NSD / Personverntjenester / Oppslagsverk for personvern i forskning / Kvalitetssikring i helsesektoren

Kvalitetssikring i helsesektoren

Virksomheter som yter helsehjelp, for eksempel et sykehus, har en plikt til å kvalitetssikre helsehjelpen de gir. Her finner du informasjon om hva kvalitetssikring er, og hvilke lovkrav du må forholde deg til. 

Kvalitetssikring handler om å evaluere helsehjelpen:

  • kontrollere at diagnostikk / behandling / helsehjelp faktisk gir de forventede resultatene, 
  • og avdekke om kravene til kvalitet er oppfylt.

Kvalitetssikring kan handle om å evaluere en tjeneste (prosedyre, medikament, operasjon), behandlingen utført av en enhet (team, avdeling, sykehus), eller behandling knyttet til en bestemt diagnose. 
 
Kvalitetssikring handler ikke om å prøve ut nye metoder/behandlingsformer eller utvikle ny kunnskap om helse og sykdom. Slike formål defineres som helseforskning. 

Hva er et kvalitetsregister? 

Et kvalitetsregister er en strukturert sammenstilling av journalopplysninger som brukes til å evaluere helsehjelpen som gis. Et kvalitetsregister kan også inkludere data fra andre kilder som spørreskjemaer, intervju, observasjon, tester og andre medisinske registre.

Et kvalitetsregister er altså et helseregister som opprettes for kvalitetssikringsformål. Kvalitetsregisteret er selve datagrunnlaget som brukes for å gjennomføre kvalitetssikringen.

Lovlig grunnlag og oppheving av taushetsplikt

Kvalitetssikring krever lovlig tilgang til nødvendige opplysninger, lovlig behandlingsgrunnlag og rådføringsplikt. For at du skal kunne gjennomføre kvalitetssikring, må du altså rådføre deg med NSD eller personvernombudet ved din institusjon. Rådføring med NSD gjøres gjennom meldeskjema. 

Journalopplysninger er underlagt taushetsplikt. Hovedregelen om taushetsplikt innebærer at journalopplysninger kun skal være tilgjengelig for helsepersonellet som yter helsehjelp til pasienten.

Før du kan få innsyn i eller tilgang til journalopplysninger til kvalitetssikringsformål, må taushetsplikten oppheves. Dette kan gjøres enten ved at

  • du innhenter samtykke fra pasienten
  • du får innvilget dispensasjon fra taushetsplikten, eller
  • det finnes lovfestede unntak fra taushetsplikten (for eksempel helsepersonelloven § 26 eller § 29)

I tillegg til at taushetsplikten oppheves, må opprettelsen av kvalitetsregisteret være tillatt med hjemmel i lov. Det betyr at du må ha et lovlig grunnlag for å kunne behandle opplysningene. Dette grunnlaget må finnes i personvernlovverket, i tillegg til pasientjournalloven eller i helseregisterloven.

NSD vil bistå deg i å vurdere om behandlingen er tillatt, og hvilke lovverk som eventuelt vil være relevant. Dette vil være avhengig av formålet med prosjektet ditt, og hvilken type kvalitetsregister du skal opprette.

Vær oppmerksom på at uansett hva formålet er, så kan registeret kun inneholde opplysninger som er nødvendig for det konkrete kvalitetssikringsformålet, og opplysningene skal være så lite identifiserende som mulig.

Interne kvalitetsregistre uten samtykke

Et internt kvalitetsregister er et helseregister basert på journalopplysninger, som opprettes for kvalitetssikringsformål innenfor en virksomhet som utøver helsehjelp. Slike registre kan også opprettes mellom virksomheter som har samme journalsystem, jf. pasientjournalloven § 9.

Helsepersonelloven § 26 åpner for at ansatte ved en utøvende virksomhet av helsetjenester (for eksempel et sykehus) kan få tilgang til journalopplysninger til kvalitetssikringsformål, uten hinder av taushetsplikten. Unntaket fra taushetsplikt i § 26 gjelder kun for deling av opplysninger internt ved sykehuset (eller sykehusene hvis de samarbeider om pasientbehandlingen).

Det er ledelsen som er ansvarlig for at helsehjelpen kvalitetssikres, og kvalitetssikringsprosjekt skal derfor ha forankring i ledelsen. Det er likevel som regel helsepersonellet som initierer og gjennomfører prosjektene i praksis.

Vilkår for bruk av helsepersonelloven § 26

For at bruk av journalopplysninger etter helsepersonelloven § 26 skal være lovlig, gjelder følgende vilkår:

  • Registeret opprettes av en virksomhet som yter helsehjelp, for eksempel et sykehus, sykehjem/kommune, eller et annet helseforetak.
  • Registeret skal utelukkende brukes til kvalitetssikringsformål. Det vil si at du ikke kan bruke opplysningene til forskningsformål i tillegg.
  • Du må vurdere om pasientene skal få informasjon registeret. Det er ikke nødvendig å innhente samtykke fra pasienten. Men pasienten har rett til å motsette seg behandlingen av personopplysninger i kvalitetsregisteret. Dere må derfor informere pasienten om registeret hvis dere har grunn til å tro at pasienten vil reservere seg.
  • Kvalitetsregisteret er skriftlig godkjent av ledelsen (øverste leder, eller mellomleder som har fått delegert slik myndighet). Oppdragsdokumentet må være rettet til navngitte personer som skal utføre kvalitetssikringen på vegne av virksomhetens ledelse, og undertegnes av ledelsen. Dokumentet skal kunne legges frem for Datatilsynet ved eventuelt tilsyn.
  • Du kan ikke bruke opplysningene fra registeret til å skrive forskningsartikler. Det er likevel mulig å bruke resultater fra kvalitetssikringen, eventuelt anonyme aggregerte data som grunnlag for artikler/publikasjoner.

Informasjon og samtykke

Du trenger ikke å innhente samtykke fra pasienten til kvalitetssikringen. Dette er fordi behandlingen er omfattet av pasientjournallovens virkeområde, og formålet med å gi tilgang til opplysningene er at virksomheten skal forbedre helsehjelpen som gis.

Pasienten har likevel rett til å motsette seg behandlingen av personopplysninger i kvalitetsregisteret på samme måte som de har rett til å reservere seg mot at journalopplysninger utleveres til annet helsepersonell, i tråd med pasientjournalloven § 17.

Dere skal derfor informere pasientene om prosjektet hvis dere har grunn til å tro at pasienten vil reservere seg. Dette må vurderes konkret i hvert enkelt tilfelle. Vurderingen skal baseres på deres kjennskap til pasienten, og opplysningenes karakter (type opplysninger, størrelse på registeret, registerets varighet). 

Oppdragsdokument 

Et kvalitetsregister som opprettes til intern kvalitetssikring etter helsepersonelloven § 26 må være skriftlig godkjent av ledelsen. Oppdragsdokumentet må være rettet til den eller de som skal utføre kvalitetssikringen, og undertegnes av øverste leder eller mellomleder som har fått delegert slik myndighet. Dokumentet skal kunne legges frem for Datatilsynet ved eventuelt tilsyn.

Kopi av oppdragsdokumentet må lastes opp i meldeskjema. Dokumentet skal gi en god beskrivelse av behandlingen av personopplysninger i kvalitetsregisteret, og bør inneholde informasjon om:

  • Formål
  • Utvalg
  • Type opplysninger og datakilde
  • Begrunnelse for behovet for direkte/indirekte personidentifiserende opplysninger 
  • Hvor opplysningene lagres, hvordan de sikres, og hvem som skal ha tilgang
  • Hvor lenge opplysningene skal behandles (dato for anonymisering)
  • Vurdering av om det bør gis informasjon til de registrerte, og begrunnelse hvis ikke. 

Hvis disse opplysninger tydelig fremgår av meldeskjema med vedlegg, kan det være tilstrekkelig at dere viser til innholdet i meldeskjema i oppdragsdokumentet. Meldeskjemaet kan imidlertid ikke erstatte oppdragsdokumentet fra ledelsen, kun fungere supplerende. 

Studentprosjekt og bruk av data i studentoppgaver

Som student kan du i utgangspunktet ikke gjennomføre ditt studentprosjekt som kvalitetssikring etter helsepersonelloven § 26. Du kan likevel bidra til et kvalitetssikringsprosjekt, og bruke anonyme resultater i din oppgave. Dette innebærer at du ikke kan bruke opplysninger i registeret mens du arbeider med din oppgave, men bruke aggregerte data eller resultater fra kvalitetssikringen.

I slike tilfeller vil du regnes som medarbeider i prosjektet, og ikke delta i tråd av å være student. Du trenger ikke å være formelt ansatt ved helseforetaket, men det må tydelig fremgå av oppdragsdokumentet at du har i oppdrag å gjennomføre kvalitetssikringen på vegne av ledelsen.

Prosjektet skal meldes inn som forskerprosjekt, og helseforetaket må stå som behandlingsansvarlig institusjon. Hvis universitetet/høgskolen er behandlingsansvarlig institusjon, er det snakk om ekstern kvalitetssikring, og helsepersonelloven § 26 kan ikke brukes.

Eksterne kvalitetsregistre uten samtykke 

Et eksternt kvalitetsregister er et helseregister som opprettes for kvalitetssikringsformål på tvers av virksomheter (som ikke har felles journalsystem), eller der en ekstern aktør er ansvarlig for å kvalitetssikre helsehjelpen ved en helseinstitusjon. Dette innebærer at en virksomhet som ikke er en del av helseforvaltningen kan være behandlingsansvarlig for denne typen kvalitetsregister. 

Helsepersonelloven § 29 b åpner for at Helse- og omsorgsdepartementet kan bestemme at helseopplysninger kan eller skal gis til bruk for helseanalyser og kvalitetssikring, administrasjon, planlegging eller styring av helse- og omsorgstjenesten uten hinder av taushetsplikt.

Dette innebærer at du må ha dispensasjon fra taushetsplikten for å kunne gjennomføre en slik kvalitetssikring. Helsedirektoratet er dispenserende myndighet. Dispensasjonsvedtaket må lastes opp i meldeskjema.

En slik behandling vil som regel kreve at det gjennomføres en personvernkonsekvensvurdering (DPIA).

Kvalitetsregistre der det innhentes tilleggsopplysninger

I noen tilfeller er det nødvendig å innhente tilleggsopplysninger fra pasienten, f.eks. gjennom spørreskjema, intervju eller tilleggsundersøkelser. 
 
Behandlingen av personopplysninger i slike registre reguleres av helseregisterloven, og baserer seg som hovedregel på samtykke fra pasienten. Formålet med slike registre er som regel å få bedre kunnskap om en bestemt sykdom, sykdomsforløp og behandlingsmetode for igjen å forbedre diagnostikk og øke kvaliteten på behandlingen generelt.

For å oppnå formålet med registeret skal opplysninger som regel utleveres til eksterne forskere og kobles mot opplysninger fra andre helseregistre. På sikt vil resultatet av et slikt register kunne være at man endrer praksis ved et eller flere virksomheter som behandler slike pasienter.

Behandlingen av helseopplysninger til dette formålet regnes allikevel ikke som nødvendig for å yte helsehjelp i pasientjournallovens forstand og slike registre kan derfor bare opprettes i tråd med bestemmelsene i helseregisterloven. 
 
På store og langvarige registre må det gjennomføres en DPIA.