Endelig kontrollrapport

Transkript

1 Saksnummer: 13/01089 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Byhagen legesenter Sted: Alta Utarbeidet av: Camilla G. Nervik Grete Alhaug Marius Engh Pellerud 1 Innledning Datatilsynet gjennomførte høsten 2013 en serie stedlige kontroller for å undersøke helsesektorens oppfyllelse av forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap. I den forbindelse gjennomførte Datatilsynet en kontroll hos Byhagen legesenter Kontrollen skjedde med hjemmel i lov om behandling av helseopplysninger av 18. mai 2001 nr. 24 (helseregisterloven) 31. Kontrollen fant sted i Alta helsesenter da legesenteret ikke har egne møtelokaler. Forskrift om virksomhetsovergripende pasientjournal i formaliserte arbeidsfellesskap (heretter omtalt som «forskriften») er hjemlet i helseregisterloven 6 b. Forskriften trådte i kraft i november Datatilsynet har ikke tidligere ført tilsyn med etterlevelsen av denne forskriften. Kontrollenes formål har vært å avklare om virksomhetenes organisering og journalføring er av en slik karakter at forskriften kommer til anvendelse og i hvilken grad forskriftens krav er oppfylt. Dersom organiseringen av virksomheten ikke faller inn under forskriftens virkeområde, har Datatilsynet kontrollert om det er gitt tilganger til pasientjournaler på tvers av virksomhetsgrenser og om de nødvendige avtaler for behandlingen av opplysninger har eksistert. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Ingunn Heggheim, fastlege - Kristin Brunvatne, helsesekretær - Ragna Eikanger, leder Alta legevakt - Gøril Karlsen, leder for Alta kommunes helseavdeling - Tore Mannsverk, IKT-ansvarlig Alta kommune 2.2 Fra Datatilsynet: - Camilla G. Nervik, seniorrådgiver, juridisk avdeling - Grete Alhaug, seniorrådgiver, juridisk avdeling - Marius Engh Pellerud, rådgiver, tilsyns- og sikkerhetsavdelingen 1 av 5

2 Saksnummer: 13/01089 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Byhagen legesenter Sted: Alta Utarbeidet av: Camilla G. Nervik Grete Alhaug Marius Engh Pellerud 1 Innledning Datatilsynet gjennomførte høsten 2013 en serie stedlige kontroller for å undersøke helsesektorens oppfyllelse av forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap. I den forbindelse gjennomførte Datatilsynet en kontroll hos Byhagen legesenter Kontrollen skjedde med hjemmel i lov om behandling av helseopplysninger av 18. mai 2001 nr. 24 (helseregisterloven) 31. Kontrollen fant sted i Alta helsesenter da legesenteret ikke har egne møtelokaler. Forskrift om virksomhetsovergripende pasientjournal i formaliserte arbeidsfellesskap (heretter omtalt som «forskriften») er hjemlet i helseregisterloven 6 b. Forskriften trådte i kraft i november Datatilsynet har ikke tidligere ført tilsyn med etterlevelsen av denne forskriften. Kontrollenes formål har vært å avklare om virksomhetenes organisering og journalføring er av en slik karakter at forskriften kommer til anvendelse og i hvilken grad forskriftens krav er oppfylt. Dersom organiseringen av virksomheten ikke faller inn under forskriftens virkeområde, har Datatilsynet kontrollert om det er gitt tilganger til pasientjournaler på tvers av virksomhetsgrenser og om de nødvendige avtaler for behandlingen av opplysninger har eksistert. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Ingunn Heggheim, fastlege - Kristin Brunvatne, helsesekretær - Ragna Eikanger, leder Alta legevakt - Gøril Karlsen, leder for Alta kommunes helseavdeling - Tore Mannsverk, IKT-ansvarlig Alta kommune 2.2 Fra Datatilsynet: - Camilla G. Nervik, seniorrådgiver, juridisk avdeling - Grete Alhaug, seniorrådgiver, juridisk avdeling - Marius Engh Pellerud, rådgiver, tilsyns- og sikkerhetsavdelingen 1 av 5

3 3 Generelt Byhagen legesenter er ett av fem legesentre i Alta kommune. Senteret ble etablert i januar 2012 og består av fem fastleger. Alle fastlegene er enkeltmannsforetak. De fem fastlegene har etablert et felles AS for legesenteret. Alle legene har i tillegg til fastlegepraksisen en bijobb i Alta kommune på 20 %. I tillegg til fastlegene arbeider en turnuslege ansatt av Alta kommune på senteret. Legesenteret leier i tillegg personell fra Alta kommune. Dette er sekretærer, sykepleiere og en bioingeniør. De ansatte i Alta kommune jobber stort sett fast på helsesenteret, men ved fravær hentes det inn personell primært tilknyttet andre helsesentre i kommunen. 4 Reguleringen av tilgang til journalopplysninger på tvers av virksomheter 4.1 Utgangspunktet i helseregisterloven 13 Helseregisterloven 13 første ledd første punktum oppstiller som utgangspunkt et krav om at kun databehandlingsansvarlig, databehandler og personell som arbeider under deres instruksjonsmyndighet kan gis tilgang til helseopplysninger. Dette forhindrer at flere virksomheter kan ha felles journalsystem, og at det gis tilganger på tvers av virksomhetsgrenser. I tillegg kan det gis forskrifter som unntar virksomheter fra forbudet om tilgang på tvers, jf. 13, andre ledd. 4.2 Databehandlingsansvarlig og personell under dennes instruksjonsmyndighet Helseregisterloven 13 tillater at personell som er under den behandlingsansvarliges instruksjonsmyndighet kan gis tilgang til helseopplysninger. Dette omfatter både egne ansatte og annet personell som gjennom tilstrekkelig avtaleverk reelt sett er underlagt instruksjonsmyndigheten til den ansvarlige for behandlingen av helseopplysningene. For å sikre reell instruksjonsmyndighet mener Datatilsynet at slike avtaler må inngås direkte mellom den behandlingsansvarlige og personellet, tilsvarende som situasjonen ville være ved et ansettelsesforhold. 4.3 Databehandleravtaler Helseregisterloven 13 åpner også for at det gis tilgang til data for andre enn ansatte i virksomheten dersom disse anses som databehandlere. En databehandler kan ikke behandle helseopplysninger på annen måte enn det som er skriftlig avtalt med den databehandlingsansvarlige, jf. lovens 18. En gyldig databehandleravtale må omfatte alle behandlinger en databehandler kan gjøre i medhold av avtalen. Behandlinger som ikke følger av avtalen vil mangle rettslig grunnlag, og blant annet komme i konflikt mot forbudet i helseregisterloven av 5

4 3 Generelt Byhagen legesenter er ett av fem legesentre i Alta kommune. Senteret ble etablert i januar 2012 og består av fem fastleger. Alle fastlegene er enkeltmannsforetak. De fem fastlegene har etablert et felles AS for legesenteret. Alle legene har i tillegg til fastlegepraksisen en bijobb i Alta kommune på 20 %. I tillegg til fastlegene arbeider en turnuslege ansatt av Alta kommune på senteret. Legesenteret leier i tillegg personell fra Alta kommune. Dette er sekretærer, sykepleiere og en bioingeniør. De ansatte i Alta kommune jobber stort sett fast på helsesenteret, men ved fravær hentes det inn personell primært tilknyttet andre helsesentre i kommunen. 4 Reguleringen av tilgang til journalopplysninger på tvers av virksomheter 4.1 Utgangspunktet i helseregisterloven 13 Helseregisterloven 13 første ledd første punktum oppstiller som utgangspunkt et krav om at kun databehandlingsansvarlig, databehandler og personell som arbeider under deres instruksjonsmyndighet kan gis tilgang til helseopplysninger. Dette forhindrer at flere virksomheter kan ha felles journalsystem, og at det gis tilganger på tvers av virksomhetsgrenser. I tillegg kan det gis forskrifter som unntar virksomheter fra forbudet om tilgang på tvers, jf. 13, andre ledd. 4.2 Databehandlingsansvarlig og personell under dennes instruksjonsmyndighet Helseregisterloven 13 tillater at personell som er under den behandlingsansvarliges instruksjonsmyndighet kan gis tilgang til helseopplysninger. Dette omfatter både egne ansatte og annet personell som gjennom tilstrekkelig avtaleverk reelt sett er underlagt instruksjonsmyndigheten til den ansvarlige for behandlingen av helseopplysningene. For å sikre reell instruksjonsmyndighet mener Datatilsynet at slike avtaler må inngås direkte mellom den behandlingsansvarlige og personellet, tilsvarende som situasjonen ville være ved et ansettelsesforhold. 4.3 Databehandleravtaler Helseregisterloven 13 åpner også for at det gis tilgang til data for andre enn ansatte i virksomheten dersom disse anses som databehandlere. En databehandler kan ikke behandle helseopplysninger på annen måte enn det som er skriftlig avtalt med den databehandlingsansvarlige, jf. lovens 18. En gyldig databehandleravtale må omfatte alle behandlinger en databehandler kan gjøre i medhold av avtalen. Behandlinger som ikke følger av avtalen vil mangle rettslig grunnlag, og blant annet komme i konflikt mot forbudet i helseregisterloven av 5

5 4.4 Forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap virkeområde I helseregisterloven 6 b er det gitt hjemmel for å gi forskrift om virksomhetsovergripende behandlingsrettede registre i formaliserte arbeidsfellesskap. Med hjemmel i forskriften kan det opprettes felles journalsystem på tvers av virksomheter under følgende forutsetninger: 1. Det eksisterer et formalisert arbeidsfellesskap. Dette er i loven definert som et samarbeid mellom to eller flere virksomheter som tydelige fremstår som en enhet. 2. Det felles journalsystemet erstatter andre virksomhetsinterne journaler i fellesskapet, jf. helseregisterloven 6 b, tredje ledd. 3. Det skal inngås en skriftlig avtale om felles journal. Avtalen skal være skriftlig, og tilfredsstille kravene til innhold som følger av forskriften 3. Avtalen skal inneholde virksomhetenes navn og adresse, en beskrivelse av oppgaver og tjenester det samarbeides om, navn og adresse på den databehandlingsansvarlige, navn og adresse på eventuelle databehandlere og en beskrivelse av hvor pasientjournalene skal overføres når arbeidsfellesskapet opphører. 4.5 Tilgangsstyring Uavhengig av hvilket avtaleverk som danner grunnlag for tilgangen, skal tilgang til opplysninger styres ut fra behov. Det skal kun gis tilgang til de opplysningene som er nødvendige for å kunne gjennomføre formålet, i dette tilfellet helsehjelp. Rammene for helsepersonells taushetsplikt uttrykker også dette prinsippet, og det følger av de alminnelige bestemmelsene i personvernlovgivningen. Det vises særlig til personopplysningsloven 13, personopplysningsforskriften 2-11 og 2-14, samt helseregisterloven 13. Forskriften krever at arbeidsfellesskapet kun skal gi tilganger til journalen etter tjenstlig behov og i samsvar med taushetsplikten, jf. 5. Virksomhetene skal i tillegg ha nødvendige informasjonssikkerhetstiltak etter helseregisterloven og personopplysningsforskriften. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Kort om behandling av helseopplysninger ved Byhagen legesenter Alle fastlegene bruker det elektroniske pasientjournalsystemet (EPJ) WinMed 2. Løsningen leveres av Alta kommune. Alta kommune drifter EPJ for alle fastlegene i kommunen. Alle legene på legesenteret har full tilgang til alle journalopplysningene til pasientene senteret behandler. Alle legene har dermed tilgang til de andre legenes journalopplysninger. Sekretærene har også mulighet til å se alle journalopplysninger om alle pasienter, men sekretærene kan i utgangspunktet ikke se helseopplysninger. Sekretærene ser kun administrative opplysninger om pasientene, men får tilgang til helseopplysninger ved å aktivt velge det. 3 av 5

6 5.2 Datatilsynets vurderinger Datatilsynet vurderer at det er to relasjoner ved Byhagen legesenter som må vurderes hver for seg. For det første må det tas stilling til samarbeidet mellom de fem fastlegene i legesenteret, og for det andre må det tas stilling til tjenestene som utføres av de kommunalt ansatte og om noen av unntakene fra forbudet mot tilgang på tvers av virksomheter kan komme til anvendelse for disse Samarbeidet mellom fastlegene Datatilsynets oppfatning er at Byhagen legesenter utgjør et samarbeid mellom flere virksomheter (selvstendige fastleger) som tydelige fremstår som en enhet. Det er etablert et felles journalsystem i fellesskapet som erstatter andre systemer, jf. helseregisterloven 6 b, tredje ledd. Datatilsynets oppfatning er derfor at det samarbeidet de fem fastlegene har inngått seg i mellom faller inn under virkeområdet til forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap. Virksomheten selv var også av oppfatning om at de utgjør et samarbeid som dekkes av virkeområdet til forskriften. I henhold til forskriften må samarbeidet reguleres gjennom avtale, jf. 3. Avtalen skal inneholde virksomhetenes navn og adresse, en beskrivelse av oppgaver og tjenester det samarbeides om, navn og adresse på den databehandlingsansvarlige, navn og adresse på eventuelle databehandlere og en beskrivelse av hvor pasientjournalene skal overføres når arbeidsfellesskapet opphører. Det var ikke inngått slik avtale mellom partene i Byhagen legesenter. Dette er å anse som avvik fra forutsetningene for lovlig tilgang til helseopplysninger på tvers av virksomhetsgrenser som gis i helseregisterloven 13, jf. 6b, jf. forskriften Bruk av kommunens ansatte som helsepersonell i legesenteret Deler av helsepersonellet ved Byhagen legesenter er ansatt i Alta kommune. Når de utøver helsehjelp ved Byhagen legesenter, behandles helseopplysningene i pasientjournalen WinMed 2. Databehandlingsansvarlig for personopplysningene i WinMed 2 er de enkelte fastlegene, jf. helseregisterloven 6, annet ledd. Brukerne av journalene i sykestua er ansatte i Alta kommune. Det foreligger dermed ingen direkte instruksjonsmyndighet fra den databehandlingsansvarlige til brukerne av systemet gjennom et arbeidsgiverarbeidstakerforhold. Utgangspunktet om forbud mot tilgang på tvers av virksomheter kan fravikes dersom det er tillatt i henhold til forskrift gitt i medhold av helseregisterloven 6 b. Databehandlere og ansatte under databehandlingsansvarliges instruksjonsmyndighet kan også gis tilgang. 4 av 5

7 Omfattes samarbeidet med Alta kommune om bruk av helsepersonell av forskriften? Datatilsynet har vurdert om legesenterets bruk av kommunalt ansatt helsepersonell kan hjemles av forskriften. Forskriften hjemler tilgang på tvers kun innenfor formaliserte arbeidsfellesskap. Det kreves av et slikt arbeidsfellesskap at alle deltakerne i fellesskapet i utgangpunktet har rollen som databehandlingsansvarlig (selv om fellesskapet etter avtale inngåelse kan velge utpeke en felles databehandlingsansvarlig, jf. forskriftens 4 første ledd). Avtalen mellom kommunen og legesenteret om bruk av kommunalt ansatt helsepersonell er etter Datatilsynets forståelse ikke et samarbeid som er ment å dekkes av forskriften Instruksjonsmyndighet gjennom avtaler For at tilgangen de ansatte i kommunen gis til Byhagen legesenters helseopplysninger ikke skal komme i strid med helsepersonelloven 13, må det foreligge avtaler som sikrer fastlegene i Byhagen reell instruksjonsmyndighet over personellet. Avtalene må omfatte rammene for hvordan helseopplysninger skal behandles. Det forelå ikke slike avtaler på kontrolltidspunktet. Dette er å anse som avvik fra forbudet mot tilgang på tvers av virksomheter i helseregisterloven 13. Bruk av helsepersonell mellom Byhagen legesenter og Alta anses ikke som en databehandlerrelasjon som kan reguleres gjennom en databehandleravtale. 5.3 Tilgangsstyring Legene som er en del av Byhagen legesenter har i dag full tilgang til hverandres pasientjournaler. Datatilsynet antar at dette er begrunnet ut fra tjenstlig og delvis er formålet med måten legesenteret er organisert på. Dette er imidlertid uregulert ettersom det ikke fins noen avtale om felles journal, jf. avsnitt Personellet på legesenteret for øvrig har som nevnt i denne rapportens avsnitt 5.1 tilgang til opplysninger om alle pasientene knyttet til helsesenteret. Disse har imidlertid kun tilgang til administrative opplysninger om pasientene med mindre de aktivt velger å se helseopplysningene. Øvrig helsepersonell har når de oppholder seg på Byhagen legesenter kun tilgang til opplysninger om pasienter ved det aktuelle legesenteret. Dette er tilfellet selv om de jobber ved flere legesentre i kommunen. For pasienter ved andre legesentre har helsepersonellet kun tilgang til informasjon om hvor pasientene har fastlege. 5 av 5