetsregistrene vil rettslig grunnlag dermed ofte handle om tre forhold:

Helseregisterloven regulerer behandling av helseopplysninger der hovedformålet er å danne grunnlag for statistikk, helseanalyser, forskning, kvalitetsforbedring, planlegging, styring og beredskap (sekundærbruk). Gjeldende helseregisterlov trådte i kraft 1. januar 2015. Den erstattet da helseregisterloven 2001 og viderefører reglene i denne om sekundærbruk av helseopplysninger (1).

Med behandling menes enhver bruk av helseopplysninger, som for eksempel å samle inn, registrere, sammenstille, lagre og levere ut, eller en kombinasjon av slike bruksmåter, jf. helseregisterloven § 2.

Helseregisterloven gjelder bruk av helseopplysninger innenfor helse- og omsorgsforvaltningen og helse- og omsorgstjenesten. Behandling av helseopplysninger utenfor helseforvaltningen og helsetjenesten reguleres av personopplysningsloven (2).

Personopplysningsloven med forskrifter gjelder utfyllende til helseregisterloven, jf. helseregisterloven § 5. Særlig aktuell er personopplysningsforskriften om krav til informasjonssikkerhet og internkontroll (3). Også andre regelsett gjelder, blant annet regler om taushetsplikt i helsepersonelloven og samtykkebestemmelsene i pasient- og brukerrettighetsloven.

Kvalitetssikring og forskning

Helseregisterloven er avgrenset mot pasientjournalloven og helseforskningsloven.

Kvalitetssikring av helsetjenester som sådan omfattes av helseregisterloven. Kvalitetssikring av helsehjelp til den enkelte pasient og virksomhetenes interne kvalitetssikring, omfattes av pasientjournalloven (4). Å trekke grensen mellom virksomhetsinterne kvalitetsregistre som faller inn under pasientjournalloven og helseregistre forøvrig kan være vanskelig. Se nedenfor om virksomhetsintern kvalitetssikring.

Medisinsk og helsefaglig forskning reguleres av helseforskningsloven. Bruk av opplysninger som omfattes av helseforskningslovens formål krever behandlingsgrunnlag i helseforskningsloven, selv om registeret i utgangspunktet er opprettet med hjemmel i helseregisterloven. Samtidig skjer det forskning som ikke faller inn under helseforskningsloven, og der bruken av opplysningene omfattes av helseregisterloven. Registerets formål og karakter er da avgjørende for hvilken lov som skal anvendes (5).

Saklig virkeområde for helsegisterloven, pasientjournalloven og helseforskningsloven

Pasientjournalloven
Helseregisterloven
Helseforskningsloven
Gjelder all behandling av helseopplysninger som er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til enkeltpersoner.
Gjelder for behandling av helseopplysninger til statistikk, helseanalyser, forskning, kvalitetsforbedring, planlegging, styring og beredskap i helse- og omsorgsforvaltningen.
Gjelder for medisinsk og helsefaglig forskning på mennesker, humant biologisk materiale eller helseopplysninger.

Personvern, pasient- og samfunnsinteresser

Helseregisterloven skal særlig ivareta tre hensyn; personvern, pasientinteresser og samfunnsinteresser.

Personvern er ikke nærmere definert i loven, men knytter seg bl.a. til den enkeltes kontroll med hvilke opplysninger om ham eller henne som er tilgjengelig for andre. Den registrertes samtykke er derfor et krav for all behandling av helseopplysninger, hvis ikke annet er bestemt i lov. Traktater om menneskerettigheter danner det viktigste formelle grunnlaget for regelsett om personvern både nasjonalt og internasjonalt. Helseregisterloven bygger på EUs personverndirektiv (6).

Den sentrale pasientinteressen er best mulig helsehjelp. Aktuelle samfunnsinteresser er å sikre effektiv ressursutnyttelse av felles ressurser, styring og forvaltning av helsesektoren. Bruk av helseopplysninger og helseregistre til forskning og statistikk er nødvendig både for å kvalitetssikre helsehjelpen og sikre effektiv ressursutnyttelse til beste for samfunnet (7).

Ved motstrid mellom hensynet til den enkeltes integritet og andre interesser, skal det tungtveiende argumenter til for at personvernet skal vike (8).

Personvernhensyn i helseregisterloven:
  • Alminnelige vilkår for å behandle helseopplysninger, herunder hovedregel om samtykke, krav til formålsbestemthet og forbud mot bruk som ikke er forenlig med det opprinnelige formålet, jf. § 6.
  • Taushetsplikt, jf. 17
  • Forbud mot urettmessig å tilegne seg taushetsbelagte opplysninger, jf. § 18
  • Sikring av konfidensialitet, integritet og tilgjengelighet, jf. § 21
  • Plikt til internkontroll, jf. § 22 
  • Informasjon og innsyn, jf. §§ 23 og 24 
  • Sletting eller sperring, jf. § 25

Hjemmelsgrunnlag for etablering

I følge helseregisterloven § 6 kan helseopplysninger bare behandles når det er tillatt:
  • Direkte i lov (i helseregisterloven selv eller annen lov)
  • I lovhjemlede forskrifter (som forskrifter etter helseregisterloven §§ 8 til 12)
  • I konsesjon fra Datatilsynet etter helseregisterloven § 7

Den som har hjemmel i lov eller i lovhjemlede forskrifter trenger ikke å søke konsesjon fra Datatilsynet, men behandlingen kan være meldepliktig. Se mer om melde- og konsesjonsplikt ved behandling av helseopplysninger på Datatilsynets nettsider. Adgangen i helseregisterloven til å etablere helseregistre kan illustreres som i figuren under.

Hjemmelsgrunnlag for behandling av helseopplysninger i helseregisterloven

Hjemmel for Helsearkivregisteret i § 12 er ikke relevant i denne sammenhengen. De andre bestemmelsene kan kort oppsummeres slik:

§ 6 Alminnelige vilkår

Her fremgår grunnvilkår for å behandle helseopplysninger, som gjelder alle registre uavhengig om de er hjemlet direkte i lov, konsesjon eller forskrift. Bl.a. krav til at behandlingen skal ha et klart angitt formål, til saklighet og relevans, og at graden av personidentifikasjon ikke skal være større enn nødvendig for det aktuelle formålet.

§ 7 Konsesjon fra Datatilsynet

Datatilsynet kan gi konsesjon for å etablere helseregistre, som i tilfelle må søkes før behandlingen starter. Det forutsettes at opplysningene er lovlig innhentet (ved samtykke, lovhjemmel eller dispensasjon fra taushetsplikt). Lovforarbeidene presiserer at Datatilsynet kan gi konsesjon til alle typer helseregistre, også registre som ikke er samtykkebasert. Konsesjon kan bare gis dersom vilkårene i helseregisterloven § 6 og personopplysningsloven § 9 er oppfylt, og enkelte registre kan ha så stort omfang at de bør reguleres i forskrift (9). I vurderingen vil registerets omfang, identitetsforvaltning (identifisering, autentisering og autorisasjon) og varighet være viktige elementer.

Tilsynet kan i sitt konsesjonsvedtak stille særlige vilkår som anses nødvendig av hensyn til personvernet (for eksempel krav til informasjon, lagringstid m.v.), jf. personopplysningsloven § 35.

§ 8 Vilkår for etablering i forskrift

Bestemmelsen gir regjeringen fullmakt til å vedta forskrifter om helseregistre. For alle registre som skal hjemles i forskrift, må de alminnelige vilkårene i § 6 først være oppfylt, dernest må vilkårene i § 8 være oppfylt, og for det tredje må vilkårene i enten § § 9, 10 eller 11 være oppfylt. For å etablere nye registre ved forskrift må den helsefaglige eller samfunnsmessige nytten av registeret klart overstige personvernulempene. I tillegg stiller bestemmelsen krav til hva forskriften må inneholde.

§ 9 Registre som er samtykkebaserte eller uten direkte identifiserbare kjennetegn

Regjeringen kan gi forskrift om helseregistre der den registrerte enten samtykker (bokstav a.), eller der opplysningene behandles uten at den databehandlingsansvarlige har tilgang til navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn (bokstav b.).

§ 10 Helseregistre der den registrerte har rett til å motsette seg behandling av helseopplysninger

Bestemmelsen er ny i forhold til helseregisterloven av 2001, og er særlig tiltenkt etablering av nasjonale registre i forskrift (10). Regjeringen har her fått fullmakt til å etablere registre i forskrift med direkte personidentifiserbare kjennetegn, uten samtykke fra den registrerte, men med reservasjonsrett. Vilkåret er at formålet med behandlingen og hensynet til registerets kvalitet ikke kan oppnås dersom det stilles krav om samtykke.

§ 11 Lovbestemte helseregistre

Gjelder helseregistre med direkte personidentifiserende kjennetegn uten samtykke fra de registrerte. Å etablere slike registre krever lovvedtak i Stortinget. Bestemmelsen viderefører lovgrunnlaget for de eksisterende ikke samtykkebaserte sentrale helseregistrene som var hjemlet i helseregisterloven av 2001 (Kreftregisteret, Medisinsk fødselsregister, Nasjonalt register over hjerte- og karlidelser mv.). Bestemmelsen gir regjeringen fullmakt til å vedta forskrifter om de registrene som er uttømmende oppregnet i loven.

Virksomhetsintern kvalitetssikring

Virksomhetsinterne kvalitetsregistre er der hvor nærmere definerte pasientopplysninger fra flere pasienters journaler innenfor en virksomhet, sammenstilles og analyseres i kvalitetssikringsøyemed.

Helsepersonelloven § 26 åpner for at helseopplysninger kan brukes til virksomhetsintern kvalitetssikring, ved at den fastslår at den som yter helsehjelp kan gi opplysninger til virksomhetens ledelse når dette er nødvendig for å kvalitetssikre tjenesten. Bestemmelsen er ikke i seg selv hjemmelsgrunnlag for å etablere et eget register. Slikt grunnlag følger av pasientjournalloven § 6 andre ledd.

Dersom to eller flere virksomheter samarbeider om behandlingsrettede helseregistre (pasientjournaler) etter pasientjournalloven § 9, kan slike opplysninger også gis til ledelsen i samarbeidende virksomheter, jf. helsepersonelloven § 26 andre ledd. Dette er en viktig endring fra den forrige helseregisterloven, fordi endringen gjør direkte tilgang til opplysninger i pasientforløp på tvers av virksomhetsgrenser mulig, både for å yte, administrere og kvalitetssikre helsehjelpen. Uten et slikt samarbeid om felles journal kan ikke personidentifiserbare opplysninger kobles direkte til data fra andre virksomheter. Slik sammenligning må i så fall, som tidligere, framstilles anonymt.

Helsepersonelloven § 26 forutsetter at formålet med bruken er ledelsesforankret. Dvs. at virksomhetens ledelse har det formelle ansvaret, men myndighet til å etablere kvalitetsregistre kan delegeres nedover i virksomheten til annet personell. Avhengig av vedtatte prosedyrer i den enkelte virksomhet/helseforetak, vil rutinene for etablering kunne variere. Så fremt behandlingen er innenfor formålet med helsepersonelloven § 26, oppstiller bestemmelsen ingen begrensning med hensyn til størrelse, innhold eller lagringstid (11).

Opplysningene skal så langt som mulig gis uten individualiserende kjennetegn, jf. helsepersonelloven § 26 og pasientjournalloven § 6 tredje ledd. Dersom individualiserende opplysninger likevel inkluderes, har pasienten reservasjonsrett (12).

Siden slik behandling av helseopplysninger har hjemmel direkte i lov er behandlingen ikke konsesjonspliktig.

Om adgangen til å utlevere opplysninger fra nasjonale medisinske helseregistre til helseforetak for bruk til intern kvalitetssikring, se nedenfor om utlevering

Hente inn opplysninger til registeret

Samtykke som hovedregel

Helseopplysninger i helseregistre må hentes inn enten fra den registrerte selv eller fra en annen kilde, som oftest pasientjournaler. Som hovedregel skal det foreligge samtykke fra den registrerte før opplysningene kan behandles i et helseregister, hvis ikke annet er bestemt i eller i medhold av lov.

Helseregisterloven § 2 krever at samtykket skal være en «frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av helseopplysninger om seg selv».

  • Frivillig betyr at samtykket ikke må være gitt under noen form for tvang. Den som ber om samtykket må gjøre det klart at det ikke vil få behandlingsmessige eller andre konsekvenser ved ikke å delta.
  • Uttrykkelig betyr at passivt eller stilltiende samtykke ikke er tilstrekkelig.
  • Informert betyr at den registrerte forstår hva han eller hun samtykker til og konsekvensene av det. Informasjonen må derfor tilpasses den enkelte. Informasjonen skal minst fortelle hvem som er databehandlingsansvarlig, formålet med behandlingen av opplysningene, om opplysningene vil bli utlevert, og eventuelt til hvem, samt hvilke rettigheter den registrerte har etter loven, jf. personopplysningsloven §18.

Det stilles ingen formkrav til samtykket (dvs. kan gis muntlig eller skriftlig). Som hovedregel bør det likevel være dokumenterbart, fordi databehandlingsansvarlig må kunne sannsynliggjøre at samtykke er innhentet.

Samtykket kan trekkes tilbake på hvilket som helst tidspunkt. Tilbaketrekking gjelder i utgangspunktet bare for fremtidige behandlinger av opplysningene, og ikke for allerede utførte analyser eller anonymt materiale (13).

Det fremgår av helseregisterloven § 15 hvem som har rett til å samtykke til behandling av helseopplysninger. Bestemmelsen tilsvarer i hovedsak pasient- og brukerrettighetslovens samtykkeregler.

Aktuelle unntak fra samtykke

For å hente inn personidentifiserbare opplysninger til helseregistre uten samtykke må det foreligge lovhjemmel. De mest aktuelle unntakshjemlene i denne sammenhengen er:

  • Helseregisterloven § 13: Innmelding av helseopplysninger til forskriftsbaserte helseregistre, som bestemt i registerforskriftene. Innmelding kan skje uten hinder av taushetsplikt.
  • Helseregisterloven § 14: Opplysninger fra Det sentrale folkeregisteret. Den databehandlingsansvarlig kan innhente personopplysninger (som de etter sin forskrift har tillatelse til å behandle) fra folkeregisteret,         uten hinder av taushetsplikt.
  • Helsepersonelloven § 29 b: Departementet kan bestemme at helseopplysninger skal eller kan gis til bruk for helseanalyser og kvalitetssikring, administrasjon, planlegging eller styring av helse- og                              omsorgstjenesten, uten hinder av taushetsplikt. Helsedirektoratet er delegert myndighet til å avgjøre søknad om dispensasjon fra taushetsplikten. Dette kan bare skje dersom behandlingen av opplysningene er      av vesentlig interesse for samfunnet og hensynet til pasientens integritet og velferd er ivaretatt. Graden av personidentifikasjon skal ikke være større enn nødvendig for det aktuelle formålet. Søknadsskjema ligger på helsedirektoratets nettsider.
  • Helsepersonelloven § 29: Departementet kan bestemme at helseopplysninger skal eller kan gis til bruk for forskning. Søknad om dispensasjon fra taushetsplikt skal vurderes av REK (Regionale komiteer for            medisinsk og helsefaglig forskningsetikk). Se mer informasjon på REK sine nettsider
  • Helsepersonelloven § 26: Opplysninger kan gis til virksomhetens ledelse når dette er nødvendig for å kunne gi helsehjelp, eller for internkontroll og kvalitetssikring av tjenesten, som nevnt ovenfor ved etablering      av virksomhetsinterne kvalitetsregistre med hjemmel i pasientjournalloven § 6.

Levere ut opplysninger fra registeret

Enhver som behandler helseopplysninger etter helseregisterloven har taushetsplikt etter helsepersonelloven § 21 flg. Utlevering av helseopplysninger fra helseregistrene må dermed ha hjemmel i lov eller samtykke fra den opplysningene gjelder.

Samtykke opphever taushetsplikten så langt samtykket rekker, og det er derfor svært viktig at samtykket er tilstrekkelig klart hvis det skal kunne brukes som hjemmel for å levere ut opplysninger. Kravet til informasjon setter en absolutt skranke for hva den databehandlingsvarlige kan bruke opplysningene til. En «blanco-fullmakt» for å oppheve taushetsplikten, som en generell hjemmel for å utlevere opplysninger fra registeret i framtiden, er ikke tilstrekkelig (14).

Helsepersonelloven §§ 29 og 29b kan også være aktuelle hjemler for å utlevere opplysninger fra registrene til bruk til henholdsvis forskning og kvalitetssikring. Se mer om disse ovenfor i punkt 6.

Loven hjemler ikke direkte adgang til å sammenstille opplysninger, men forutsetter at det er vedtatt slik adgang i registerforskriftene, jf. helseregisterloven § 19. Registre som er etablert med hjemmel i helseregisterloven § 11 har egne bestemmelser om sammenstilling med andre registre. Å sammenstille opplysninger kan også være en måte å innhente data på, i de tilfellene der to registre kan inneholde den samme variabelen (15).

Om å levere opplysninger tilbake til innrapporterende virksomheter

I de aller fleste tilfeller rapporterer en behandlende instans/helseforetak opplysninger til databehandlingsansvarlig (annet helseforetak eller sentral instans) for et register – enten på grunnlag av samtykke fra pasienten eller med hjemmel i lov.

Til gjengjeld ønsker ofte registrerende enheter å få tilbake særskilt tilrettelagte kvalitetsdata for sin virksomhet, og i tillegg kunne bruke innsamlede data fra egen enhet til lokal kvalitetssikring.

Registeret som mottar opplysningene har taushetsplikt etter helsepersonelloven §§ 21 flg.

Taushetsplikten er ikke til hinder for at opplysningene gis til den som fra før er kjent med opplysningene, jf. helsepersonelloven § 23 1. ledd. Forutsatt at mottakeren er «fra før kjent med opplysningene» og det er i samsvar med registerets formål, kan personopplysninger fra registeret utleveres til innrapporterende virksomheter.

Dette vil ikke gjelde for opplysninger som rapporteres til registeret direkte fra pasienten, og som ikke er å gjenfinne i pasientjournalen. Disse opplysningene kan ikke uten videre anses som kjent for innsender fra før, og utlevering fra registeret må i tilfelle baseres på annet rettslig grunnlag, som for eksempel samtykke.

I følge Datatilsynet er det derfor viktig at pasientens egenrapportering og den elektroniske løsningen for innrapportering utformes slik at det kan skilles mellom opplysninger virksomheten har levert til registeret og pasientrapporteringen (16).

Loven stiller ingen begrensninger med hensyn til hvilken form opplysningene kan gjøres tilgjengelige for innsender. Det kan dermed gis direkte elektronisk tilgang til opplysninger i registeret, forutsatt at krav til informasjonssikkerhet er ivaretatt på en slik måte at taushetsplikten ikke brytes.

For å kunne motta og behandle opplysninger som blir tilbakelevert, må innrapporterende virksomhet sørge for å ha tilstrekkelig rettslig grunnlag. Så fremt settet med opplysninger som tilbakeleveres kan sammenlignes med et uttrekk av opplysninger fra virksomhetens pasientjournaler, vil pasientjournalloven § 6 jf. helsepersonelloven § 26 være aktuelt og tilstrekkelig grunnlag. Dersom formålet og bruken er utenfor rekkevidden til helsepersonelloven § 26, må annet rettslig grunnlag finnes.

Om å levere ut indirekte identifiserbare helseopplysninger fra sentrale helseregistre

Gjeldende helseregisterlov innførte et nytt unntak fra taushetsplikten for utlevering av indirekte identifiserbare opplysninger.

Indirekte identifiserbare opplysninger er i helseregisterloven § 2 bokstav b definert som «helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, men hvor opplysningene likevel kan knyttes til en enkeltperson». Slike opplysninger er underlagt taushetsplikt etter helsepersonelloven på samme måte som direkte identifiserbare opplysninger.

Helseregisterloven § 20 gjør unntak fra reglene om taushetsplikt for utlevering av opplysninger fra de sentrale forskriftsbaserte helseregistrene (§ 11-registrene), slik at det ikke er nødvendig med samtykke fra de registrerte eller å søke dispensasjon fra taushetsplikten.

Det er viktig å være oppmerksom på at unntaket gjelder kun utlevering. Den som mottar opplysningene må fortsatt ha hjemmel for å behandle dem, enten i forskrift, konsesjon fra Datatilsynet eller eventuelt tillatelse fra REK.

Det er databehandlingsansvarlig for registeret som beslutter om opplysningene kan utleveres, eksempelvis NPR, Folkehelseinstituttet, Kreftregisteret og Helsedirektoratet (17).

Om offentlighet og rett til informasjon etter helseregisterloven

Hovedregel om offentlighet følger av offentleglova § 3. I tillegg gir offentleglova § 9 rett til sammenstillinger av opplysninger som er elektronisk lagret dersom sammenstillingen kan gjøres med enkle fremgangsmåter. I tillegg har helseregisterloven og de tilhørende forskriftene egne regler om informasjon og innsyn, se helseregisterloven §§ 23 og 24.

Helseregisterloven sier ikke noe uttrykkelig om forholdet mellom de generelle reglene om innsynsrett i offentleglova og reglene i helseregisterloven.

Lovavdelingen i Justis og beredskapsdepartementet har i fortolkningsuttalelse fra 2010 lagt til grunn at personopplysningsloven § 6 gjelder for forholdet mellom helseregisterloven og offentleglova [18]. I bestemmelsens første ledd heter det:

«Loven her begrenser ikke innsynsrett etter offentleglova, forvaltningsloven eller annen lovbestemt rett til innsyn i personopplysninger.»

Det samme må kunne legges til grunn i dag, da helseregisterloven § 5 slår fast at personopplysningslovens bestemmelser gjelder så langt ikke annet følger av loven.

I praksis betyr dette at man kan ha innsynsrett etter flere bestemmelser samtidig. I enkelte tilfeller vil også de spesielle hensynene etter helseregisterlovgivningen kunne gi en videre rett til innsyn enn de generelle reglene i offentleglova.

Et innsynskrav etter offentleglova avgjøres etter de alminnelige reglene om innsyn. Dersom det er hjemmel for unntak i offentleglova for innsyn (for eksempel for personidentifiserbare opplysninger i henhold til offentleglova § 13 jf. forvaltningsloven § 13 første ledd nr. 1), kan eller skal det gjøres unntak uavhengig av om det er gitt innsyn i samme dokument etter helseregisterloven eller registerforskriftene.

Oppsummering

Tilstrekkelig rettslig grunnlag for å behandle opplysninger i medisinske kvalitetsregistre handler om tre forhold. Opplysningene må for det første være lovlig innhentet. Dernest må den som mottar opplysningene ha et behandlingsgrunnlag. For det tredje kan registeret heller ikke utlevere opplysninger fra registeret uten at det foreligger lovhjemmel eller samtykke fra den opplysningene gjelder.

Den klare hovedregelen for behandlingen av helseopplysninger er samtykke.

 

Relevante lenker

Referanser

  1. Lov-2014-06-20-43 Helseregisterloven – hregl.
  2. Lov-2000-04-14-31 Personopplysningsloven – popplyl.
  3. Forskrift til personopplysningsloven av 15.12.2000 nr 1265 (personopplysningsforskriften)
  4. Prop. 72 L (2013-2014), s. 187
  5. Prop. 72 L (2013-2014) punkt 17.1.3 og 17.3
  6.  EUs personverndirektiv (95/46/EF) Om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger.
  7. Engelschiøn S og Vigerust E: Pasientjournalloven og helseregisterloven, Universitetsforlaget 2015, pkt 1.1- 1.2
  8. Prop. 72. L (2013-204) punkt 16.3
  9. Prop. 72 L (2013-2014) punkt 19.4.4
  10. Prop. 72 L (2013-2014), s. 193  i merknad til § 10
  11. Brev av 18.12.12 fra Helsedirektoratet til Datatilsynet (ref. 12/5062-3)
  12. Ot.prp. nr. 13 (1998-1999)
  13. Engelschiøn S og Vigerust E: Pasientjournalloven og helseregisterloven, Universitetsforlaget 2015, s. 182
  14. Engelschiøn S og Vigerust E: Pasientjournalloven og helseregisterloven, Universitetsforlaget 2015, s. 181
  15. Engelschiøn S og Vigerust E: Pasientjournalloven og helseregisterloven, Universitetsforlaget 2015, s. 230
  16. Datatilsynet: Vedtak 31.05.15 om delvis innvilgelse av konsesjon til å behandle helseopplysninger - NORSPIS
  17. Prop. 72 L (2013-2014) punkt 21.3.2
  18. Justis- og beredskapsdepartementet, Lovavdelingen: Fortolkningsuttalelse 22.12.2010 om offentleglova §§ 3 og 6 – Vurdering av innsynsrett i informasjon fra helseregister (ref.201005035 EO KRY/OKL)