Lagasafn.  Íslensk lög 1. janúar 2012.  Útgáfa 140a.  Prenta í tveimur dálkum.

Lög um gagnagrunn á heilbrigðissviði

1998 nr. 139 22. desember
Ferill málsins á Alþingi.   Frumvarp til laga.

Tóku gildi 30. desember 1998. Breytt með l. 77/2000 (tóku gildi 1. jan. 2001), l. 55/2009 (tóku gildi 1. maí 2009), l. 162/2010 (tóku gildi 1. jan. 2011) og l. 126/2011 (tóku gildi 30. sept. 2011).


I. kafli. Almenn ákvæði.
1. gr. Markmið.
 Markmið með lögum þessum er að heimila gerð og starfrækslu miðlægs gagnagrunns með ópersónugreinanlegum heilsufarsupplýsingum í þeim tilgangi að auka þekkingu til þess að bæta heilsu og efla heilbrigðisþjónustu.
 2. gr. Gildissvið.
 Lög þessi taka til gerðar og starfrækslu miðlægs gagnagrunns á heilbrigðissviði. Lögin taka ekki til sjúkraskrárkerfa einstakra heilbrigðis- og rannsóknastofnana, gagnasafna vegna vísindarannsókna á einstökum sjúkdómum eða sjúkdómaflokkum eða skráa sem stjórnvöld á sviði heilbrigðis- og tryggingamála halda um notendur heilbrigðisþjónustu og rekstur heilbrigðiskerfisins. Lögin taka ekki til vörslu, meðferðar eða aðgangs að lífsýnum.
 3. gr. Skilgreiningar.
 Í lögum þessum merkir:
   1. Gagnagrunnur á heilbrigðissviði: Safn gagna er hefur að geyma heilsufarsupplýsingar sem skráðar eru á samræmdan kerfisbundinn hátt í einn miðlægan gagnagrunn sem ætlaður er til úrvinnslu og upplýsingamiðlunar.
   2. Persónuupplýsingar: Allar upplýsingar um persónugreindan eða persónugreinanlegan einstakling. Maður telst persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, svo sem með tilvísun í kennitölu eða einn eða fleiri þætti sem sérkenna hann í líkamlegu, lífeðlisfræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti.
   3. Ópersónugreinanlegar upplýsingar: Upplýsingar um einstakling sem ekki er persónugreinanlegur samkvæmt skilgreiningu 2. tölul.
   4. Dulkóðun: Umbreyting orða eða talna í óskiljanlega runu af táknum.
   5. Dulkóðun í eina átt: Umbreyting orða eða talna í óskiljanlega runu af táknum sem ekki er hægt að rekja til baka með greiningarlykli.
   6. Heilsufarsupplýsingar: Upplýsingar er varða heilsu einstaklinga, þ.m.t. erfðafræðilegar upplýsingar.
   7. Erfðafræðilegar upplýsingar: Hvers kyns upplýsingar sem varða erfanlega eiginleika einstaklings eða erfðamynstur slíkra eiginleika innan hóps skyldra einstaklinga, enn fremur allar upplýsingar sem varða flutning erfðaupplýsinga (erfðavísa) er lúta að eiginleikum sem ákvarða sjúkdóma og heilsu einstaklings og hóps skyldra einstaklinga án tillits til þess hvort unnt er að greina þessa eiginleika eða ekki.

II. kafli. Rekstrarleyfi og nefnd um gerð og starfrækslu gagnagrunns á heilbrigðissviði.
 4. gr. Veiting rekstrarleyfis og greiðslur leyfishafa.
 Gerð og starfræksla gagnagrunns á heilbrigðissviði eru einungis heimilar þeim sem fengið hefur rekstrarleyfi samkvæmt lögum þessum.
 Að fenginni umsókn er [ráðherra]1) heimilt að veita rekstrarleyfi til gerðar og starfrækslu gagnagrunns á heilbrigðissviði samkvæmt nánari ákvæðum laga þessara.
 Rekstrarleyfishafi skal greiða gjald fyrir veitingu rekstrarleyfis til þess að mæta kostnaði við undirbúning og útgáfu þess. Leyfishafi skal jafnframt árlega greiða gjald sem nemur kostnaði af starfi nefndar skv. 6. gr. og öðrum kostnaði sem tengist þjónustu og eftirliti með starfrækslunni, þ.m.t. eftirliti [Persónuverndar]2) sem starfar samkvæmt lögum um skráningu og meðferð persónuupplýsinga, og kostnaði við útgáfu og kynningu skv. 8. gr.
 Rekstrarleyfishafi skal greiða allan kostnað við vinnslu upplýsinga til flutnings í gagnagrunn, sbr. 8. tölul. 5. gr.
 Ráðherra og rekstrarleyfishafa er heimilt að semja um frekari greiðslur í ríkissjóð og skal þeim varið til eflingar heilbrigðisþjónustu, rannsókna og þróunar.
   1)L. 126/2011, 280. gr. 2)L. 77/2000, 46. gr.
5. gr. Skilyrði rekstrarleyfis o.fl.
 Rekstrarleyfi til gerðar og starfrækslu gagnagrunns á heilbrigðissviði er háð eftirfarandi skilyrðum:
   1. Gagnagrunnurinn sé alfarið staðsettur hér á landi.
   2. Tækni-, öryggis- og skipulagslýsing uppfylli kröfur [Persónuverndar].1)
   3. Skráning og úrvinnsla heilsufarsupplýsinga sé framkvæmd eða henni stjórnað af fólki með starfsréttindi á sviði heilbrigðisþjónustu.
   4. Fyrir liggi ítarlegar upplýsingar um starfssvið og verkefni umsækjanda um rekstrarleyfi.
   5. Fyrir liggi ítarleg verkáætlun umsækjanda sem uppfyllir skilyrði og markmið laga þessara um verktilhögun og verkframvindu.
   6. Starfræksla gagnagrunnsins sé fjárhagslega aðskilin frá annarri starfsemi rekstrarleyfishafa.
   7. [Ráðuneytið]2) og landlæknir eigi ætíð aðgang að tölfræðilegum upplýsingum úr gagnagrunninum í aðgengilegu formi, þannig að þær nýtist til gerðar heilbrigðisskýrslna, áætlana, stefnumótunar og annarra verkefna fyrrgreindra aðila.
   8. Rekstrarleyfishafi greiði allan kostnað við vinnslu upplýsinga heilbrigðisstofnana og sjálfstætt starfandi heilbrigðisstarfsmanna til flutnings í gagnagrunninn. Upplýsingarnar skulu unnar þannig að þær uppfylli þarfir viðkomandi stofnunar eða sjálfstætt starfandi heilbrigðisstarfsmanns fyrir samræmt upplýsingakerfi, þarfir sérgreina og þarfir heilbrigðisyfirvalda, sbr. 7. tölul., og að þær nýtist við vísindarannsóknir.
   9. Rekstrarleyfi sé tímabundið og ekki veitt til lengri tíma en 12 ára í senn.
   10. Rekstrarleyfishafi afhendi nefnd skv. 6. gr. afrit af gagnagrunninum og skal afritið uppfært reglulega samkvæmt nánari ákvörðun í rekstrarleyfi. Afritið skal geymt í bankahólfi eða á annan tryggilegan hátt samkvæmt nánari ákvörðun í rekstrarleyfi.
   11. Rekstrarleyfishafi skal tryggja að þegar leyfistíma lýkur fái [ráðuneytið],2) eða sá sem ráðherra felur starfrækslu gagnagrunnsins, ótímabundin afnot af öllum hugbúnaði og réttindum sem nauðsynleg eru til viðhalds og starfrækslu gagnagrunnsins.
 Ráðherra getur bundið rekstrarleyfi frekari skilyrðum en að framan greinir.
 Þegar leyfistíma lýkur samkvæmt ákvæðum í rekstrarleyfi tekur ráðherra ákvörðun um starfrækslu gagnagrunnsins að fengnu áliti nefndar skv. 6. gr. og [Persónuverndar].1) Sama gildir ef rekstrarleyfi er afturkallað eða leyfishafi er sviptur rekstrarleyfi samkvæmt ákvæðum laga þessara.
 Rekstrarleyfi og gagnagrunnur samkvæmt lögum þessum eru hvorki framseljanleg né aðfararhæf. Óheimilt er að setja rekstrarleyfi eða gagnagrunn til tryggingar fjárskuldbindingum.
   1)L. 77/2000, 46. gr. 2)L. 162/2010, 69. gr.
6. gr. Nefnd um gerð og starfrækslu gagnagrunns á heilbrigðissviði.
 Ráðherra skal skipa nefnd um gerð og starfrækslu gagnagrunns samkvæmt lögum þessum. Nefndin skal skipuð þremur mönnum og þremur til vara til fjögurra ára í senn. Skal einn þeirra vera heilbrigðisstarfsmaður með þekkingu á faraldsfræði, annar skal hafa þekkingu á sviði upplýsinga- og/eða tölvunarfræði. Sá þriðji skal vera lögfræðingur og skal hann vera formaður nefndarinnar. Varamenn skulu uppfylla sömu skilyrði.
 Hlutverk nefndarinnar er að sjá um að gerð og starfræksla gagnagrunnsins sé í samræmi við ákvæði laga þessara og reglugerða sem settar eru á grundvelli þeirra og skilyrði sem sett eru í rekstrarleyfi, að því leyti sem ekki er um að ræða lögbundið hlutverk [Persónuverndar].1) Nefndin skal hafa umsjón með gerð samninga rekstrarleyfishafa annars vegar og heilbrigðisstofnana og sjálfstætt starfandi heilbrigðisstarfsmanna hins vegar. Hún skal gæta hagsmuna heilbrigðisyfirvalda, heilbrigðisstofnana, sjálfstætt starfandi heilbrigðisstarfsmanna og vísindamanna við gerð samninganna. Þar skal m.a. samið um endurgjald rekstrarleyfishafa skv. 4. mgr. 4. gr. og endurgjald í formi aðgangs heilbrigðisstofnana, sjálfstætt starfandi heilbrigðisstarfsmanna og starfsmanna þeirra að upplýsingum úr gagnagrunninum vegna vísindarannsókna. Nefndin skal veita [ráðuneytinu]2) og landlækni ráðgjöf varðandi nýtingu upplýsinga úr gagnagrunninum. Verði rekstrarleyfi afturkallað eða leyfishafi sviptur rekstrarleyfi skal nefndin starfrækja gagnagrunninn uns ráðherra hefur tekið ákvörðun um starfrækslu hans til frambúðar, sbr. 3. mgr. 5. gr.
 Nefndinni skal séð fyrir starfsmönnum og starfsaðstöðu. Nefndin skal afla sér sérfræðiaðstoðar eftir því sem þurfa þykir.
 Nefndin skal tafarlaust gera ráðherra og [Persónuvernd]1) viðvart ef hún telur að misfellur séu á starfrækslu gagnagrunnsins.
 Nefndin skal eigi síðar en 1. mars ár hvert skila ráðherra skýrslu um starfrækslu gagnagrunnsins undangengið ár.
   1)L. 77/2000, 46. gr. 2)L. 162/2010, 69. gr.

III. kafli. Söfnun upplýsinga.
7. gr. Aðgengi að upplýsingum úr sjúkraskrám.
 Að fengnu samþykki heilbrigðisstofnana eða sjálfstætt starfandi heilbrigðisstarfsmanna er heimilt að afhenda rekstrarleyfishafa upplýsingar, sem unnar eru úr sjúkraskrám, til flutnings í gagnagrunn á heilbrigðissviði. Heilbrigðisstofnanir skulu hafa samráð við læknaráð og faglega stjórnendur viðkomandi stofnunar áður en gengið er til samninga við rekstrarleyfishafa.
 Við meðferð skráa, annarra gagna og upplýsinga skal fylgt þeim skilyrðum sem [Persónuvernd]1) metur nauðsynleg hverju sinni. Persónuauðkenni skulu dulkóðuð fyrir flutning í gagnagrunninn þannig að tryggt sé að starfsmenn rekstrarleyfishafa vinni einungis með ópersónugreinanlegar upplýsingar. Starfsmenn viðkomandi heilbrigðisstofnana eða sjálfstætt starfandi heilbrigðisstarfsmanna skulu búa upplýsingar til flutnings í gagnagrunn á heilbrigðissviði. Heilsufarsupplýsingar skal flytja í dulkóðuðu formi til að tryggja öryggi þeirra. Persónuauðkenni skulu dulkóðuð í eina átt, þ.e. með dulkóðun sem ekki er hægt að rekja til baka með greiningarlykli. [Persónuvernd]1) skal annast frekari dulkóðun persónuauðkenna með þeim aðferðum sem hún telur tryggja persónuvernd best.
 Um aðgang að upplýsingum úr sjúkraskrám fer að öðru leyti samkvæmt [lögum um sjúkraskrár],2) lögum um réttindi sjúklinga, læknalögum, lögum um heilbrigðisþjónustu og lögum um skráningu og meðferð persónuupplýsinga.
   1)L. 77/2000, 46. gr. 2)L. 55/2009, 26. gr.
8. gr. Réttindi sjúklings.
 Sjúklingur getur hvenær sem er óskað eftir því að upplýsingar um hann verði ekki fluttar í gagnagrunn á heilbrigðissviði. Beiðni sjúklings getur varðað allar upplýsingar sem þegar liggja fyrir um hann í sjúkraskrám eða kunna að verða skráðar eða nánar tilteknar upplýsingar. Skylt er að verða við slíkri beiðni. Sjúklingur skal tilkynna landlækni um ósk sína. Landlæknir skal annast gerð eyðublaða fyrir slíkar tilkynningar og sjá til þess að þau liggi frammi á heilbrigðisstofnunum og hjá sjálfstætt starfandi heilbrigðisstarfsmönnum. Landlæknir skal sjá til þess að dulkóðuð skrá yfir viðkomandi sjúklinga sé ávallt aðgengileg þeim sem annast flutning upplýsinga í gagnagrunn á heilbrigðissviði.
 Landlæknir skal sjá til þess að upplýsingar um gagnagrunn á heilbrigðissviði og um rétt sjúklings skv. 1. mgr. séu aðgengilegar almenningi. Heilbrigðisstofnanir og sjálfstætt starfandi heilbrigðisstarfsmenn skulu hafa þessar upplýsingar aðgengilegar sjúklingum í húsakynnum sínum.

IV. kafli. Aðgengi að gagnagrunni, hagnýting upplýsinga o.fl.
 9. gr. Aðgengi heilbrigðisyfirvalda að upplýsingum í gagnagrunni á heilbrigðissviði.
 [Ráðuneytið]1) og landlæknir eiga ávallt rétt á tölfræðilegum upplýsingum úr gagnagrunni á heilbrigðissviði í aðgengilegu formi þannig að þær nýtist til gerðar heilbrigðisskýrslna, áætlana, stefnumótunar og annarra verkefna þeirra. Upplýsingar skulu látnar fyrrgreindum aðilum í té án endurgjalds.
   1)L. 162/2010, 69. gr.
10. gr. Hagnýting gagnagrunns á heilbrigðissviði.
 Upplýsingar, sem skráðar eru eða aflað er með úrvinnslu í gagnagrunni á heilbrigðissviði, má nýta til þess að þróa nýjar eða bættar aðferðir við heilsueflingu, forspá, greiningu og meðferð sjúkdóma, til að leita hagkvæmustu leiða í rekstri heilbrigðiskerfa og í þágu skýrslugerðar á heilbrigðissviði.
 Rekstrarleyfishafa skal heimil vinnsla í gagnagrunni á heilbrigðissviði úr þeim heilsufarsupplýsingum úr sjúkraskrám sem þar eru skráðar, enda sé þess gætt við úrvinnslu og samtengingu upplýsinga að ekki sé unnt að tengja þær persónugreinanlegum einstaklingum. Rekstrarleyfishafi skal móta verklag og vinnuferli sem uppfylla skilyrði [Persónuverndar]1) til að tryggja persónuvernd við samtengingu upplýsinga úr gagnagrunni á heilbrigðissviði, gagnagrunni með ættfræðiupplýsingum og gagnagrunni með erfðafræðilegum upplýsingum. Um samtengingu upplýsinga í gagnagrunni á heilbrigðissviði við aðra gagnagrunna en fyrrgreinda fer samkvæmt ákvæðum laga um skráningu og meðferð persónuupplýsinga. Óheimilt er að veita upplýsingar um einstaklinga og skal það m.a. tryggt með aðgangstakmörkunum.
 Rekstrarleyfishafa er óheimilt að veita beinan aðgang að gögnum í gagnagrunninum.
 Rekstrarleyfishafa er á leyfistíma heimil fjárhagsleg hagnýting upplýsinga úr gagnagrunninum með þeim skilyrðum sem sett eru í lögum þessum og í rekstrarleyfi.
 Gagnagrunn á heilbrigðissviði má eigi flytja úr landi og úrvinnsla úr honum má einungis fara fram hér á landi.
   1)L. 77/2000, 46. gr.
11. gr. Þagnarskylda.
 Starfsmenn í þjónustu rekstrarleyfishafa, þ.m.t. verktakar, eru bundnir þagnarskyldu um atriði sem þeir komast að við störf sín og leynt skulu fara samkvæmt lögum eða eðli máls. Skulu þeir undirrita þagnarheit áður en þeir taka til starfa. Þagnarskylda helst þótt látið sé af starfi.

V. kafli. Eftirlit.
 12. gr. Eftirlit með gerð og starfrækslu gagnagrunns á heilbrigðissviði.
 [Persónuvernd]1) hefur eftirlit með gerð og starfrækslu gagnagrunns á heilbrigðissviði að því er varðar skráningu og meðferð persónuupplýsinga og öryggi gagna í gagnagrunninum og annast eftirlit með því að þeim skilmálum sem hún setur sé fylgt.
 Nefnd um starfrækslu gagnagrunns skv. 6. gr. skal hafa umsjón með því að við starfrækslu gagnagrunns á heilbrigðissviði sé í hvívetna fylgt ákvæðum laga þessara og reglugerða settra samkvæmt þeim og skilyrðum rekstrarleyfis. Nefndin skal fylgjast með öllum fyrirspurnum og úrvinnslu úr gagnagrunninum. Hún skal reglulega senda vísindasiðanefnd skrá um allar fyrirspurnir sem gerðar eru í gagnagrunninum, ásamt upplýsingum um fyrirspyrjendur.
 Ráðherra skal setja reglugerð2) um þverfaglega siðanefnd sem meta skal rannsóknir sem gerðar eru innan fyrirtækis rekstrarleyfishafa og fyrirspurnir sem berast. Mat nefndarinnar verður að hafa leitt í ljós að engin vísindaleg eða siðfræðileg sjónarmið mæli gegn framkvæmd rannsókna eða vinnslu fyrirspurna.
   1)L. 77/2000, 46. gr. 2)Rg. 32/2000.

VI. kafli. Refsingar og önnur viðurlög.
13. gr. Afturköllun rekstrarleyfis.
 Ráðherra getur afturkallað rekstrarleyfi samkvæmt lögum þessum ef leyfishafi eða starfsmenn hans brjóta gegn ákvæðum laganna, skilyrðum leyfis er ekki fullnægt eða rekstrarleyfishafi verður ófær um að starfrækja gagnagrunninn. Brjóti leyfishafi gegn ákvæðum laga þessara eða hlíti ekki skilyrðum þeim sem sett eru í rekstrarleyfi skal ráðherra veita honum skriflega aðvörun og hæfilegan frest til úrbóta. Sinni rekstrarleyfishafi ekki slíkri aðvörun skal afturkalla rekstrarleyfi. Sé um að ræða ásetning eða stórfellt gáleysi getur ráðherra afturkallað rekstrarleyfi án undanfarandi aðvörunar og frests til úrbóta.
 14. gr. Refsingar.
 Brot á ákvæðum laga þessara varðar fésektum eða fangelsi allt að þremur árum nema þyngri refsing liggi við samkvæmt öðrum lögum.
 Sömu refsingu varðar enn fremur að virða ekki skilyrði sem sett eru fyrir rekstrarleyfi samkvæmt lögum þessum eða reglugerðum settum samkvæmt þeim, svo og að sinna ekki boði eða banni samkvæmt lögunum eða reglugerðum settum samkvæmt þeim.
 Dæma má lögaðila til greiðslu sekta vegna brota á lögum þessum eða reglugerðum settum samkvæmt þeim. Lögaðila má ákvarða sekt án tillits til sakar starfsmanna hans.
 Lögaðili ber ábyrgð á greiðslu sektar sem starfsmaður hans er dæmdur til að greiða vegna brota á lögum þessum, enda séu brot tengd starfi hans hjá lögaðilanum.
 15. gr. Svipting rekstrarleyfis o.fl.
 Rekstrarleyfishafa má, auk refsingar skv. 14. gr., svipta rekstrarleyfi með dómi ef um ásetning eða stórfellt gáleysi er að ræða.
 Gera má upptæk með dómi tæki sem stórfelld brot á lögum þessum hafa verið framin með, svo og hagnað af broti, sbr. 69. gr. almennra hegningarlaga, nr. 19/1940.
16. gr. Tilraun og hlutdeild í brotum á lögum þessum eru refsiverðar eftir því sem segir í III. kafla almennra hegningarlaga, nr. 19/1940.
17. gr. Bætur.
 Hafi rekstrarleyfishafi, starfsmaður hans eða sá sem hann hefur falið vinnslu upplýsinga brotið gegn ákvæðum um vernd persónuupplýsinga í lögum þessum, reglum sem settar eru samkvæmt þeim eða skilmálum [Persónuverndar]1) skal rekstrarleyfishafi bæta hinum skráða fjárhagslegt tjón sem hann hefur orðið fyrir af þeim völdum. Rekstraraðila verður þó ekki gert að bæta tjón sem hann sannar að hvorki verður rakið til mistaka né vanrækslu af hans hálfu, starfsmanna hans eða vinnsluaðila.
   1)L. 77/2000, 46. gr.

VII. kafli. Ýmis ákvæði.
18. gr. Reglugerðir.
 Ráðherra er heimilt að setja nánari ákvæði um framkvæmd laga þessara með reglugerðum.1)
 Ráðherra skal setja reglugerð1) um starfsemi nefndar um starfrækslu gagnagrunns á heilbrigðissviði, sbr. 6. gr., og um aðgangstakmarkanir skv. 2. mgr. 10. gr.
   1)Rg. 32/2000.
19. gr. Gildistaka.
 Lög þessi öðlast þegar gildi.
 Lög þessi skulu endurskoðuð eigi síðar en 10 árum eftir gildistöku þeirra.

Ákvæði til bráðabirgða.
I. Gjald rekstrarleyfishafa skv. 3. mgr. 4. gr. skal fyrsta árið byggt á áætluðum kostnaði við undirbúning og eftirlit með starfsemi gagnagrunns á heilbrigðissviði.
II. Flutningur upplýsinga í gagnagrunn á heilbrigðissviði skal ekki hefjast fyrr en sex mánuðum eftir gildistöku laga þessara.
III. Áður en vinnsla í gagnagrunni á heilbrigðissviði hefst skal nefnd um starfrækslu gagnagrunns skv. 6. gr. sjá til þess að fyrir liggi úttekt óháðs sérfræðings á sviði öryggismála upplýsingakerfa.