Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Transkript

1 Fagkurs for kommuner Ansvar og avtaler (45 minutter) 1

2 Innhold 1. Definere sentrale begrep 2. Ansvar 3. Ansvar ved delegering av oppgaver 4. Ansvar og avtaler for databehandler 5. Avtale ved fjernaksess 6. Avtale om fellesjournal 7. Avtale ved tilgang mellom virksomheter 8. Eksempel på avtale type 2

3 1. Databehandlingsansvarlig Normen sier: Med databehandlingsansvarlig menes den som bestemmer formålet med behandlingen og hvilke hjelpemidler som skal brukes Formål - Pasientbehandling, forsking, kvalitetssikring, saksbehandling Behandling - Lagring, innsamling, sletting, utlevering, mv Hjelpemidler - Fagsystem, EPJ-system, PACS, mv 3

4 1. Databehandler Normen sier: Med databehandler menes den som behandler helse- og personopplysninger på vegne av den databehandlingsansvarlige. En databehandler er en ekstern person eller virksomhet utenfor den databehandlingsansvarliges virksomhet For eksempel: Helseforetakenes driftsleverandør 4

5 1. Tilgang Autorisert personell har direkte tilgang i journalsystemet Tilgang skal baseres på tjenstlig behov - for eksempel Yte helsehjelp Administrere slik hjelp m.m 55

6 1. Utlevering Helseopplysninger utleveres elektronisk, skriftlig, muntlig Forutsetter at det ikke er i strid med taushetsplikten 6

7 2. Ansvar Ordfører har det formelle ansvaret for personvern og informasjonssikkerhet. Kommunen skal påse at: det er vedtatt sikkerhetsmål- og strategi det er etablert en sikkerhetsorganisasjon det er etablert et styringssystem for informasjonssikkerhet styringssystemet etterleves og blir revidert pasienten får sine rettigheter oppfylt 7

8 3. Ansvar ved delegering av oppgaver Avhengig av øvrig organisering Divisjoner Avdelinger / seksjoner Enkelt personer Delegere oppgaver til eksterne Dette må gjøres i form av skriftlige avtaler Delegert eller ikke Det juridiske ansvaret er hos databehandlingsansvarlig 8

9 4. Ansvar og avtaler for databehandler Når databehandler drifter EPJ-systemet / fagsystemet for Kommunene: Kommunen er databehandlingsansvarlig Leverandør er databehandler. Databehandleravtale skal opprettes: Bestemte formkrav Omfanget av avtalen må være tilpasset formålet Eksempel - Se faktaark 10 Bruk av databehandler Databehandler har kun adgang til opplysningene på bakgrunn av rollen som databehandler 9 9

10 4. Felles systemer Ett eksempel: Felles system- men ikke felles data, ikke fellesjournal Kommune A Kommune B Felles system Logisk adskilt database for kommune A Logisk adskilt database for kommune B 10

11 5. Avtale ved fjernaksess Ekstern tilgang fra leverandør til driftsleverandør via kommunikasjonslinje Avtalen skal regulere: Plikter (driftsleverandør og leverandør) og sanksjoner Revideres og oppdateres (for eksempel ved avvik, risikovurderinger og sikkerhetsrevisjoner) Eksempel på tekst: Veileder for fjernaksess mellom leverandør og virksomhet kap

12 6. Avtale om fellesjournal Avtalen må inneholde hva samarbeidet omfatter hvordan pasientens eller brukerens rettigheter skal ivaretas, hvordan helseopplysningene skal behandles og sikres, også ved endringer i eller opphør av samarbeidet databehandlingsansvar sikkerhetsnormen@helsedir.no / 12

13 7. Avtale ved tilgang mellom virksomheter Avtalen om tilgang mellom virksomhetene skal minst angi hva avtalen gjelder hvilke behovs- og risikovurderinger som ligger til grunn for avtalen hvilke behandlingsrettede helseregistre, deler av registre eller typer av opplysninger avtalen omfatter og hvilke rutiner som er fastsatt og hvordan oppgavene er fordelt, for å ivareta kravene i denne forskriften sikkerhetsnormen@helsedir.no / 13

14 8. Eksempel på avtale typer Alltid en avtale i overensstemmelse med formål Eksempler: Driftsleverandører: Databehandler Lagring ved Cloud computing: Databehandler Fjernaksess for support: Fjernaksessavtale Tjenesteutsetting: Kjøpsavtale Norsk Helsenett: Tilknytningsavtalen 14