Hopp til hovedinnhold

Formål og behandlingsgrunnlag (faktaark 56)

Faktaarket skal bidra til å sikre at virksomhetens behandlinger av helse- og personopplysninger skjer innenfor eksplisitte formål og lovlig behandlingsgrunnlag.

Om faktaarket

Dette faktaarket omhandler kravene til formål, behandlingsgrunnlag ved behandling av personopplysninger, samt de særlige kravene til grunnlag for behandling av helseopplysninger. I tillegg gis det eksempler på behandlingsgrunnlag som ofte brukes i helse- og omsorgssektoren.

Dette faktaarket er spesielt relevant for

Målgruppen for faktaarket er virksomheter som behandler helse- og personopplysninger. Faktaarket er relevant for personer som skal vurdere om virksomhetens behandling av helse og personopplysninger oppfyller de grunnleggende kravene i personvernforordningen. Dette vil ofte være personer som er tildelt et særlig ansvar for personvern i virksomheten.

Krav i Normen 

Faktaarket gjelder for følgende kapitler i Normen:

Relevante lov- og forskriftsbestemmelser, standarder og andre rammeverk

Kravene til behandlingsgrunnlag og fastsettelse av formål er også beskrevet i Personvernprinsippene (faktaark 57). Dette faktaarket beskriver sammenhengen mellom personvernprinsippene og når virksomheter må vurdere om prinsippene er oppfylt.

Formål og behandlingsgrunnlag

Helse- og personopplysninger kan bare behandles når det finnes et lovlig grunnlag for å behandle dem. I personvernforordningen kalles dette behandlingsgrunnlag. Det finnes seks ulike behandlingsgrunnlag som virksomheten kan velge mellom. Behandlingsgrunnlagene er
-    samtykke
-    nødvendig for å oppfylle en avtale
-    nødvendig for å oppfylle en rettslig forpliktelse
-    nødvendig for å verne om vitale interesser
-    nødvendig for å utøve en oppgave i allmenhetens interesse eller utøve offentlig myndighet
-    nødvendig for formål knyttet til en berettiget interesse.

Dette faktaarket gir en beskrivelse av de ulike behandlingsgrunnlagene og når de kan benyttes. Videre gir faktaarket en beskrivelse av hvilke særlige krav som gjelder ved behandling av helseopplysninger.
For å kunne bruke enkelte av behandlingsgrunnlagene i personvernforordningen for en behandling av helse- og personopplysninger, må det finnes norsk lovgivning som regulerer behandlingen. Dette kalles supplerende rettsgrunnlag. Faktaarket gir også en beskrivelse av hva som kreves av et supplerende rettsgrunnlag.
Til slutt gir faktaarket et eksempel som viser vanlige behandlingsaktiviteter i helse- og omsorgssektoren, med behandlingsgrunnlag som kan være aktuelle for noen virksomheter.

Avgrensning

Faktaarket gir ikke en fullstendig oversikt over når de særlige kravene som stilles til behandling av særlige kategorier av personopplysninger, er oppfylt. Det gir heller ikke en fullstendig oversikt over alle supplerende rettslige grunnlag som kan være aktuelle for virksomheter i helse- og omsorgssektoren.

Kompletterende veiledningsmateriell

Kravene til behandlingsgrunnlag og fastsettelse av formål er også beskrevet i Personvernprinsippene (faktaark 57).  Dette faktaarket beskriver sammenhengen mellom personvernprinsippene og når virksomheter må vurdere om prinsippene er oppfylt.

Oversikt over innholdet i faktaarket
1.    Formål
2.    Kravet til nødvendighet ved bruk av enkelte behandlingsgrunnlag
3.    Alminnelig behandlingsgrunnlag
4.    Særlige krav ved behandling av helseopplysninger
5.    Supplerende rettsgrunnlag
6.    Eksempel på vurdering av behandlingsgrunnlag i helse- og omsorgssektoren

 

Formål

Dataansvarlig må sikre at formål er definert og at dataansvarlig har behandlingsgrunnlag før personopplysninger behandles på en ny måte. Virksomheten skal alltid definere ett eller flere formål med behandlingen av helse- og personopplysninger. Formålene skal være spesifikke, uttrykkelig angitte og legitime,[1] og de skal dokumenteres i virksomhetens protokoll over behandlingsaktiviteter[2] Når formålet/formålene er definert, må virksomheten sikre at den oppfyller kravene til ett behandlingsgrunnlag for hvert formål som er definert.

Hvis helse- og personopplysningene skal brukes til andre formål enn de som virksomheten definerte før innsamlingen, så må denne behandlingen i utgangspunktet ha et eget behandlingsgrunnlag. Dette gjelder imidlertid ikke dersom de nye formålene er forenlig med de opprinnelige formålene. Kravet til forenlighet og hva en vurdering knyttet til forenlighet bør inneholde, er nærmere beskrevet i Personvernprinsippene (faktaark 57)..

 

Kravet til nødvendighet ved bruk av enkelte behandlingsgrunnlag

Behandlingsgrunnlagene er definert i personvernforordningen artikkel 6 nr. 1 bokstav a til f. I de samme bestemmelsene beskrives kravene til når de forskjellige behandlingsgrunnlagene kan brukes.

Det er alltid slik at virksomheten ikke skal samle inn flere opplysninger enn det som er nødvendig for å ivareta formålet med behandlingen av personopplysninger. Dette følger av dataminimeringsprinsippet, men også nødvendighetskrav knyttet til noen av behandlingsgrunnlagene.[3] Dataminimeringsprinsippet og nødvendighetskravene innebærer at virksomheten må vurdere om den kan ivareta formålet med behandlingen av personopplysninger på en mindre inngripende måte, for eksempel ved å samle inn færre eller ingen personopplysninger.

Hvilke personopplysninger det er nødvendig å behandle må vurderes konkret for hvert enkelt tilfelle. Der formålet med en behandling av personopplysninger er å oppfylle plikten til å gi forsvarlig helsehjelp, vil det være en medisinskfaglig vurdering som styrer hvilke personopplysninger det er nødvendig å behandle. Dette illustreres i en sak fra Personvernnemda,[4] hvor en fastlege hadde skrevet at en pasient tilhørte Romanifolket i et henvisningbrev til et distriktspsykiatrisk senter. Overlegen på det aktuelle distriktspsykiatriske senteret hadde også sendt en epikrise tilbake til fastlegen hvor det også sto at pasienten tilhørte Romanifolket. Pasienten mente at hverken fastlegen eller det distriktspsykiatriske senteret hadde grunnlag for å behandle denne personopplysningen. Det distriktspsykiatrisk senteret mente imidlertid at opplysningen var relevant for helsehjelpen på lik linje med annen bakgrunnsinformasjon som ble gitt i henvisningsbrevet. Både Datatilsynet og Personvernnemda uttalte at de er varsomme med å overprøve medisinskfaglige vurderinger av hvilke helseopplysninger som er nødvendig for å yte forsvarlig helsehjelp.

Alminnelig behandlingsgrunnlag

Valg av behandlingsgrunnlag

I personvernforordningen artikkel 6 er det listet opp seks ulike behandlingsgrunnlag som virksomheten kan bruke. Virksomheten kan kun velge ett av behandlingsgrunnlagene for hvert formål for behandlingen av personopplysninger, selv om flere av dem kan passe.[5] Valg av behandlingsgrunnlag skal dokumenteres. Denne dokumentasjonen kan gjøres i protokollen over behandlingsaktiviteter som virksomheten er pålagt å ha.[6] Du finner med informasjon om protokoll over behandlingsaktiviteter i Protokoll over behandlinger av helse - og personopplysninger (faktaark 13).[7]


I dette kapittelet gis en beskrivelse av de ulike behandlingsgrunnlagene og kravene som må være oppfylt når virksomheter bruker dem. I kapittel 4 beskrives tilleggskravene som gjelder når behandlingen av personopplysninger gjelder helseopplysninger og andre opplysninger som er gitt et ekstra vern.

Samtykke

Virksomheten kan behandle helse- og personopplysninger dersom den registrerte har samtykket til behandlingen.[8] Det er viktig å være oppmerksom på at et samtykke etter personvernforordningen er noe annet enn et samtykke til å motta helsehjelp etter særlovgivningen for helse- og omsorgssektoren. Et samtykke til å motta helsehjelp vil vanligvis ikke være et samtykke til også å behandle helse- og personopplysninger i forbindelse med helsehjelpen.[9]

Behandling av helse- og personopplysninger i forbindelse med at det gis helsehjelp vil som regel være en plikt som er fastsatt i særlovgivningen for helse- og omsorgssektoren. Det aktuelle behandlingsgrunnlaget vil derfor være rettslig forpliktelse som er beskrevet i punkt. 3.4.

Dersom virksomheten skal behandle helse- og personopplysninger uten at det er regulert i lovgivning, kan samtykke være et relevant behandlingsgrunnlag. Samtykke kan særlig være relevant som behandlingsgrunnlag dersom virksomheten ønsker å benytte helse- og personopplysninger til forskningsformål.

For å kunne bruke samtykke som behandlingsgrunnlag, må virksomheten sørge for at samtykket er gyldig.

For at et samtykke skal være gyldig må det være:[10]

  • Frivillig: Samtykket må være gitt uten at det ligger noe press på den registrerte eller uten at det oppstår negative konsekvenser hvis den registrerte ikke samtykker.
  • Spesifikt: Formålet må være klart og tydelig formulert slik at den registrerte forstår hva hun samtykker til. Ett samtykke kan ikke dekke flere formål.
  • Informert: Virksomheten har en plikt til å informere den registrerte om behandlingen når den ber om samtykke. Virksomheten må informere om hva det samtykkes til, hvilke opplysninger som skal behandles og hva som er formålet med behandlingen.[11] Virksomheten må i tillegg informere om at registrerte kan trekke tilbake samtykket sitt. Dette er en egen informasjonsplikt som ikke må forveksles med den registrertes generelle rett til informasjon.
  • Utvetydig gjennom en aktiv handling: Den registrerte må utføre en handling for at et samtykke skal være gyldig. Det må ikke være tvil om at den registrerte har samtykket.
  • Dokumentert: Virksomheten må kunne dokumentere at samtykke har blitt gitt og at dette ble gitt på en gyldig måte.[12]
  • Mulig å trekke tilbake: For at samtykke skal være gyldig, må den registrerte ha mulighet til å trekke tilbake samtykket sitt uten negative konsekvenser. Tilbaketrekking av samtykke påvirker ikke lovligheten av virksomhetens behandling av opplysningene før det trekkes tilbake.[13] Hvis den registrerte trekker tilbake samtykket sitt, så skal personopplysningene i utgangspunktet slettes. Dette gjelder imidlertid ikke hvis det finnes andre rettslige grunnlag for behandlingen.[14]

Avtale

Virksomheten kan behandle personopplysninger hvis det er nødvendig for å oppfylle en avtale med den registrerte. [15]Dette behandlingsgrunnlaget kan også brukes når det er nødvendig å behandle personopplysninger før en avtale kan inngås. Dette gjelder så lenge det er den registrerte som har bedt om at aktivitetene skal utføres. Dette behandlingsgrunnlaget kan for eksempel være aktuelt ved behandling av personopplysninger som samles inn i forbindelse med et arbeidsforhold.

Rettslig forpliktelse

Behandling av personopplysninger er tillatt hvis behandlingen er nødvendig for å oppfylle en rettslig plikt som dataansvarlig er underlagt. [16]For å kunne bruke dette behandlingsgrunnlaget må det i tillegg finnes et supplerende rettsgrunnlag i norsk rett som pålegger dataansvarlig å behandle personopplysningene. [17]

Når virksomheten behandler helseopplysninger i forbindelse med helsehjelp, er det plikten til å gi forsvarlig helsehjelp i helsepersonelloven § 4, helse- og omsorgstjenesteloven § 4-1 og/eller spesialisthelsetjenesteloven § 2-2 som er supplerende rettsgrunnlag. [18]Når helsepersonellet oppfyller dokumentasjonsplikten, er det helsepersonelloven §§ 39 og 40 og/eller pasientjournalloven § 8 jf. pasientjournalforskriften §§ 4 til 8 og 25 som er supplerende rettsgrunnlag.[19] Det er viktig at virksomheten ikke bruker samtykke som behandlingsgrunnlag for denne behandlingen av personopplysninger. [20]Dette kan i så fall gi den registrerte et misvisende inntrykk av hvilke rettigheter som gjelder. Når behandlingen er basert på rettslig plikt, er det ikke mulig for virksomheten å slette personopplysningene hvis den registrerte trekker tilbake et samtykke.

Å yte forsvarlig helsehjelp vil være formålet med mange av behandlingene av helse- og personopplysninger som virksomheter utfører i forbindelse med medisinsk behandling og oppfølging av pasienter. Oppfyllelse av en rettslig forpliktelse jf. helsepersonelloven § 4, helse- og omsorgstjenesteloven § 4-1 og/eller spesialisthelsetjenesteloven § 2-2, er derfor et behandlingsgrunnlag som kan dekke et bredt spekter av aktiviteter i virksomheten. Se faktaarkets siste kapittel for flere eksempler på når det kan være aktuelt å bruke dette formålet og behandlingsgrunnlaget

Vitale interesser

Virksomheten kan behandle personopplysninger hvis det er nødvendig for å beskytte den registrertes eller andre personers vitale interesser.[21] Det skal imidlertid mye til for at dette behandlingsgrunnlaget kan brukes. Det kan være aktuelt i tilfeller det er nødvendig å behandle helse- og personopplysninger for å unngå fare for liv og helse, men det kan normalt ikke brukes for å samle inn store mengder opplysninger.[22]

Oppgave i allmennhetens interesse eller utøve offentlig myndighet

Personopplysninger kan behandles hvis det er nødvendig for å utføre en oppgave i allmennhetens interesse, eller for å utøve offentlig myndighet.[23] I begge tilfellene kreves det supplerende rettsgrunnlag som tillater behandlingen. Det supplerende rettsgrunnlaget trenger ikke å inneholde en rettslig plikt.[24]

Dette behandlingsgrunnlaget kan for eksempel være aktuelt der helse- og personopplysninger behandles i forskriftsregulerte helseregistre som ikke er basert på samtykke. I slike tilfeller kan behandlingen ha supplerende rettsgrunnlag i forskriften som regulerer opprettelsen av helseregisteret.[25]

Dette grunnlaget er også aktuelt for behandling av helse- og personopplysninger i forbindelse med helserelaterte forskningsprosjekter som ikke er baseres på samtykke. I slike tilfeller kan vedtak fattet på bakgrunn av hjemmel i helseforskningsloven gjelde som et supplerende rettsgrunnlag.[26]

Berettiget interesse

Personopplysninger kan behandles hvis det er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den registreres personvern.[27] For å kunne benytte dette grunnlaget må det derfor gjennomføres en avveining av den aktuelle interessen og den registrertes interesser. Det må tas hensyn til ivaretakelse av den registrertes rettigheter og friheter. [28]Avveiningen skal dokumenteres.

Dette behandlingsgrunnlaget er sjeldent aktuelt for virksomheter som behandler helseopplysninger.

Særlige krav ved behandling av helseopplysninger

Tilleggskrav til behandlingsgrunnlaget

Ved behandling av særlige kategorier av personopplysninger må virksomheten oppfylle noen tilleggskrav. Eksempler på særlige kategorier av personopplysninger er helseopplysninger, samt opplysninger om etnisk opprinnelse, politisk oppfatning, religiøst og filosofisk ståsted, seksuelle forhold og seksuell orientering. I tillegg regnes biometriske og genetiske opplysninger som særlige kategorier av personopplysninger når formålet er å entydig identifisere personer. I disse tilfellene er det ikke tilstrekkelig å oppfylle kravene til et behandlingsgrunnlag etter personvernforordningen artikkel 6. Virksomheten må også oppfylle kravene til et eget grunnlag i personvernforordningen artikkel 9 nr. 2. Det stilles tilleggskrav fordi opplysningene er av særlig sensitiv art. Slike opplysninger er derfor gitt et sterkere vern.

I det følgende gis en beskrivelse av grunnlagene i personvernforordningen artikkel 9 nr. 2 som er mest aktuelle for virksomheter som behandler helseopplysninger.

Uttrykkelig samtykke

Virksomheten kan behandle helseopplysninger hvis den registrerte har gitt uttrykkelig samtykke til behandlingen av opplysningene.[29]

Vitale interesser

Virksomheten kan også behandle helseopplysninger hvis behandlingen er nødvendig for å verne den registrertes eller en annen persons vitale interesser, og den registrerte ikke er i stand til å gi samtykke. Det kan være aktuelt å bruke dette grunnlaget i situasjoner hvor det er nødvendig å behandle personopplysninger av hensyn til fare for liv og helse, og det er umulig å få samtykke fra den registrerte. Det er ikke nok at det er utfordrende å få samtykke. Grunnlagets bruksområde er derfor snevert.[30]

Viktige allmenne interesser

Virksomheten kan behandle helseopplysninger hvis det er nødvendig av hensyn til viktige allmenne interesser. For å kunne bruke dette grunnlaget må behandlingen ha et supplerende rettsgrunnlag i norsk rett som er beskrevet i kapittel 5. Det supplerende rettsgrunnlaget må være forenlig med målene som søkes oppnådd. Rettsgrunnlaget må sikre den registrertes personvern og egnede særlige tiltak for å verne den registrertes rettigheter og friheter.[31]
Grunnlaget kan være spesielt aktuelt for behandling av helseopplysninger i forskriftsregulerte helseregistre som etableres uten samtykke fra den registrerte. Behandlingen vil vanligvis være hjemlet i forskriften som regulerer opprettelsen av helseregisteret. Helseregisterloven og slike forskrifter stiller en rekke krav til behandlingen, som oppfyller personvernlovgivingens krav til supplerende rettsgrunnlag. Det er for det første et krav om at slike registre kun kan etableres hvis det er nødvendig for formålet. Videre er taushetsplikten en av de viktigste garantiene for å ivareta den registrertes personvern.[32] Helseregisterloven stiller i tillegg krav om blant annet logging, kryptering[33] og retten til å motsette seg behandling.[34]
 

Yte helsetjenester

Helseopplysninger kan behandles hvis det er nødvendig i forbindelse med:
•    forebyggende medisin,
•    medisinsk diagnostikk,
•    ytelse av helse- eller sosialtjenester,
•    sosialfaglig eller medisinsk behandling, eller
•    forvaltning av helse- eller sosialtjenester og -systemer
Behandlingen av personopplysninger må ha hjemmel i lov, eller være basert på en avtale med helsepersonell.[35] Det er i tillegg et krav om at personopplysningene behandles av noen som er underlagt en lovpålagt taushetsplikt.[36]

Grunnlaget er aktuelt for helseopplysninger som behandles i forbindelse med yting av helsehjelp og oppfyllelse av helsepersonellets dokumentasjonsplikt.

Allmenne folkehelsehensyn

Virksomheten kan behandle helseopplysninger hvis det er nødvendig av allmenne folkehelsehensyn. Behandlingen må ha supplerende rettsgrunnlag i norsk rett, som er beskrevet i kapittel 5, hvor det er fastsatt tiltak for å verne den registrertes personvern. Taushetsplikt er et sentralt tiltak.[37]

Folkehelse skal forstås som alle faktorer knyttet til helse, nærmere bestemt:
•    helsestatus (herunder sykelighet og funksjonshemning,
•    faktorer som har innvirkning på denne helsestatusen,
•    behov for helsetjenester,
•    ressurser avsatt til helsetjenester,
•    yting av og allmenn tilgang til helsetjenester,
•    utgifter til og finansiering av helsetjenester, og
•    samt dødsårsaker.[38]
Behandling av helseopplysninger til styring, administrasjon
kvalitetsforbedring av helsetjenester kan for eksempel omfattes av dette unntaket.[39]

Arkivformål, forskningsformål eller statistiske formål

Helseopplysninger kan også behandles hvis det er nødvendig for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. Behandling må ha et supplerende rettsgrunnlag i norsk rett, som er beskrevet i kapittel 5.
Reglene må være forenlig med formålene som søkes oppnådd, sikre personvernet til den registrerte og sikre egnede og særlige tiltak for å verne den registrertes rettigheter og friheter.[40]

Grunnlaget kan være aktuelt for behandling av helseopplysninger i forbindelse med helserelaterte forskningsprosjekter som ikke baseres på samtykke. Forskning som baseres på helseforskningsloven vil oppfylle kravene i personvernlovgivingen. I tillegg vil en godkjennelse fra en Regionale komite for medisinsk og helsefaglig forskningsetikk (REK) utgjøre et egnet og særlig tiltak for å verne den registrertes grunnleggende rettigheter og friheter i forbindelse med behandlingen.[41]

Dette unntaket kan antagelig også benyttes ved innsamling og registrering av helseopplysninger i forskriftsregulerte helseregistre.[42]

Supplerende rettsgrunnlag

For å kunne bruke enkelte av behandlingsgrunnlagene i personvernforordningen artikkel 6, kreves det et supplerende rettsgrunnlag.[43]Det samme gjelder bruk av enkelte særlige grunnlag i personvernforordningen artikkel 9 nr. 2.[44]

Supplerende rettsgrunnlag kreves ved bruk av behandlingsgrunnlagene:
•    nødvendig for å oppfylle en rettslig forpliktelse, og
•    nødvendig for å utføre en oppgave i allmennhetens interesse eller for å utøve offentlig myndighet.

Krav om supplerende rettsgrunnlag betyr at virksomheten ikke kan basere seg på personvernforordningens behandlingsgrunnlag alene. Det må i tillegg finnes norsk lovgivning som regulerer behandlingen av personopplysninger og som virksomheten er omfattet av. Det supplerende rettsgrunnlaget må være fastsatt i lov eller forskrift. Det er også antatt at vedtak som er fattet med hjemmel i lov eller forskrift kan være tilstrekkelig som et supplerende rettsgrunnlag.[45]

Det supplerende rettsgrunnlaget må gjøre det nødvendig å behandle personopplysninger. Det behøver imidlertid ikke eksplisitt stå at virksomheten skal behandle personopplysninger, for at det skal kunne være et supplerende rettsgrunnlag.[46]

Virksomheten må ikke kunne påvise en egen bestemmelse for hver enkelt behandling. En lov kan for eksempel være tilstrekkelig som supplerende rettsgrunnlag for flere behandlingsaktiviteter.[47]
Formålet med behandlingen skal være fastsatt i det supplerende rettsgrunnlaget.[48]Det betyr at regelverket som behandlingen er hjemlet i, må si noe om hvorfor virksomheten kan eller skal behandle personopplysningene. Ofte vil lover ha en formålsbestemmelse som vil være relevant. Et eksempel er helsepersonelloven § 1 hvor det står at formålet med loven er «å bidra til sikkerhet for pasienter og kvalitet i helse- og omsorgstjenesten samt tillit til helsepersonell og helse- og omsorgstjenesten».

Det finnes flere lover og forskrifter med særregler om behandling av helseopplysninger som gir virksomheter i helse- og omsorgssektoren supplerende rettsgrunnlag ved ytelse av helsehjelp. Se Vedlagt eksempel på vurdering av behandlingsgrunnlag i helse- og omsorgssektoren.

Eksempel på vurdering av behandlingsgrunnlag i helse- og omsorgssektoren

 

[1] Personvernforordningen artikkel 5 nr. 1 bokstav c

[2] Se Protokoll over behandlinger av helse - og personopplysninger (faktaark 13) i virksomheten for mer informasjon om dette

[3] Se dataminimeringsprinsippet i personvernforordningen artikkel 5 nr. 1 bokstav c og Personvernprinsippene (faktaark 57)

[4] PVN-2021-08

[5] Datatilsynets veileder om behandlingsgrunnlag punkt 1

[6] Normen 6.0 kap. 4.1

[7] Protokoll over behandlinger av helse - og personopplysninger (faktaark 13)

[8] Personvernforordningen artikkel 6 nr. 1 bokstav a

[9] Engelschiøn og Vigerust (2021) lovkommentar til pasientjournalloven § 6

[10] Etabler sikkerhetsovervåking Personvernforordningen artikkel 4 nr. 11 og 7

[11] Skullerud (2021) lovkommentar til personvernforordningen artikkel 6

[12] Personvernforordningen artikkel 7 nr. 1

[13] Personvernforordningen artikkel 7 nr. 4

[14] Personvernforordningen artikkel 17 nr. 1 bokstav b

[15] Personvernforordningen artikkel 6 nr. 1 bokstav b

[16] Personvernforordningen artikkel 6 nr. 1 bokstav c

[17] Personvernforordningen artikkel 6 nr. 3

[18] Se PVN-2021-08

[19] Når virksomheten behandler helseopplysninger, så må den også sikre at kravene i personvernforordningen artikkel 9 nr. 1 jf. nr.2 er oppfylt. Disse kravene er beskrevet i punkt 4.

[20] Helselovgivningen kan likevel stille krav om at pasienten må samtykke til medisinsk behandling (og ikke selve bruken av personopplysninger). Dette må ikke forveksles med samtykke etter personvernforordningen. Dette er nærmere beskrevet i avsnittet om samtykke.

[21] Personvernforordningen artikkel 6 nr. 1 bokstav d

[22] Datatilsynets veileder om behandlingsgrunnlag punkt 6

[23] Personvernforordningen artikkel 6 nr. 1 bokstav e

[24]  Personvernforordningen artikkel 6 nr. 3

[25]  Se for eksempel forskrift om innsamling og behandling av helseopplysninger i Kreftregisteret

[26] Når virksomheten behandler helseopplysninger, så må den også sikre at kravene i personvernforordningen artikkel 9 nr. 1 jf. nr.2 er oppfylt. Disse kravene er beskrevet i punkt 4.

[27]  Personvernforordningen arrtikkel 6 nr. 1 bokstav f

[28] Se Datatilsynets veileder om behandlingsgrunnlag for mer informasjon om hvilke momenter virksomheten kan legge vekt på i nødvendighetsvurderingen og interessavveingingen

[29] Personvernforordningen inneholder ingen definisjon av hva som menes med uttrykkelig samtykke utover kravene i personvernforordningen artikkel 7, som også er beskrevet i faktaarkets punkt 3.1. Artikkel 29-gruppen, har beskrevet flere eksempler på hva som kan regnes som uttrykkelig samtykke i avsnitt 91 til 102 idenne veilederen.

[30] Skullerud (2021) lovkommentar til personvernforordningen artikkel 9

[31] Personvernforordningen artikkel 9 nr. 2 bokstav g

[32] Helseregisterloven § 17

[33]  Helseregisterloven § 21

[34] Helseregisterloven § 10

[35] Personvernforordningen artikkel 9 nr. 2 bokstav h

[36] Personvernforordningen artikkel 9 nr. 3

[37] Personvernforordningen artikkel 9 nr. 2 bokstav i

[38] Personvernforordningen fortalepunkt 54

[39] Engelschiøns kommentar til helseregisterloven § 6

[40] Personvernforordningen artikkel 9 nr. 2 bokstav j

[41] Prop. 56 LS (2017-2018) pkt. 32.3.2

[42] Engelschiøns kommentar til helseregisterloven § 6

[43] Personvernforordningen artikkel 6 nr. 3

[44] Se for eksempel grunnlaget «viktige allmenne interesser», «yte helsetjenester», «allmenne folkehensyn» og «arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål»

[45] Skullerud (2021) lovkommentar til personvernforordningen artikkel 6

[46] Skullerud (2021) lovkommentar til personvernforordningen artikkel 6 og PVN-2020-13

[47] Personvernforordningen fortalepunkt 45

[48] Personvernforordningen artikkel 6 nr. 3

 

 

 

 

Sist oppdatert: 03. mai 2023