Dokumentkontroll Utfylt av Attestert av Godkjent av Trond Ericson

Størrelse: px
Begynne med side:

Download "Dokumentkontroll Utfylt av Attestert av Godkjent av Trond Ericson"

Transkript

1 Veileder for innføring og anvendelse av statistisk analyse som metode for å avdekke uberettigede oppslag i behandlingsrettede helseregistre («mønstergjenkjenning») Dokumentkontroll Utfylt av Attestert av Godkjent av Trond Ericson Distribusjonsliste Tittel Navn Institusjon Styringsgruppeleder Heidi Thorstensen Oslo universitetssykehus HF Programkontor Jan Eirik Olsen Nasjonal IKT HF Endringslogg Versjon Dato Endring Dokument opprettet og utkast til kap. 2 utarbeidet Godkjent av styringsgruppen Side 1 av 34

2 Innhold 0 INNLEDNING BAKGRUNN MØNSTERGJENKJENNING SOM METODE HENSIKTEN MED DOKUMENTET MÅLGRUPPE FOR DOKUMENTET METODENS TRINN OG RELASJON TIL ANDRE DOKUMENTER LOVLIG GRUNNLAG FOR METODEN LOVGRUNNLAG INNHOLDET I KONTROLLTILTAKET FORMÅLET MED DATABEHANDLINGEN DATA SOM KAN BENYTTES I KONTROLLTILTAKET INNFØRING AV METODEN I VIRKSOMHETEN FORBEREDE ORGANISASJONEN ROLLER, ANSVAR OG MYNDIGHET KRAV TIL KONTROLLENHETEN DATAGRUNNLAG OVERORDNET INFORMASJONS- OG OPPLÆRINGSMATERIELL VEILEDENDE PROSEDYRER FOR KONTROLLARBEID OG ANALYSER FREKVENS STATISTISK ANALYSE AV ALLE OPPSLAG MANUELL VURDERING AV UVANLIGE OPPSLAG DOKUMENTASJON AV UVANLIGE OPPSLAG KONTINUERLIG FORBEDRING AV METODEN OPPFØLGING AV UVANLIGE OPPSLAG PRINSIPPER VEILEDENDE SJEKKPUNKTER FOR VURDERING I KLINIKK OG HR-PROSESSEN REAKSJONSFORMER DERSOM DEN ANSATTE HAR SLUTTET INFORMASJON TIL PASIENT HVORDAN ETABLERE EN GOD KULTUR? REFERANSER VEDLEGG 1 VURDERINGSSKJEMA MANUELL ANALYSE AV SCOREDE OPPSLAG VEDLEGG 2 BREV TIL PASIENT MED INFORMASJON OM ULOVLIG OPPSLAG VEDLEGG 3 DATAGRUNNLAG INNHENTING AV DATAGRUNNLAG INFORMASJON SOM BENYTTES AV ANALYSENE BEARBEIDING AV DATA FØR ANALYSE INDIREKTE IDENTIFISERBARE DATA FOR ANSATT OG PASIENT DATAMODELL MED UTGANGSPUNKT I ANSATTDATABASE, PASIENTOPPLYSNINGER OG JOURNALSYSTEM DATAMODELL AV DATA MED INDIREKTE IDENTIFISERBARE OPPLYSNINGER VEDLEGG 4 - BROSJYREN «LOVLIG JOURNALBRUK» VEDLEGG 5 - BROSJYREN «KONTROLL AV OPPSLAG I ELEKTRONISK PASIENTJOURNAL». 33 Side 2 av 34

3 0 INNLEDNING BAKGRUNN MØNSTERGJENKJENNING SOM METODE HENSIKTEN MED DOKUMENTET MÅLGRUPPE FOR DOKUMENTET METODENS TRINN OG RELASJON TIL ANDRE DOKUMENTER LOVLIG GRUNNLAG FOR METODEN LOVGRUNNLAG INNHOLDET I KONTROLLTILTAKET FORMÅLET MED DATABEHANDLINGEN DATA SOM KAN BENYTTES I KONTROLLTILTAKET INNFØRING AV METODEN I VIRKSOMHETEN FORBEREDE ORGANISASJONEN ROLLER, ANSVAR OG MYNDIGHET KRAV TIL KONTROLLENHETEN DATAGRUNNLAG OVERORDNET INFORMASJONS- OG OPPLÆRINGSMATERIELL VEILEDENDE PROSEDYRER FOR KONTROLLARBEID OG ANALYSER FREKVENS STATISTISK ANALYSE AV ALLE OPPSLAG MANUELL VURDERING AV UVANLIGE OPPSLAG DOKUMENTASJON AV UVANLIGE OPPSLAG KONTINUERLIG FORBEDRING AV METODEN OPPFØLGING AV UVANLIGE OPPSLAG PRINSIPPER VEILEDENDE SJEKKPUNKTER FOR VURDERING I KLINIKK OG HR-PROSESSEN REAKSJONSFORMER DERSOM DEN ANSATTE HAR SLUTTET INFORMASJON TIL PASIENT HVORDAN ETABLERE EN GOD KULTUR? REFERANSER VEDLEGG 1 VURDERINGSSKJEMA MANUELL ANALYSE AV SCOREDE OPPSLAG VEDLEGG 2 BREV TIL PASIENT MED INFORMASJON OM ULOVLIG OPPSLAG VEDLEGG 3 DATAGRUNNLAG INNHENTING AV DATAGRUNNLAG INFORMASJON SOM BENYTTES AV ANALYSENE BEARBEIDING AV DATA FØR ANALYSE INDIREKTE IDENTIFISERBARE DATA FOR ANSATT OG PASIENT DATAMODELL MED UTGANGSPUNKT I ANSATTDATABASE, PASIENTOPPLYSNINGER OG JOURNALSYSTEM DATAMODELL AV DATA MED INDIREKTE IDENTIFISERBARE OPPLYSNINGER VEDLEGG 4 - BROSJYREN «LOVLIG JOURNALBRUK» VEDLEGG 5 - BROSJYREN «KONTROLL AV OPPSLAG I ELEKTRONISK PASIENTJOURNAL». 33 Side 3 av 34

4 0 Innledning Dette dokumentet gir en veiledning for innføring og anvendelse av statistisk analyse som metode for å avdekke uberettigede oppslag i behandlingsrettede helseregistre, også kalt «mønstergjenkjenning». Videre gis det en anbefaling av hvilke prosedyrer som bør benyttes for å følge opp oppslag som metoden identifiserer som uvanlige. 0.1 Bakgrunn Konfidensialitet er en forutsetning for pasientenes tillit til helsevesenet, helseforetaket og til helsepersonell. Alle ansatte i et helseforetak er underlagt profesjonsbestemt og/eller forvaltningsmessig taushetsplikt. Det viktigste tekniske tiltaket helseforetaket har for å sikre at helseopplysninger ikke tilflyter uvedkommende er tilgangsstyring i den elektroniske pasientjournalen. Det er ulovlig å gjøre oppslag i journal uten at det er begrunnet i helsehjelp til konkret pasient, administrasjon av helsehjelpen, eller det foreligger annet gyldig hjemmelsgrunnlag, jf. helsepersonelloven (hlspl) 21a, herunder omtalt som «tjenstlig behov». Fordi det er tilnærmet umulig å vite hvilke opplysninger som til enhver tid er relevante for behandlende helsepersonell, har mange teknisk tilgang til å slå opp langt flere pasientjournaler enn de har tjenstlig behov for. Dette er gjort for å sikre at journaler er tilgjengelige ved behov, og på den måten tilfredsstille hensynet til pasientsikkerheten. Helseforetakene skal, som et ledd i sin internkontroll, kontrollere at oppslag i den elektroniske pasientjournalen (EPJ) kun har skjedd utfra tjenstlig behov. Fordi volumet av oppslag er veldig stort, har tilfeldig stikkprøvekontroll i realiteten ingen effekt. Helseforetaket er derfor avhengig av elektroniske verktøy for kontroll av tilgang. Mønstergjenkjenning er et slikt verktøy. 0.2 Mønstergjenkjenning som metode Metoden baseres på forutsetningen om at de fleste oppslag som gjøres, er tjenstlig begrunnet. Oppslag som avviker fra vanlige oppslagsmønstre gis høyere score og underlegges en grundig manuell kontroll. Dersom den manuelle kontrollen ikke kan forklare oppslaget, rapporteres dette til den ansattes klinikk for videre håndtering. Metoden analyserer alle oppslag utfra ulike kombinasjoner av scenarioer. Et scenario belyser ett eller flere aspekter ved oppslaget, for eksempel; «hvor sannsynlig er det at denne ansatte, i denne stillingen, vil gjøre oppslag på denne pasienten ved denne avdelingen?». Scenarioene er objektive, men den maskinelle analysen kan samtidig retningsbestemmes gjennom kombinasjoner av ulike scenarioer og parametersetting. Eksempelvis kan scenarioer aktiveres som viser om pasienten også er kollega til den som gjør oppslaget, og den manuelle kontrollen kan filtrere ut alle andre typer oppslag. Metodens styrke er at arbeidsprosessene i klinikken, slik disse gjenspeiles i oppslagsmønstrene, avdekker hva som er normalt og dermed legitimt. Følgelig vil oppslag som avviker mye fra det vanlige, være relevante for manuell kontroll og oppfølging. Metoden kan ikke benyttes som «bevis» for at et oppslag er ulovlig, men gir grunnlag for grundigere Side 4 av 34

5 kontroll. Det er klinikken v/ ledelsen som avgjør om oppslaget er tjenstlig begrunnet eller ikke. 0.3 Hensikten med dokumentet Hensikten med dette dokumentet er å gi en samlet informasjon om hvordan kontrolltiltaket kan innføres, og de prosedyrer som anbefales etablert i forbindelse med dette. Dokumentet gir: 1. En oppsummering av den lovmessige begrunnelsen for hvorfor helseforetakene er pålagt å gjennomføre kontroll av ansattes tilgang til behandlingsrettede helseregistre (kapittel 2). 2. En veiledning i hvordan innføre metoden (kapittel 3). 3. Veiledende prosedyrer for analyse av oppslag som fremkommer som uvanlige i den statistiske analysen (kapittel 4). 4. Veiledende prosedyrer for hvordan helseforetakene bør håndtere funn av oppslag som fortsatt fremstår som uvanlige etter en grundig manuell analyse (kapittel 5). 0.4 Målgruppe for dokumentet Dokumentet er rettet mot et bredt utvalg av ansatte: Virksomhetsledere/ Beslutningstagere som skal sette metoden i verk. Kontrollenheten som skal anvende metoden. Klinikkledelse/Personal/HR/vernetjeneste som skal håndtere resultater fra kontrolltiltaket. Berørte parter som ansatt og pasient. Informasjonsmateriell rettet mot tillitsvalgte / ansatte. Nedenstående figur peker på hvilke kapitler som er rettet mot hvilke målgrupper: Figur 1: Målgrupper for veilederen Side 5 av 34

6 1 Metodens trinn og relasjon til andre dokumenter Metoden for analyse av logger fra behandlingsrettede helseregistre er inndelt i seks avgrensede trinn som kan realiseres uavhengig av hverandre, se figuren nedenfor. Figur 2: Metodens seks trinn De seks trinnene er: 1. Datauttrekk. Uttrekk fra logg fra elektronisk pasientjournal (EPJ-logg), pasientadministrative system (PAS) og ansattregister. Uttrekket gjøres lokalt i det enkelte helseforetak og overføres til analyseverktøyet hos tjenesteleverandør. Se kapittel: a) 2.4 Data som kan benyttes i analysen. b) 3.4 Datagrunnlag. o Utvalg. o Sikring. c) Vedlegg 3 Datagrunnlag. 2. Tilrettelegging. Datauttrekket tilrettelegges for å benyttes som metodens datagrunnlag og input til det videre kontrollarbeidet. Side 6 av 34

7 Uttrekket blir gjort indirekte identifiserbart (kalt «avidentifisert» i figuren) slik at første del av kontrollarbeidet skjer med dette datagrunnlaget inntil det eventuelt er behov for mer detaljerte analyser og kunnskap om den ansatte og pasientens identitet. Se kapittel: a) 3.4 Datagrunnlag. o Utvalg. o Sikring. o Bearbeiding av data før analyse. b) Vedlegg 3 Datagrunnlag. Se også dokumentet «Nasjonalt scenariobibliotek». 3. Maskinell analyse av alle oppslag. Alle oppslag i det indirekte identifiserbare datagrunnlaget analyseres maskinelt med scenarioene i «Nasjonalt scenariobibliotek», og med det oppsett og konfigurasjon som det enkelte helseforetak har satt opp for gjennomføringen av kontrolltiltaket. Den maskinelle analysen gir en rapport der oppslag som beregnes som mest uvanlige har fått høyest score. Se kapittel: a) 4.1 Analysefrekvens. b) 4.2 Statistisk analyse av alle oppslag. Se også dokumentet «Nasjonalt scenariobibliotek». 4. Manuell vurdering av uvanlige oppslag med indirekte identifiserbare data. Oppslag som den maskinelle analysen fremhever som uvanlige blir vurdert etter en manuell prosedyre beskrevet i dette dokumentet. Dersom et oppslag fortsatt fremstår som uvanlig, må kontrollenheten benytte datagrunnlag med identifiserbare data. Det skjer i metodens trinn 5. Se kapittel: a) 4.3 Manuell analyse av uvanlige oppslag. o Manuell analyse med indirekte identifiserbare data. 5. Manuell analyse av identifiserbare uvanlige oppslag. Oppslag som etter trinn 4 fortsatt fremstår som uvanlige, analyseres videre med identifiserbare data. Dette skjer med bruk av kodetabeller med mapping mellom indirekte identifiserbare og identifiserbare data over ansatte/pasienter og vurdering av det identifiserbare datagrunnlaget. Kontrollarbeidet krever kjennskap til arbeidsprosessene i klinikk. Dersom oppslaget ikke kan forklares etter den manuelle vurderingen med identifiserbart datagrunnlag, vil funnet dokumenteres og oversendes til klinikk. Se kapittel: b) 4.3 Manuell vurdering av uvanlige oppslag. o Manuell vurdering med identifiserbare data. c) 4.4 Dokumentasjon av funn. d) Vedlegg 1 Vurderingsskjema Manuell analyse av scorede oppslag. 6. Behandling av funn i klinikk og tilbakemelding av resultatet av klinikkens vurdering til kontrollenheten og videre til gruppen som forvalter Nasjonalt scenariobibliotek. Side 7 av 34

8 Tilbakemeldingene fra klinikkene benyttes både for å styrke kompetansen i kontrollenhetene og for å kunne forbedre de manuelle prosedyrene og eventuelt å forbedre scenarioene i Nasjonalt scenariobibliotek. Se kapittel: e) 5 Oppfølging av uvanlige oppslag. Side 8 av 34

9 2 Lovlig grunnlag for metoden Helseforetakenes plikt til å loggføre oppslag i elektronisk pasientjournal, og jevnlig etterkontrollere logger, følger av pasientjournalloven 22. Personopplysningsforskriftens kapittel 2 inneholder nærmere regler om behandlingsansvarliges plikt til å logge tilgang til informasjonssystemet. Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren er en samling krav og retningslinjer som skal bidra til tilfredsstillende informasjonssikkerhet hos den enkelte virksomhet og i sektoren generelt. Den bygger på gjeldende bestemmelser om personvern og informasjonssikkerhet, bl.a. reglene i personopplysningsloven og pasientjournalloven. Formålet med analyse av logger er således helseforetakets lovpålagte plikt til å beskytte helseopplysninger mot uberettiget innsyn. 2.1 Lovgrunnlag Helsepersonell skal hindre at andre får adgang eller kjennskap til opplysninger om folks legems- eller sykdomsforhold eller andre personlige forhold som de får vite om i egenskap av å være helsepersonell, jf. helsepersonelloven 21. Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger, uten at det er begrunnet i helse- og omsorgstjenester til den enkelte, administrasjon av slike tjenester eller har særskilt hjemmel i lov eller forskrift, jf. helsepersonelloven 21a. Dette gjelder alle som behandler helseopplysninger. Den som forsettlig eller uaktsomt bryter bestemmelsene i helsepersonelloven 21 og 21a, straffes med bøter eller fengsel i inntil 3 måneder, jf. helsepersonelloven 67. Pasientjournalloven 22 pålegger både den databehandlingsansvarlige (helseforetaket), og databehandlere foretaket benytter, gjennom planlagte og systematiske tiltak å sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av helseopplysninger. Dette omfatter blant annet å sørge for tilgangsstyring, logging og etterfølgende kontroll. Helseforetakene har både rett og plikt til å logge bruken av informasjonssystemer. Det kreves at det skal etableres tilfredsstillende informasjonssikkerhet ved behandling av personopplysninger. Dette omfatter også organisatoriske sikkerhetstiltak, jf. personopplysningsloven 13. Autorisert bruk av informasjonssystemet skal registreres. Registrering av autorisert bruk av informasjonssystemet og forsøk på uautorisert bruk, skal lagres i minst 3 måneder. Det samme gjelder registreringer av alle andre hendelser med betydning for informasjonssikkerheten, jf. personopplysningsforskriften 2-8. Ifølge Norm for informasjonssikkerhet Helse- og omsorgstjenesten (kap ) skal hendelsesregistre med sikkerhetsmessig betydning, herunder registrering av autorisert bruk og forsøk på uautorisert bruk av informasjonssystemene, lagres i minst 2 år. Dersom oppføringer i hendelsesregistre kan knyttes til enkeltpersoner, skal hendelsesregistrene slettes når de sikkerhetsmessige formål er oppfylt, men først etter 2 år. Side 9 av 34

10 Behandling av personopplysninger som følger av registrering av aktiviteter i et informasjonssystem, er unntatt fra meldeplikten, jf. personopplysningsloven 31 første ledd, jf. personopplysningsforskriften Pasienter har rett til vern mot spredning av legems og sykdomsforhold, samt andre personlige opplysninger om dem. Opplysningene skal behandles i tråd med gjeldende regler om taushetsplikt og med varsomhet og respekt for integriteten til den opplysningene gjelder. Bestemmelsen gjenspeiler helsepersonellets lovbestemte taushetsplikt, jf. pasient og brukerrettighetsloven (pbrl.) Innholdet i kontrolltiltaket Metoden er et ledd i kontrolltiltak overfor ansatte, jf. arbeidsmiljøloven (aml.) 9-1 og 9-2. Etablering av dette kontrolltiltaket anses som nødvendig og formålsmessig, og innenfor akseptable overvåkingstiltak. Personopplysningsloven gjelder for arbeidsgivers behandling av opplysninger om arbeidstakere i forbindelse med kontrolltiltaket, med mindre annet er fastsatt i lov. Kontrolltiltak må etableres under disse forutsetninger: Informasjon og drøftinger med arbeidstakernes tillitsvalgte og informasjon til berørte arbeidstakere. Det som omfattes av kontrollen må være saklig og relevant knyttet til virksomhetens behov. Det må ikke behandles personal- og pasientopplysninger utover det som er nødvendig. Behandling av informasjon bør begrenses til journalloggen, pasientidentifikasjon og ansattinformasjon. Behandling av informasjon ut over dette kan utløse krav om konsesjon. Kontrolltiltaket omfatter primært ansatte i virksomheten som har tilgang til behandlingsrettede helseregistre, og som har gjort oppslag i den tidsperioden som analyseres. Ansatte som ikke gjør bruk av tilgangen sin omfattes kun i den grad det er behov for å avklare om oppslag er gjort eller ikke. Prosedyrene for hvordan og hvor ofte kontrolltiltaket bør gjennomføres er beskrevet i dette dokumentet. 2.3 Formålet med databehandlingen Formålet med loggføring og oppfølging av logg: Gi oversikt over autorisert bruk av helse- og personopplysninger i virksomheten. Sette virksomheten i stand til å avdekke uautorisert bruk, eller forsøk på uautorisert bruk, av helse- og personopplysninger. Forebygge, avdekke og forhindre gjentagelse av sikkerhetsbrudd i informasjonssystemene. Legge til rette for pasientens rett til innsyn i loggen, slik at vedkommende gis mulighet til å ivareta egne rettigheter. Legge til rette for ansattes rett til innsyn i opplysninger som er lagret om vedkommende i loggen. Side 10 av 34

11 2.4 Data som kan benyttes i kontrolltiltaket Metoden benytter logg det behandlingsrettede helseregisteret, opplysninger fra ansattregisteret og pasientadministrative opplysninger. Metoden benytter ikke opplysninger som medfører krav om konsesjon fra Datatilsynet, som eksempelvis diagnosekoder. Se Vedlegg 3 DatagrunnlagVedlegg 3 Datagrunnlag. Formater skript-skrif Side 11 av 34

12 3 Innføring av metoden i virksomheten 3.1 Forberede organisasjonen Innføringen av mønstergjenkjenning som metode for å analysere logger fra behandlingsrettede helseregistre, må planlegges for at innføringen skal bli vellykket. Følgende trinn bør inngå i forberedelsene: Sikre ledelsesforankring for metoden. Få tilstrekkelig budsjett for nødvendige ressurser, personell og utstyr. Tillitsvalgte/verneombud/personvernombud/informasjonssikkerhetsleder gis en innføring i kontrolltiltaket. Dette kan gjøres i form av et møte der lovverk og metode blir gjennomgått. Drøfte tiltaket med tillitsvalgte etter bestemmelsene i arbeidsmiljøloven. De maskinelle analysene vil bli tilbudt helseforetakene som en nasjonal tjeneste. Helseforetakene må etablere en avtale med tjenesteleverandøren for de maskinelle analysene og for å få tilgang til analyseverktøy for å utføre manuelle kontroller. Det etableres en kontrollenhet med personell som er kompetente og personlig egnet for å anvende og forvalte metoden. Kontrollenheten gis opplæring i o Bruk av nasjonal tjeneste / verktøy. o Tilrettelegging av datagrunnlag for analysene. o Gjennomføring av maskinelle analyser og manuelle vurderinger, dokumentasjon av funn og oversendelse til klinikk. Det avtales med driftsleverandør/nasjonal tjeneste hvilke data som skal inngå i datagrunnlaget, formatet på datauttrekket, når og hvordan det skal gjøres tilgjengelig for kontrollenheten og etablering av nødvendige sikringstiltak. Informasjon om kontrolltiltaket gis til ansatte gjennom f.eks. utsendelse av brosjyrene «Lovlig journalbruk» og «Kontroll av oppslag i elektronisk pasientjournal». Det bør gjennomføres et pilotprosjekt for å opparbeide nødvendig erfaring og kompetanse for alle involverte, både driftsleverandør, kontrollenhet, tillitsvalgte og klinikkene. 3.2 Roller, ansvar og myndighet Det er helseforetakenes virksomhetsleder som har det overordnede ansvar for informasjonssikkerheten og organiseringen av denne i sitt helseforetak. Det kan dermed være ulik organisering av sikkerheten i det enkelte helseforetak, men anvendelse av metoden og rapportering av uvanlige oppslag må uansett følge linjen og fullmaktsmatrisen i det enkelte helseforetak. Uavhengig av praktisk organisering, beskriver dette avsnittet hvilke roller som anbefales å inngå i bruk av metoden eller roller som kan bli berørt av analyseresultatene. Administrerende direktør/ Virksomhetsleder Formelt ansvarlig for informasjonssikkerheten, men kan delegere oppgaver i egen organisasjon eller gjennom avtale til databehandler eller leverandør. Bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Beslutter om metoden skal iverksettes som tiltak. Side 12 av 34

13 Kontrollenheten Tilrettelegger datagrunnlag for analyse. Gjennomfører kontrollen, dokumenterer eventuelle uvanlige oppslag og oversender dette til klinikk. Skal ikke selv kunne gjøre oppslag i journal eller pasientadministrative opplysninger. Ansatt/medarbeider Skal informeres før tiltaket iverksettes i helseforetaket. Skal sette seg inn i og følge etablerte regler, herunder rapportere avvik. Uvanlige oppslag som den ansatte har utført mot behandlingsrettede pasientregistre kan bli gjenstand for kontroll gjennom den beskrevne metoden. Human Resources (HR) Trekkes inn i prosessen dersom det avdekkes at et oppslag er ulovlig og det blir en personalsak. Skal sikre at slik at helseforetakets retningslinjer for personalsaker og eventuelt anbefalingene gitt i kapittel 55 Oppfølging av uvanlige oppslagoppfølging av uvanlige oppslag, blir fulgt. Driftsleverandør Ansvarlig for drift av behandlingsrettede helseregistre. Ansvarlig for at det er tilgjengelige logger fra behandlingsrettede pasientregistre. Sikre konsistent datauttrekk fra relevante registre. Klinikkleder/Avdelingsleder/Linjeleder Følge opp og kontrollere informasjonssikkerheten. Mottar dokumentasjon på uvanlige oppslag og undersøker disse videre. Dersom klinikk/avdeling ikke finner en forklaring på et uvanlig oppslag, trekkes HR inn i prosessen slik at helseforetakets retningslinjer for personalsaker og eventuelt anbefalingene gitt i kapittel 55 Oppfølging av uvanlige oppslagoppfølging av uvanlige oppslag, blir fulgt. Pasient Informeres om ulovlige oppslag i sin journal og pasientens rettigheter. Dersom pasienten ikke kan vurdere den mottatte informasjonen, skal informasjonen rettes til pasientens verge. Personvernombud Har som oppgave å sikre at den databehandlingsansvarlige følger personopplysningsloven med forskrift. Personvernombudet skal også føre en oversikt over opplysningene som nevnt i personopplysningsloven 32. Informasjonssikkerhetsleder Faglig ansvarlig for virksomhetens sikkerhetsarbeid blant annet gjennom å utarbeide retningslinjer for informasjonssikkerheten, sørge for implementering av informasjonssikkerhet og oppfølging av at sikkerhetstiltak vedlikeholdes. Systemeier Systemeier for analyseverktøyet er ansvarlig for at det er klargjort og konfigurert for å gjennomføre avtalte eller bestilte analyser med scenarioer fra Nasjonalt scenariobibliotek som helseforetaket har bestemt/bestilt. Tillitsvalgt/Verneombud Deltar i drøftingsmøte før innføring av kontrolltiltaket. Formater 11 pkt Formater 11 pkt Side 13 av 34

14 3.3 Krav til kontrollenheten Kontrollheten bør bestå av minst to personer for å sikre objektivitet og troverdighet i kontrollarbeidet. Det anbefales at følgende krav stilles til medlemmene av kontrollenheten: De er betrodde ansatte der det er gjort en skikkethetsvurdering. De har inngående kjennskap til metoden og verktøyet som benyttes. De har god kunnskap om virksomhetens arbeidsmetoder. De har undertegnet taushetserklæring og signert på at de har lest og forstått gjeldende regelverk og konsekvenser ved eventuelle brudd på dette. De har ikke tilgang til behandlingsrettede helseregistre. Kontrollenheten får tilgang til en stor mengde sensitive personopplysninger. Tilgangen bør avgrenses til datagrunnlaget for metoden. For at kontrollenheten ikke skal havne i en dobbeltrolle der den kontrollerer seg selv, bør den ikke ha tilgang til journal. Kontrollen av at kontrollenheten ikke misbruker sin funksjon, ligger primært i prinsippet om at alle uvanlige oppslag skal forelegges og avgjøres i klinikk i samarbeid med HR. Loggkontrollen starter med indirekte identifiserbare data. Det er først når det foreligger uvanlige oppslag at det er behov for innsyn i direkte identifiserbare opplysninger. Personvernulempen dette medfører, kan reguleres gjennom at det er to medlemmer av kontrollenheten som sammen beslutter at et slikt innsyn er nødvendig. Analyseverktøyet kan tilrettelegges slik at det blir et teknisk krav at dette bekreftes. 3.4 Datagrunnlag Metoden benytter data fra: Logg fra det behandlingsrettede helseregisteret. Ansattregister m/historikk. Pasientadministrative opplysninger 1. Detaljene til datagrunnlaget er nærmere beskrevet i Vedlegg 3 DatagrunnlagVedlegg 3 Datagrunnlag. Formater skript-skrif Utvalg Datagrunnlaget må inneholde informasjon om Pasient som det er gjort oppslag mot. Type oppslag og tidspunkt for oppslag. 1 I følge Normen (kap ) skal det etableres prosedyrer for ved behov å kunne sammenholde hendelsesregistrene med autorisasjonsregister og tilstedeværelsesregister. Bruk av tilstedeværelsesregister er imidlertid vurdert til å ha begrenset eller ingen verdi for denne metoden og benyttes derfor ikke. Hvorvidt en ansatt var på vakt eller ikke har ikke betydning for metoden. Mange ansatte har fjerntilgang til systemene uavhengig av vaktplaner, både med hensyn til tilgjengelighet for telefonisk konsultasjon med kollega i akutte situasjoner, og med tanke på forskning. Forskning skjer i stor grad, kanskje som hovedregel, utenfor ordinær arbeidstid. Side 14 av 34

15 Ansatt som har utført oppslaget. Diagnosekoder eller annen entydig informasjon om helseforhold er ikke nødvendig å innhente for at metoden skal fungere. Heller ikke opplysninger fra Folkeregisteret (slektskap, naboforhold). Det gjøres oppmerksom på at ved innhenting av slike opplysninger forutsettes det konsesjon fra Datatilsynet. Scenariobiblioteket er ikke utviklet med tanke på bruk av denne typen data Sikring Datagrunnlaget inneholder personopplysninger og dataene vil i varierende grad indirekte kunne si noe om pasientens helsetilstand. Videre inneholder loggen opplysninger om den ansattes adferd, det vil si hvordan den enkelte ansatte benytter sin tilgang til systemet, når vedkommende var på jobb, hvor mye som leses og noen indikasjoner på hvor grundig informasjonen leses, hvor ofte det dokumenteres i journal og tas utskrift. Adferdsopplysninger skal kun benyttes i den grad det er nødvendig for oppfyllelsen av formålet med metoden, det vil si avdekke oppslag som er i strid med bestemmelsen i helsepersonell 21 a. Overføringene mellom driftsleverandør og nasjonal tjeneste / analyseverktøyet, med eventuelle mellomlagring, må skje på en sikker måte. Tilgang til analyseverktøyet (datagrunnlag, analyseverktøy, systemlogger, etc.) må være begrenset til kontrollenheten og eventuelt et begrenset antall definerte ressurser. Behandlingen av datagrunnlaget må utføres med et sikkerhetsnivå som tilsvarer dataenes krav til konfidensialitet og integritet. Dette gjelder hele kjeden fra overføringen fra driftsleverandøren, til lagringen og behandling i analyseverktøyet hos den nasjonale tjenesten, videre til dokumentasjon av funn og overføring av funn til klinikk Bearbeiding av data før analyse Metoden forutsetter en del tilpasninger av datagrunnlaget før maskinell analyse kan gjennomføres. Dette for å tilrettelegge det for analyseverktøyet. Tilsvarende gjelder også for å gjøre datagrunnlaget indirekte identifiserbart for de første trinnene i analysen. Bearbeidingen kan gjøres av driftsleverandøren som lager datauttrekket, før det overføres til kontrollenheten, eller det kan gjøres av den nasjonale tjenesten før det leses inn i analyseverktøyet. 3.5 Overordnet informasjons- og opplæringsmateriell Det finnes informasjons- og opplæringsmateriell for ulike formål: 1. Informasjon mot helseforetakene for at de skal kunne ta metoden i bruk a) Dette dokumentet. b) Dokumentet «Nasjonalt scenariobibliotek». 2. Materiell som helseforetakene kan benytte i forhold til tillitsvalgte og ansatte Side 15 av 34

16 a) Vedlegg 4 - Brosjyren «Lovlig journalbruk»vedlegg 4 - Brosjyren «Lovlig journalbruk». b) Vedlegg 5 - Brosjyren «Kontroll av oppslag i elektronisk pasientjournal»vedlegg 5 - Brosjyren «Kontroll av oppslag i elektronisk pasientjournal». c) Presentasjonen « NIKT 45_1 Metoden_presentasjon ver_0_9» d) Mer helseforetak-tilpassede prosedyrer basert på hva HR i det enkelte helseforetak har utarbeidet. Formater skript-skrif Formater 11 pkt Formater skript-skrif Formater Formater Formater Side 16 av 34

17 4 Veiledende prosedyrer for kontrollarbeid og analyser Dette kapitlet beskriver prosessen fra statistisk maskinell analyse av datagrunnlaget, dernest påfølgende manuell vurdering av det metoden identifiserer som uvanlige oppslag, til et eventuelt funn overføres til klinikkleder/avdelingsleder med nødvendig underlagsdokumentasjon. 4.1 Frekvens Analysene må gjennomføres på rutinemessig basis. Det anbefales at den maskinelle delen av analysen gjennomføres minimum kvartalsvis, men helst hver måned. Den manuelle vurderingen og oppfølgingen av maskinelt analyserte oppslag kan derimot skje kontinuerlig. Det er primært følgende forhold som har betydning for hvor ofte kontroller bør gjennomføres: Nærhet i tid til oppslaget gir den ansatte et bedre grunnlag for å huske situasjonen bak oppslaget og dermed kunne forklare bakgrunnen for det. Hyppigheten er avhengig av kapasiteten for å gjennomføre kontrollene. Skjer kontrollene sjelden (hvert år eller hvert halvår) vil det være store volum av data som skal bearbeides manuelt. Dette kan medføre at kun et begrenset utvalg av uvanlige oppslag blir behandlet. I tillegg til rutinekontroller, bør det gjennomføres kontroll ved indikasjoner på at det er utført uvanlige oppslag mot pasientjournalen. Dette kan være som resultat av enkelte hendelser eller henvendelser fra personer som har grunn til å tro at noen ulovlig har lest journalen. 4.2 Statistisk analyse av alle oppslag Nasjonalt scenariobibliotek omfatter en serie med utprøvde scenarioer som kan benyttes samlet eller i utvalgte kombinasjoner for å analysere loggen fra det behandlingsrettede helseregisteret. Scenariobiblioteket beskriver scenarioene og hvordan de kan benyttes. Den statistiske analysen av datagrunnlaget er en maskinell behandling av alle oppslag som basert på scenarioene, gir hvert oppslag en score, presentert i en liste. Metoden er objektiv, men kontrollenheten kan spisse eller bredde analysen ved å justere på ulike parametere knyttet til scenarioene (f.eks. hvor mange dager før eller etter en henvisningsperiode et oppslag skal scores). Ved hjelp av et verktøy for manuell vurdering, vil oppslagene med høyeste score kunne vurderes nærmere. 4.3 Manuell vurdering av uvanlige oppslag Dette avsnittet beskriver hvordan kontrollenheten metodisk bør gjennomgå listen med scorede oppslag. Målsettingen er: Sikre en objektiv vurdering av oppslagene. Minimere bruken av pasientens eller ansattes navn i kontrollarbeidet. Side 17 av 34

18 Den statistiske analysen vil score alle oppslag som er gjort. Avhengig av omfanget av uvanlige oppslag og ressurser avsatt til analysene, må et utvalg av oppslag med høyest score velges ut for nærmere vurdering. Det er mange ulike innfallsvinkler til dette, for eksempel: «Top-down» o Alle oppslag, med alle scenarioer aktivert, vurderes fra de med størst samlet score og nedover. Kombinasjoner av scenarioer o Scenarioer som er aktuelle for bestemte problemstillinger, for eksempel ansattes oppslag på kolleger, trekkes ut i egne spørringer. Filtrering på klinikk, avdeling, stilling o Målrettet kontroll der man fokuserer på bestemte risikoområder som er relatert til avgrensede klinikker, avdelinger og/eller stillinger. Uvanlige oppslag skal aldri vurderes enkeltstående, men alltid sees i sammenheng med annen aktivitet rundt pasienten. Dagens versjon av metoden slår sammen alle oppslag på enkeltdokumenter som den ansatte gjør på en pasient innenfor samme klokketime til ett oppslag. Med andre ord kan den ansatte ha klikket på ett dokument ved en feiltagelse, eller ha lest 50 journaldokumenter på samme pasient, og likevel fremstå i den maskinelle analysen på samme måte. Oversikten over scorede oppslag som er utgangspunktet for den manuelle vurderingen, gir derfor ikke hele bildet som skal vurderes. Dette illustrerer hvorfor scorede oppslag også må være gjenstand for en grundig manuell gjennomgang av grunnlagsdataene på samme oppslag. I utgangspunktet vil bare oppslag der den ansatte aldri har dokumentert i pasientens journal vurderes, alternativt at det er svært lenge siden den ansatte skrev i journalen. Dette er valgt som utgangspunkt da dokumentasjon i journal antas med stor grad av sannsynlighet å bekrefte deltagelse i helsehjelpen til pasienten. Dette er ikke et «bevis» på at oppslaget er legitimt, men likevel et valg som er tatt for å redusere mengden oppslag som skal vurderes manuelt. I tillegg kan man ta med i vurderingen om andre ansatte har dokumentert på samme klokketime som det høyt scorede oppslaget indikerer at det er aktivitet rundt pasienten. Annen aktivitet på samme tidspunkt som gis lav score, kan indikere at det høyt scorede oppslaget er et ledd i en større kjede av handlinger som er nødvendige for å yte helsehjelp til pasienten. Målsettingen er at maskinelt scorede og manuelt vurderte oppslag som fremlegges for klinikken, skal fremstå som uvanlige også for klinikken. Klinikken har ikke tilgang på metoden og kan ikke forutsettes å forstå i detalj hvordan den fungerer. Det som forelegges klinikken er begrenset til det som fremgår av grunnlagsdataene. Da må grunnlagsdataene på oppslaget fremstå som uvanlige for klinikken for at det vil håndteres videre. Nedenfor beskrives den manuelle prosedyren som benyttes for å avkrefte eller sannsynliggjøre om et uvanlig oppslag er et lovbrudd. Prosedyren gjennomløper 11 trinn, der trinn 1 6 anbefales utført med indirekte identifiserbare data, mens trinn 7 11 krever at ansatt og pasient er identifisert. Side 18 av 34

19 4.3.1 Manuell vurdering med indirekte identifiserbare data Hvordan datagrunnlaget kan gjøres indirekte identifiserbart, er beskrevet i Vedlegg 3 i dette dokumentet. 1. Identifiser oppslag som skal vurderes nærmere manuelt. a. Vanligvis vil det tas utgangspunkt i oppslag med høyest samlet score ut fra den scenariokombinasjonen som er valgt. b. Alternativt; selektere oppslag utfra bestemte kriterier, som f.eks. alle oppslag gjort utenfor en henvisningsperiode. 2. Vurder oppslaget. a. Gjennomgang av hvordan oppslaget er scoret i de ulike scenarioene. Danne et bilde av årsaken til at oppslaget har høy samlet score. 3. Vurder alle oppslag som er gjort på pasienten. a. Selektere ut alle scorede oppslag på den samme pasienten og danne et bilde av aktivitetsnivået rundt pasienten på tidspunktet for det høyt scorede oppslaget. i. Hva finnes av annen aktivitet? ii. Er oppslaget enkeltstående? iii. Er det mange andre høyt scorede oppslag mot pasienten? 4. Vurder alle oppslag som den ansatte har gjort på den aktuelle pasienten. a. Hvilken interesse viser den ansatte for pasienten? b. Er oppslaget enkeltstående for den ansatte? c. Har den ansatte andre høyt scorede oppslag mot samme pasient? 5. Vurder alle oppslagene til den ansatte. a. Hva er gjennomsnittet av samlet score på alle oppslag den ansatte gjør sammenlignet med normalen? b. Kan antall oppslag som den ansatte har gjort i perioden si noe om det statistiske grunnlaget for scoren? i. Er antallet rimelig? ii. Mange oppslag med noe varighet (f.eks. > 3sek) kan indikere at den ansatte leser i journal uten et tjenstlig behov. c. Hvilke andre pasienter har den ansatte slått opp på? i. Er det likhetstrekk mellom pasientene som det slås opp på? d. Faller det høyt scorede oppslaget inn i en naturlig sammenheng eller styrker det indikasjonen om et ulovlig oppslag? e. Er det få oppslag i perioden som gjør at score blir høy? 6. Vurder behov for innsyn i grunnlagsdata. a. Lar oppslaget seg forklare utfra punktene 1 5 ovenfor? b. Sammenstill hvilke stillinger og avdelinger som har gjort oppslag på pasienten i. Hvilke type stillinger og avdelinger gjør oftest oppslag. Sjekk om det avtegner seg et bilde av hva som er normalt og ikke. ii. Er den ansattes avdelingstilhørighet unik i forhold til andre som har gjort oppslag? iii. Tilsvarende om stillinger som har gjort oppslag. Side 19 av 34

20 c. Dersom oppslaget fortsatt fremstår som vanskelig å forklare, konkluderes med at det er behov for å innhente informasjon fra grunnlagsdataene og punktene nedenfor gjennomgås Manuell vurdering med identifiserbare data Denne delen av den manuelle vurderingen krever at kontrollenheten har tilgang til grunnlagsdataene. 7. Innhent pasientadministrative opplysninger. a. Hvor har pasienten vært behandlet? b. Hva kjennetegner pasientens historikk? c. Er det noe i pasientens behandlingshistorikk som kan forklare oppslaget? d. Er datagrunnlaget solid? 8. Innhent informasjon fra ansattregisteret om den ansatte. a. Har den ansatte tidligere tilhørt avdelinger som naturlig vil gjøre oppslag på pasienten? b. Er det mulig at den ansatte tidligere har vært involvert i behandlingen, men har byttet avdeling? 9. Vurder pasientens logg. a. Hvilke dokumenter er det gjort oppslag på? b. Hvor stor interesse viser den ansatte for pasientens sykdomshistorikk? c. Hvilken annen aktivitet er det i journalen til pasienten? d. Synes oppslaget forklarlig utfra sammenhengen i forutgående aktivitet og det som skjer senere? 10. Vurder logg på alle oppslagene til den ansatte. a. Er det mulig at oppslaget skyldes feiltasting, navnelikhet, likhet i fødselsnummer? Gjøres det umiddelbart nytt oppslag mot lignende navn, fødselsnummer? b. Er det mulig oppslaget er ledd i kvalitetssikring (hlspl 26)? 11. Konklusjon. a. Det samlede inntrykket som er skapt; Vil «saken» kunne forsvares at tas opp med klinikk, eller er det kjente sammenlignbare tilfeller tidligere som har vært forklart som legitime oppslag? b. Det bør være en målsetting at kontrollenheten er samstemmig i at oppslaget presenteres for klinikken. 4.4 Dokumentasjon av uvanlige oppslag Dersom den manuelle vurderingen ikke finner noen forklaring på et uvanlig oppslag, skal klinikken forelegges saken. Det utarbeides et skjema som oppsummerer bakgrunnen for dette og vurderingene som er gjort dokumenteres og kvalifiseres av kontrollenheten. Informasjonen overføres til klinikken på en metode som tilfredsstiller helseforetakets krav til sikker overføring av personsensitiv informasjon. Side 20 av 34

21 Funnet må inneholde tilstrekkelig dokumentasjon til at saken kan behandles av klinikken, se Vedlegg 5 - Brosjyren «Kontroll av oppslag i elektronisk pasientjournal»vedlegg 5 - Brosjyren «Kontroll av oppslag i elektronisk pasientjournal». Vedlegg 1 Vurderingsskjema Manuell analyse av scorede oppslagvedlegg 1 Vurderingsskjema Manuell analyse av scorede oppslag. 4.5 Kontinuerlig forbedring av metoden Det er et mål at de uvanlige oppslagene som metoden avdekker gjennom den statistiske analysen og den manuelle kontrollen, fremstår som reelle funn når klinikkene har vurdert dem. For å sikre en kontinuerlig forbedring av metoden, er det derfor nødvendig at klinikkene gir tilbakemeldinger på de vurderingene som de gjør av oppslagene som de får til behandling. Dette er spesielt viktig å få tilbakemelding på oppslag som klinikkene vurderer som lovlige til tross for at de er vurdert som uvanlige av kontrollenheten. Formater skript-skrif Formater 11 pkt Formater skript-skrif Formater skript-skrif 1. Tilbakemeldingen fra klinikken vurderes utfra følgende spørsmål: a) Ville bruken av andre scenariokombinasjoner gitt et utfall som ligger nærmere klinikkens vurdering? b) Ville en annen parametersetting av scenarioene gitt et annet resultat? c) Ville andre scenarioer enn de som er tilgjengelige i den statistiske analysen kunne gitt et riktigere resultat? d) Er det andre trinn i den manuelle vurderingen som kunne bidratt til å forklare det høyt scorede oppslaget? 2. Kontrollenheten må tilpasse sin tilnærming til metoden ut fra de erfaringene de gjør og tilbakemeldingene fra klinikkene. 3. Dersom kontrollenheten finner at forbedringer av metoden (punkt 2 over) kunne gitt et bedre resultat, må dette videreformidles til Nasjonalt scenariobibliotek slik at det eventuelt kan utvikles nye scenarioer, scenariodokumentasjonen/-beskrivelsene kan oppdateres og de veiledende prosedyrene (dette dokumentet) kan oppdateres og forbedres. Side 21 av 34

22 5 Oppfølging av uvanlige oppslag Dette kapitlet beskriver en veiledende prosess for hvordan klinikken bør følge opp dokumentasjon som mottas om uvanlige oppslag. 5.1 Prinsipper Uvanlige oppslag rapporteres fra kontrollenheten til klinikkleder/ avdelingsleder/ linjeleder i aktuell klinikk. Klinikkleder/avdelingsleder er ansvarlig for nødvendige avklaringer og håndtering av eventuelt bekreftet ulovlig oppslag. Den ansattes leder kjenner arbeidsmønsteret i sin enhet, og må derfor vurdere om oppslaget faktisk er et avvik i forhold til den ansattes stilling og rolle. Den ansatte har et personlig ansvar for at passordet ikke er tilgjengelig for andre. Dette er et sentralt premiss for at tilgangsregulering i behandlingsrettede helseregistre skal fungere, og følger av lov/forskrift. Oppslag som forklares med at andre må ha lånt brukertilgangen kan derfor ikke tjene som en formildende omstendighet og må gis en reaksjon, fortrinnsvis skriftlig advarsel. Den ansatte kan gjennom sin adferd ha bidratt til at andre urettmessig har tilegnet seg taushetsbelagt informasjon. Loggkontroll vil ikke ha noen hensikt og lovkravet ikke kunne oppfylles dersom dette aksepteres. Det skal ikke legges informasjon i den ansattes personalmappe før det foreligger en personalsak. Personalsak foreligger først når oppslaget er identifisert som ulovlig. HR-leder, eller dennes representant, trekkes inn hvis oppslaget er identifisert som ulovlig, eventuelt også i avklaringsprosessen frem mot en konklusjon. Kontrollenheten trekkes ved behov inn i avklaringsprosessen for å underbygge og utdype den dokumentasjonen som er sendt klinikken. Metodens scoring av oppslaget skal ikke vurderes av klinikk, heller ikke hvorvidt metoden fungerer eller bør justeres. Klinikken skal foreta en selvstendig vurdering basert på informasjonen fra loggen, samt informasjon i det pasientadministrative systemet og journalen. Vurderingen som skal gjøres, er den samme som om en pasient hadde henvendt seg, uavhengig av årsak. Det påligger ikke kontrollenheten et «resultatkrav» ved at oppslag som presenteres for klinikk forutsettes å være ulovlige. Lovens krav er at det skal føres kontroll. Det er arbeidsprosesser som ikke lar seg representere i datagrunnlaget metoden anvender. «Falske positive» vil derfor være en del av prosessen. Klinikken forutsettes av denne grunn å være en medspiller i å forbedre metoden ved å gi gode tilbakemeldinger til kontrollenheten, uavhengig av opp oppslaget var ulovlig eller ikke. Kontrollenhetens målsetting må likevel være at sakene som presenteres for klinikk med sannsynlighet er ulovlige slik at tilliten til metoden styrkes. 5.2 Veiledende sjekkpunkter for vurdering i klinikk og HR-prosessen De enkelte foretak må følge egne rutiner for å håndtere saker som oversendes fra kontrollenheten, men det er viktig at ansatte får tilnærmet samme behandling for samme forseelse, uavhengig av hvor de er tilknyttet. Nedenfor gis punkter som bør inngå i håndteringen av en sak der klinikken ikke kan begrunne et uvanlig oppslag mot behandlingsrettede pasientregistre. Side 22 av 34

23 Kontrollenheten sender klinikkleder/avdelingsleder en skriftlig henvendelse med spørsmål om grunnlaget for oppslag som er gjort. Kontrollenheten bør samtidig vise til etablert prosedyre for hvordan saken skal følges opp. o Se vedlegg for mal for slik henvendelse. Leder vurderer om oppslaget lar seg forklare utfra etablerte arbeidsprosesser i klinikk. Dersom oppslaget virker uvanlig også for leder, videreformidles saken ned til rette nivå, hvis ikke dette er samme person. Følgende punkter bør blant annet avklares (listen er ikke uttømmende): o Foreligger det et dokumentert tjenstlig behov for det uvanlige oppslaget? o Har det vært en spesiell situasjon som har medført det uvanlige oppslaget? o Har den ansatte en spesiell rolle som kan medføre uvanlige oppslag? o Er den ansatte del av et team som i enkelte situasjoner kan ha behov for å gjøre uvanlige oppslag? Dersom leder mener oppslaget kan forklares og forsvares: o Klinikken sender beskjed til kontrollenheten med en begrunnelse for sin vurdering. o Kontrollenheten må ved behov følge opp klinikken for å sikre at den får tilbakemelding. o Saken avsluttes. Dersom leder mener oppslaget er uforklarlig: o HR-leder, eller dennes representant involveres ved behov. o Alt av relevans til saken må dokumenteres skriftlig. o Den ansatte innkalles til en personalsamtale (en ukes varsel) med begrunnelse i den mottatte dokumentasjonen. o For å sikre kontradiksjon bør den ansatte få tilsendt den dokumentasjonen som er grunnlag for mistanke om uvanlige oppslag. o Den ansatte oppfordres til å stille på møtet med en rådgiver/tillitsvalgt. o På møtet gjennomgås de uvanlige oppslagene med den dokumentasjonen som ligger til grunn. o Den ansatte gis anledning til å gi sin forklaring på de uvanlige oppslagene og klinikken må vurdere om dette er en rimelig forklaring eller ikke. o Dersom den ansatte ber om det, skal det gis mulighet for innsyn i logg over andre oppslag vedkommende har gjort i den aktuelle perioden. Kopi av loggen kan imidlertid ikke utleveres da denne inneholder sensitive personopplysninger som virksomheten har databehandlingsansvaret for. o Klinikken bør i den grad det er mulig få bekreftet den ansattes versjon gjennom andre kilder, eksempelvis fra pasienten selv når det hevdes å foreligge samtykke til oppslaget. o Det utarbeides et referat fra møtet. o Dersom klinikken finner at forklaringen er tilfredsstillende, avsluttes saken internt. o Klinikken sender beskjed til kontrollenheten med en begrunnelse for sin vurdering. o Kontrollenheten må ved behov følge opp klinikken for å sikre at den får tilbakemelding. o Saken avsluttes. Hvis det konkluderes med at oppslaget er ulovlig: o Klinikkleder/avdelingsleder kontakter HR-leder. o HR-leder, eller dennes representant, bistår i å håndtere saken videre etter det enkelte foretaks retningslinjer for personalsaker. Side 23 av 34

24 o Kontrollenheten orienteres om at det er opprettet personalsak. o Kontrollenheten kan be om mer informasjon dersom det er påkrevet av hensyn til senere bruk av metoden. o Pasienten gis skriftlig informasjon når saken er avsluttet, jf. punkt Reaksjonsformer Reaksjonsformen bør stå i forhold til hvor alvorlig bruddet faktisk er og være uavhengig av ved hvilket helseforetak ansettelsesforholdet gjelder. Det må gjøres en helhetsvurdering av hvor alvorlig det ulovlige oppslaget er. Punkter som vurderes er: Er det første gang det registreres et ulovlig oppslag for den ansatte. Innrømmes forholdet eller ikke. I hvilken hensikt har det ulovlige oppslaget skjedd. o I god hensikt, for eksempel for å hjelpe pasienten. o For å påføre noen skade. o For å fremheve egen interesse. Er informasjonen gitt videre. o Til kjente eller til et miljø. o Solgt til «kjendispresse». Det skal som et minimum gis muntlig advarsel. Dersom forholdet vurderes som alvorlig kan det få konsekvenser for den ansattes arbeidsforhold. Dersom oppslaget er et brudd på pasientjournalloven, personopplysningsloven eller personopplysningsforskriften skal tilfellet rapporteres til Datatilsynet. Brudd på helsepersonelloven skal rapporteres til Helsetilsynet. Ethvert tilfelle av oppslag som forklares med at andre må ha benyttet den ansattes pålogging skal gis en reaksjon. Sikring av egen pålogging er den ansattes personlige ansvar og avgjørende for at både tilgangsregulering og loggkontroll skal fungere. 5.4 Dersom den ansatte har sluttet Dersom den ansatte har sluttet må klinikken likevel gjøre en vurdering av oppslaget, og vurdere eventuelle tiltak. Dersom leder mener at oppslaget er uforklarlig, bør det vurderes om saken er så alvorlig at den likevel bør følges opp. Er eksempelvis oppslaget et enkeltstående tilfelle eller gjelder det flere pasienter? Følgende tiltak anbefales: Den tidligere ansatte inviteres til å gi en forklaring i et eget møte. Virksomheten varsler på forhånd vedkommende om hvor alvorlig man ser på saken. Dersom den tidligere ansatte ikke vil møte, eller ikke kan gi noen tilfredsstillende forklaring, skal pasienten informeres på samme måte som beskrevet i punkt 5.5. Saken registreres i personalmappen til den tidligere ansatte for å bidra til at dette er med i vurderingen dersom det blir aktuelt å ansette vedkommende på ny. I tillegg vurderes følgende tiltak: o Politianmeldelse o Varsel til helsetilsynet Side 24 av 34

25 5.5 Informasjon til pasient Ved konklusjon om at oppslaget er ulovlig, skal pasienten normalt informeres skriftlig. Pasienten skal gis anledning til å ivareta sine interesser, og har krav på følgende informasjon: Når oppslaget ble gjort. Hvilken informasjon som er lest. o Sensitiv informasjon skal utleveres på en trygg måte. Hvem som har gjort oppslaget. Hvordan foretaket håndterer saken videre. Pasientens rettigheter. Klageadgang. 5.6 Hvordan etablere en god kultur? Dersom metoden avdekker et stort antall oppslag som klinikken konkluderer med er ulovlige, er det et signal om at ansatte ikke har tilstrekkelig kunnskap om etablerte lover og instrukser, eller har feil holdning til bruken av tilgangen til pasientjournalen. Følgende tiltak kan være aktuelle for å korrigere for dette: Intensivere loggkontroll ved enheter som har vært spesielt utsatt for ulovlige oppslag. Vurdere om tilgangsstyringen ved aktuelle enheter kan justeres. Informasjons- og holdningskampanje internt i enheten og foretaket som helhet, med fokus på riktig bruk av journaltilgangen: o Det er enhver ansatts ansvar å ha kunnskap om riktig bruk av journal. o Det er et lederansvar å sikre at ansatte får tilstrekkelig opplæring til å utføre sine arbeidsoppgaver i tråd med, til enhver tid, gjeldende regler. o Se vedlagte informasjonsmateriell. Etablere obligatoriske opplæringsprogrammer av alle ansatte. Sikre at opplæringen repeteres gjennom revisjon eller annen form for internkontroll. Sikre at «kulturbærere» trekkes inn og blir ambassadører for viktigheten av å følge regelverket. Sikre at alle ansatte har tilgang til nødvendig informasjon om kontrolltiltaket, om hvilke lovverk som gjelder for deres arbeidssituasjon og spesielt når det gjelder oppslag i behandlingsrettede pasientregistre. Side 25 av 34

Kontroll av oppslag i elektronisk pasientjournal

Kontroll av oppslag i elektronisk pasientjournal Kontroll av oppslag i elektronisk pasientjournal Metode for å identifisere uberettigede oppslag i behandlingsrettede helseregistre 1 Kontroll av oppslag ved hjelp av statistisk metode Konfidensialitet

Detaljer

Nasjonal metode og rammeverk for statistisk analyse av logger fra oppslag i behandlingsrettede helseregistre

Nasjonal metode og rammeverk for statistisk analyse av logger fra oppslag i behandlingsrettede helseregistre Nasjonal metode og rammeverk for statistisk analyse av logger fra oppslag i behandlingsrettede helseregistre En presentasjon av Veileder for innføring og anvendelse av statistisk analyse som metode for

Detaljer

Kontroll av oppslagslogger i EPJ ved hjelp av mønstergjenkjenning

Kontroll av oppslagslogger i EPJ ved hjelp av mønstergjenkjenning Kontroll av oppslagslogger i EPJ ved hjelp av mønstergjenkjenning Helge Grimnes Seksjon for informasjonssikkerhet og personvern Stab pasientsikkerhet og kvalitet Oslo universitetssykehus HF Grunnlag for

Detaljer

Forvaltning av nasjonal metode og rammeverk for statistisk analyse av logger fra oppslag i behandlingsrettede helseregistre

Forvaltning av nasjonal metode og rammeverk for statistisk analyse av logger fra oppslag i behandlingsrettede helseregistre 1 Forvaltning av nasjonal og rammeverk for statistisk analyse av logger fra oppslag i behandlingsrettede helseregistre Dokumentkontroll Utfylt av Attestert av Godkjent av Trond Ericson Distribusjonsliste

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.1 Dato: 17.08.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

Lovlig journalbruk Oppslag i og bruk av Pasientjournalen

Lovlig journalbruk Oppslag i og bruk av Pasientjournalen Lovlig journalbruk Oppslag i og bruk av Pasientjournalen 1 Oppslag i og bruk av pasientjournalen Journalen er et viktig verktøy for tilgang til og deling av informasjon mellom samhandlende helsepersonell.

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 8 Versjon: 5.0 Dato: 21.11.2018 Formål Ansvar Gjennomføring Omfang Målgruppe Dette

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom Bærum kommune, Pleie- og omsorg databehandlingsansvarlig og Leverandør databehandler Innholdsfortegnelse

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Kapittel 1. Generelle bestemmelser 1.Lovens formål Formålet med loven er at behandling av helseopplysninger skal skje

Detaljer

Plikt- og rettssubjekter. Den som har krav på noe, den som har rett på noe. Den som er pålagt noe, den som har ansvaret for å se til at noe blir gjort

Plikt- og rettssubjekter. Den som har krav på noe, den som har rett på noe. Den som er pålagt noe, den som har ansvaret for å se til at noe blir gjort Pasientjournalloven Begrep og rammer Plikt- og rettssubjekter Pliktsubjekt Den som er pålagt noe, den som har ansvaret for å se til at noe blir gjort Rettssubjekt Den som har krav på noe, den som har rett

Detaljer

Mønstergjenkjenningsprosjektet ved Oslo universitetssykehus

Mønstergjenkjenningsprosjektet ved Oslo universitetssykehus Mønstergjenkjenningsprosjektet ved Oslo universitetssykehus Erfaringer med mønstergjenkjenning som metode for å oppdage taushetspliktsbrudd ved bruk av elektronisk pasientjournal Helge Grimnes Personvernrådgiver

Detaljer

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen») Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med (heretter omtalt som «avtalen») 1 1. AVTALENS PARTER Avtalen gjelder mellom databehandlingsansvarlig

Detaljer

Saksframlegg. Sørlandet sykehus HF. Informasjonssikkerhet. 1. Styret tar informasjonen om informasjonssikkerhet i helseforetaket til orientering.

Saksframlegg. Sørlandet sykehus HF. Informasjonssikkerhet. 1. Styret tar informasjonen om informasjonssikkerhet i helseforetaket til orientering. Arkivsak Dato 12.10.2017 Saksbehandler Johan Krüger og Leif Steinar Brådland Saksframlegg Styre Sørlandet sykehus HF Møtedato 19.10.2017 Sak nr 076-2017 Sakstype Orienteringssak Sakstittel Informasjonssikkerhet

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)

Detaljer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01090 Dato for kontroll: 04.12.2013 Rapportdato: 22.05.2014 Endelig kontrollrapport Kontrollobjekt: Drammen Helsehus Sted: Drammen Utarbeidet av: Camilla Nervik Grete Alhaug Marius Engh

Detaljer

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud Helseopplysninger på tvers - rammer for deling og tilgang HelsIT 15. oktober 2014 Marius Engh Pellerud Hva er personvern? 18.06.2014 Side 2 Retten til privatliv Selvbestemmelse Rett til å vite og forstå

Detaljer

Lovvedtak 75. ( ) (Første gangs behandling av lovvedtak) Innst. 295 L ( ), jf. Prop. 72 L ( )

Lovvedtak 75. ( ) (Første gangs behandling av lovvedtak) Innst. 295 L ( ), jf. Prop. 72 L ( ) Lovvedtak 75 (2013 2014) (Første gangs behandling av lovvedtak) Innst. 295 L (2013 2014), jf. Prop. 72 L (2013 2014) I Stortingets møte 16. juni 2014 ble det gjort slikt vedtak til lov om behandling av

Detaljer

Lovlig journalbruk Oppslag i og bruk av pasientjournalen

Lovlig journalbruk Oppslag i og bruk av pasientjournalen Lovlig journalbruk Oppslag i og bruk av pasientjournalen Stab fag og pasientsikkerhet Seksjon for personvern og informasjonssikkerhet OPPSLAG I OG BRUK AV PASIENTJOURNALEN Journalen er et viktig verktøy

Detaljer

Bilag 14 Databehandleravtale

Bilag 14 Databehandleravtale Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse) Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Detaljer

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning. Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for

Detaljer

Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven 26

Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven 26 Datatilsynet Postboks 8177 Dep 0034 OSLO Deres ref.: Vår ref.: 12/5062-3 Saksbehandler: Elisabeth Sagedal Dato: 18.12.2012 Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven

Detaljer

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter

Detaljer

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon? Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon? Mari Hersoug Nedberg, rådgiver Ålesund, 4. September 2009 Hva er person(opplysnings)vern?

Detaljer

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER (HERETTER OMTALT SOM «AVTALEN») Databehandleravtale for drift

Detaljer

Sluttrapport. Mønstergjenkjenning som metode for å oppdage taushetspliktsbrudd ved bruk av pasientjournal ( Mønstergjenkjenningsprosjektet )

Sluttrapport. Mønstergjenkjenning som metode for å oppdage taushetspliktsbrudd ved bruk av pasientjournal ( Mønstergjenkjenningsprosjektet ) Sluttrapport Mønstergjenkjenning som metode for å oppdage taushetspliktsbrudd ved bruk av pasientjournal ( Mønstergjenkjenningsprosjektet ) Til styringsgruppemøte # 3/2012 16.11.2012 Side 2 av 55 INNHOLDSFORTEGNELSE

Detaljer

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens

Detaljer

Informasjonssikkerhet

Informasjonssikkerhet Informasjonssikkerhet Styremøte SSHF Sak 076-2017 Johan Krüger, Informasjonsikkerhetsleder Leif Steinar Brådland, leder Klinisk IKT 19.10.17, Kristiansand Dagens organisering Informasjonsikkerhetsleder

Detaljer

SAK NR INFORMASJON OM INFORMASJONSSIKKERHET OG PERSONVERN I SYKEHUSET INNLANDET

SAK NR INFORMASJON OM INFORMASJONSSIKKERHET OG PERSONVERN I SYKEHUSET INNLANDET Sykehuset Innlandet HF Styremøte 30.01.18 SAK NR 005 2018 INFORMASJON OM INFORMASJONSSIKKERHET OG PERSONVERN I SYKEHUSET INNLANDET Forslag til VEDTAK: 1. Styret tar informasjonen om informasjonssikkerhet

Detaljer

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling

Detaljer

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak Saksframlegg Referanse Saksgang: Styre Møtedato Styret Pasientreiser HF 13/09/2017 SAK NR 23-2017 Behandling av personopplysninger - oppfølging av styresak 05-2017 Forslag til vedtak: 1. Styret tar redegjørelsen

Detaljer

Ot.prp. nr. 51 ( )

Ot.prp. nr. 51 ( ) Ot.prp. nr. 51 (2008-2009) Tilgang til behandlingsrettede helseregister på tvers av virksomhetsgrenser Kari Sønderland Ekspedisjonssjef Helse- og omsorgsdepartementet Formålet med lovforslaget Fjerne regelverksmessige

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 mellom Utdanningsdirektoratet direktoratet for barnehage, grunnopplæring og IKT Organisasjonsnummer:

Detaljer

Veileder for behandling av personopplysninger og informasjonssikkerhet i idretten

Veileder for behandling av personopplysninger og informasjonssikkerhet i idretten Veileder for behandling av personopplysninger og informasjonssikkerhet i idretten Vedtatt av Generalsekretæren 20.12.2017 20. desember 2017 Side 1 av 7 Bakgrunn Digitalisering og bruk av IT-løsninger i

Detaljer

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler

Detaljer

Taushetsplikten! *! Anne Kjersti Befring!

Taushetsplikten! *! Anne Kjersti Befring! Taushetsplikten! Anne Kjersti Befring! Hvorfor taushetsplikt?! Alt som kommer til min viten under utøvingen av mitt yrke eller i dagligsamkvem med mennesker, som ikke burde bli kjent for andre, vil jeg

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fjellinjen AS. behandlingsansvarlig

Detaljer

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden (behandlingsansvarlig) og Norsk Byggtjeneste AS ( databehandler) Revidert

Detaljer

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim Vedlegg 14 Behandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Behandleravtale for [billetteringssystem] Denne avtale er inngått mellom AtB AS («AtB») og XXXX («Operatøren») 2 1 Avtalens bakgrunn og

Detaljer

Medisinske kvalitetsregistre - hva betyr nytt lovverk Normkonferansen

Medisinske kvalitetsregistre - hva betyr nytt lovverk Normkonferansen Medisinske kvalitetsregistre - hva betyr nytt lovverk Normkonferansen 15.10.2014 Heidi Talsethagen Senter for klinisk dokumentasjon og evaluering (SKDE) SKDE - nasjonalt servicemiljø Opprettet 2004 Opprinnelig

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER) Databehandleravtale Godkjent av Trond Laupstad Godkjent dato 17. august 2011 Bilag 7 Vedrørende behandling av personopplysninger mellom (BEHANDLINGSANSVARLIG) og xx (DATABEHANDLER) 1. Innledning I henhold

Detaljer

Varslingsrutine i NOAH AS

Varslingsrutine i NOAH AS 1 Å varsle er å si fra om kritikkverdige forhold NOAH skal være en trygg arbeidsplass for alle. Det er viktig at vi skaper et godt ytringsklima, og legger til rette for varsling, slik at nødvendige forhold

Detaljer

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6 Avtale om (sett inn navn på oppdraget) Databehandleravtale I henhold til personopplysningslovens 15, jf. 13 og personopplysningsforskriftens kapittel

Detaljer

Policy for personvern

Policy for personvern 2018 Policy for personvern SpareBank 1 Nord-Norge konsern (SNN) For Nord-Norge! Innhold 1. Innledning... 3 2. Definisjoner... 3 3. Formål og rammeverk for personvernarbeid... 3 4. Behandling av personopplysninger...

Detaljer

Høringsnotat: Enklere tilgang til helseopplysninger for kvalitetssikring av helsehjelp og egen læring

Høringsnotat: Enklere tilgang til helseopplysninger for kvalitetssikring av helsehjelp og egen læring Helse- og omsorgsdepartementet Høringsnotat: Enklere tilgang til helseopplysninger for kvalitetssikring av helsehjelp og egen læring Endringer i helsepersonelloven 29 c Høringsfrist: 19. september 2019

Detaljer

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Databehandleravtale Pilot Digitalt Bortsettingsarkiv Databehandleravtale Pilot Digitalt Bortsettingsarkiv I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom. og Databehandler 1 1 Avtalens hensikt

Detaljer

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike 2019 Basert på Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering

Detaljer

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale. Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom Navn på kommunen eller fylkeskommunen (behandlingsansvarlig)

Detaljer

Pasientjournalloven - endringer og muligheter

Pasientjournalloven - endringer og muligheter Pasientjournalloven - endringer og Sverre Engelschiøn Normkonferansen Åpner mulighetsrommet (Prop. 72 L) 2 Legge til rette for at opplysningene kan følge pasienten uavhengig av sektorens organisering og

Detaljer

Personvern - sjekkliste for databehandleravtale

Personvern - sjekkliste for databehandleravtale ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18. Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.september 2012 Om Datatilsynet Et forvaltningsorgan med stor grad av faglig uavhengighet

Detaljer

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no). Personvern Det er viktig for oss at du føler deg trygg når du bruker vår nettsider, tisip.no og itfag.no. Derfor legger vi stor vekt på å beskytte ditt personvern. Denne erklæringen forklarer hvordan vi

Detaljer

Lagring av forskningsdata i Tjeneste for Sensitive Data

Lagring av forskningsdata i Tjeneste for Sensitive Data AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER Lagring av forskningsdata i Tjeneste for Sensitive Data Tekst i kursiv skal fjernes og erstattes med relevant tekst, evt. velges ett av flere alternativer. 1

Detaljer

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fellesforbundet avdeling.. Org.nr.:. Behandlingsansvarlig og Fellesforbundet Org.nr.:

Detaljer

Formidling av pasientinformasjon ny lovgivning (i forbindelse med pasientbehandling) NSH

Formidling av pasientinformasjon ny lovgivning (i forbindelse med pasientbehandling) NSH Formidling av pasientinformasjon ny lovgivning (i forbindelse med pasientbehandling) NSH 4.9. 2009 Kari Sønderland Ekspedisjonssjef Helse- og omsorgsdepartementet Lovendring 19.6. 2009 Åpner for tilgang

Detaljer

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Databehandleravtale mellom. (Oppdragsgiver) Behandlingsansvarlig Kommunesektorens organisasjon (KS) som Databehandler Databehandleravtale mellom ("Oppdragsgiver") "Behandlingsansvarlig" og Kommunesektorens organisasjon ("KS") som "Databehandler" 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes

Detaljer

Ny pasientjournallov endringer og muligheter

Ny pasientjournallov endringer og muligheter Helse- og omsorgsdepartementet Ny pasientjournallov endringer og muligheter Sverre Engelschiøn, fagdirektør Fornebu 2. februar 2016 Åpner mulighetsrommet (Prop. 72 L) Legge til rette for at opplysningene

Detaljer

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Nord-Trøndelag fylkeskommune tar i bruk stadig flere it-løsninger for å ivareta en effektiv tjenesteproduksjon. Samtidig som at slike løsninger letter

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale. Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom.. (barnehagen) og MyKid AS. (databehandler) 1. Avtalens hensikt

Detaljer

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov Vår dato Vår referanse 15.10.2013 13/00959-2 Helse- og omsorgsdepartementet Postboks 8011 Dep 0030 Oslo Deres dato: Deres referanse 13/2992 Saksbehandler: Caroline Ringstad Schultz Høringssvar - Forslag

Detaljer

Studenters tilgang til elektronisk pasientjournal

Studenters tilgang til elektronisk pasientjournal Studenters tilgang til elektronisk pasientjournal Helge Grimnes Personvernrådgiver Stab pasientsikkerhet og kvalitet Oslo universitetssykehus HF Seksjon for informasjonssikkerhet og personvern Helsepersonell,

Detaljer

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021 Kapittel 9 Versjon 1.0 24.05.2019 Databehandleravtale Side 1 av 10 Innhold Databehandleravtale... 3 1 Avtalens hensikt... 4 2 Definisjoner... 4 3 Formål og rettslig grunnlag... 4 3.1 Formål... 4 3.2 Rettslig

Detaljer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale. Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale Mellom (behandlingsansvarlig) og Nasjonalt senter for læringsmiljø

Detaljer

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53. NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53. Kunngjort 2. mai 2018 kl. 13.55 PDF-versjon 14. mai 2018 27.04.2018 nr. 645 Forskrift om befolkningsbaserte

Detaljer

Saksbehandler: Mari Kristine Rollag Arkiv: G10 &13 Arkivsaksnr.: 14/ Dato:

Saksbehandler: Mari Kristine Rollag Arkiv: G10 &13 Arkivsaksnr.: 14/ Dato: SAKSFRAMLEGG Saksbehandler: Mari Kristine Rollag Arkiv: G10 &13 Arkivsaksnr.: 14/9416-2 Dato: 28.10.14 HØRING - FORSKRIFT OM TILGANG TIL HELSEOPPLYSNINGER MELLOM VIRKSOMHETER â INNSTILLING TILBYSTYREKOMITÉ

Detaljer

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Sporveien AS standardvilkår for Databehandleravtaler 1 Generelt Når Leverandør skal behandle Personopplysninger på vegne av Kunden,

Detaljer

Helseforskningsrett med fokus på personvern

Helseforskningsrett med fokus på personvern Helseforskningsrett med fokus på personvern Sverre Engelschiøn Helseforskningsrett 2009 Sverre Engelschiøn 1 Tema Nærmere om personvern Hva menes med informasjonssikkerhet? Helseregistre og forskning Helseforskningsrett

Detaljer

Personvernerklæring Stendi

Personvernerklæring Stendi Personvernerklæring Stendi Ditt personvern er viktig for oss. Nedenfor kan du lese mer om hvordan vi aktivt jobber med å ivareta ditt personvern. Her vil vi forklare hvordan og hvorfor vi samler inn og

Detaljer

Databehandleravtale for NLF-medlemmer

Databehandleravtale for NLF-medlemmer Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av

Detaljer

Hvis helseregisterloven 13 ikke fantes hva så?: Tilgang til journalopplysninger. trengs

Hvis helseregisterloven 13 ikke fantes hva så?: Tilgang til journalopplysninger. trengs Hvis helseregisterloven 13 ikke fantes hva så?: Tilgang til journalopplysninger der det trengs, når det trengs Ellen K.Christiansen Seniorrådgiver Nasjonalt senter for telemedisin Ellen.Christiansen@telemed.no

Detaljer

Ny lov nye muligheter for deling av pasientopplysninger

Ny lov nye muligheter for deling av pasientopplysninger Ny lov nye muligheter for deling av pasientopplysninger - regelverksendringene - felles journal i Helse Nord 17.09.15 - STYRK Årskonferanse 2015 Juridisk rådgiver Heidi Talsethagen, FIKS Fra én journal

Detaljer

Databehandleravtale etter personopplysningsloven

Databehandleravtale etter personopplysningsloven Databehandleravtale etter personopplysningsloven Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom..kommune Behandlingsansvarlig og

Detaljer

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Personvernombud Støttedokument Faktaark nr. 35 Versjon: 2.1 Dato: 15.12.2010 Målgruppe Dette faktaarket er spesielt relevant for: Ansvar

Detaljer

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned Standard Databehandleravtale for Nasjonal Sikkerhetsmåned 2018 Databehandleravtale Glasspaper Learning AS Side 1 av 5 1. Avtaleparter Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse

Detaljer

Rettslig regulering av helseregistre

Rettslig regulering av helseregistre Rettslig regulering av helseregistre HEL-8020 Analyse av registerdata i forskning 27. april 2016 Juridisk rådgiver Heidi Talsethagen SKDE Senter for klinisk dokumentasjon og evaluering/ FIKS Felles innføring

Detaljer

Styresak /4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for Dokument 3:2 ( ), informasjon

Styresak /4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for Dokument 3:2 ( ), informasjon Møtedato: 14. desember 2016 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen, 75 51 29 00 Bodø, 2.12.2016 Styresak 157-2016/4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for 2015

Detaljer

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.

Detaljer

Hensyn bak taushetsplikten

Hensyn bak taushetsplikten Hensyn bak taushetsplikten Følgende hensyn utgjør hovedbegrunnelsen for taushetspliktbestemmelsene: Hensynet til pasientens personvern Hensynet til tillitsforholdet mellom behandler og pasient/klient Hensynet

Detaljer

Varslingsrutiner ved HiST

Varslingsrutiner ved HiST Varslingsrutiner ved HiST Innledning Denne rutinebeskrivelsen tar utgangspunkt i Fornyings- og administrasjonsdepartementets retningslinjer for utarbeidelse av lokale varlingsrutiner i statlige virksomheter.

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/01089 Dato for kontroll: 08.11.2013 Rapportdato: 26.03.2014 Endelig kontrollrapport Kontrollobjekt: Byhagen legesenter Sted: Alta Utarbeidet av: Camilla G. Nervik Grete Alhaug Marius Engh

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR ) PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR.994 236 016) (Sist endret 05.07.2018) Denne personvernerklæringen gjelder for Advokatfirmaet Even Solbraa-Bay. Jeg er behandlingsansvarlig

Detaljer

Lagring av forskningsdata i Tjeneste for

Lagring av forskningsdata i Tjeneste for AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER Databehandleravtale Lagring av forskningsdata i Tjeneste for Sensitive Data 1 l 1. Avtalens parter 1.1 Parter Avtalen inngås mellom databehandlingsansvarlig:

Detaljer

Fagkurs for kommuner Personvern og taushetsplikt (75 minutter)

Fagkurs for kommuner Personvern og taushetsplikt (75 minutter) Fagkurs for kommuner Personvern og taushetsplikt (75 minutter) 1 Innhold Hva er personopplysninger? Hva er helseopplysninger? Hvorfor skal opplysningene sikres? Den registrerte har rettigheter (samtykke,

Detaljer

Retningslinjer for LYN Fotball Varslingsordning

Retningslinjer for LYN Fotball Varslingsordning Retningslinjer for LYN Fotball Varslingsordning Vedtatt av styret i LYN Fotball 7. november 2017 1. Innledning Lovendring i arbeidsmiljøloven som trådte i kraft 01.07.2017 innebærer at alle arbeidsplasser

Detaljer

Studenters tilgang til elektronisk pasientjournal

Studenters tilgang til elektronisk pasientjournal Studenters tilgang til elektronisk pasientjournal Helge Grimnes Personvernrådgiver Kompetansesenter for personvern og sikkerhet Konsern IT Oslo universitetssykehus HF Helsepersonell, som ikke deltar i

Detaljer

Nasjonalt scenariobibliotek. for statistisk analyse av logger fra oppslag i behandlingsrettede helseregistre

Nasjonalt scenariobibliotek. for statistisk analyse av logger fra oppslag i behandlingsrettede helseregistre for statistisk analyse av logger fra oppslag i behandlingsrettede helseregistre Dokumentkontroll Utfylt av Attestert av Godkjent av Trond Ericson Distribusjonsliste Tittel Navn Institusjon Styringsgruppeleder

Detaljer

PROSEDYRE FOR HÅNDTERING AV VARSEL OM KRITIKKVERDIGE FORHOLD

PROSEDYRE FOR HÅNDTERING AV VARSEL OM KRITIKKVERDIGE FORHOLD PROSEDYRE FOR HÅNDTERING AV VARSEL OM KRITIKKVERDIGE FORHOLD 1 FORMÅL Prosedyren skal bidra til at kritikkverdige forhold opphører. Den skal bidra til at arbeidsgiver behandler varsling om kritikkverdige

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01060 Dato for kontroll: 09.10.2014 Rapportdato: 16.12.2014 Endelig kontrollrapport Kontrollobjekt: Hadsel kommune Sted: Stokmarknes Utarbeidet av: Knut-Brede Kaspersen Hallstein Husand

Detaljer

Personvern og informasjonssikkerhet

Personvern og informasjonssikkerhet Det frivillige Skyttervesen Personvern og informasjonssikkerhet Personvernerklæring Veiledning for skytterlag og samlag Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer