Kontroll av Follo legevakt Vedtak om pålegg og endelig kontrollrapport

Transkript

1 Oppegård Kommune Postboks KOLBOTN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ / /MEP 21. mai 2014 Kontroll av Follo legevakt Vedtak om pålegg og endelig kontrollrapport Vi viser til vår kontroll hos dere den 22. november 2013 og vårt varsel om vedtak datert 18. februar 2014 Vår vurdering av tilsvaret deres Datatilsynet har mottatt merknadene til varselet den 19. mars Vi har følgende kommentarer til disse. Oppegård kommune påpeker at det varslede pålegg 2 var vanskelig å tolke. Dette fordi vedtaket ble formulert slik at helseforetaket skulle inngå avtale med behandlende helsepersonell. Dette var en feil og er endret i vedtak om pålegg (se under). Oppegård kommune ber om veiledning rundt hvordan en avtale mellom arbeidsfellesskapet og hvert enkelt helsepersonell kan utformes for å lukke pålegg 2. Vi er villig til å ha en veiledning om dette i etterkant av denne kontrollsaken. Oppegård kommune har ikke varslet noen frist for lukking av avvik. Oppegård kommune har ikke gitt kommentarer til foreløpig kontrollrapport. Denne forblir derfor uendret. Vedtak om pålegg Med hjemmel i helseregisterloven 32 gir Datatilsynet følgende pålegg: 1. De samarbeidende kommunene må inngå en avtale om felles journal som tilfredsstiller kravene til slik avtale, jf. forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap 3, jf. helseregisterloven 6b. Vi viser til kontrollrapportens avsnitt Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt OSLO

2 2. Akershus universitetssykehus behandling av personopplysninger som de samarbeidende kommunene er databehandlingsansvarlig for må avsluttes eller skje etter en avtale mellom arbeidsfellesskapet og hvert enkelt helsepersonell, jf. helseregisterloven 13. Vi viser til kontrollrapportens avsnitt Fristen for å gjennomføre pålegget er 1. september Innen fristen må dere sende oss en skriftlig bekreftelse på at pålegget er gjennomført. Hvis dere ikke har fått særskilt beskjed, krever vi ikke ytterligere dokumentasjon på at dere har gjennomført pålegget. Vi gjør samtidig oppmerksom på at vi kan foreta en etterkontroll av at pålegget er gjennomført. Mulighet til å klage på vedtaket Vedtaket kan påklages etter forvaltningslovens bestemmelser. En klage må sendes Datatilsynet innen tre uker etter at dere mottok det. Vi gjør samtidig oppmerksom på at dere har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan for Datatilsynets vedtak: Dersom Datatilsynet ikke selv gjør om vedtaket når vi behandler klagen, vil nemda behandle saken. Med vennlig hilsen Helge Veum avdelingsdirektør Marius Engh Pellerud rådgiver Kopi: Follo legevakt, c/o Ski sykehus, Vardåsveien 3, 1400 SKI Akershus universitetssykehus HF, 1478 LØRENSKOG Vedlegg: Endelig kontrollrapport 2

3 Saksnummer: 13/01092 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Follo legevakt Sted: Ski Utarbeidet av: Camilla Nervik Grete Alhaug Marius Engh Pellerud 1 Innledning Datatilsynet gjennomførte i løpet av høsten 2013 en serie stedlige kontroller for å undersøke helsesektorens oppfyllelse av forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap. I den forbindelse var Datatilsynet på kontroll hos Follo legevakt 22. november Kontrollen fant sted i virksomhetens lokaler i Ski sykehus. Kontrollen ble gjort med hjemmel i lov om behandling av helseopplysninger av 18. mai 2001 nr. 24 (helseregisterloven) 31. Forskrift om virksomhetsovergripende pasientjournal i formaliserte arbeidsfellesskap (heretter omtalt som «forskriften») er hjemlet i helseregisterloven 6 b. Forskriften trådte i kraft i november Datatilsynet har ikke tidligere ført tilsyn med etterlevelsen av denne forskriften. Kontrollenes formål har vært å avklare om virksomhetenes organisering og journalføring er av en slik karakter at forskriften kommer til anvendelse og i hvilken grad forskriftens krav er oppfylt. Dersom organiseringen av virksomheten ikke faller inn under forskriftens virkeområde, har Datatilsynet kontrollert om det er gitt tilganger til pasientjournaler på tvers av virksomhetsgrenser og om de nødvendige avtaler for behandlingen av opplysninger har eksistert. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Elisabeth Sogge, påtroppende daglig leder, Follo legevakt - Henning Røkke, systemkonsulent, Sykehuspartner - Ronni Tøftum, produktsjef, CGM - Ole Kristen Karlsrud, overlege, Follo legevakt - Pia Hærum, konstituert seksjonsleder, Follo legevakt - Halvor Sandodden, personvernrådgiver, Ahus - Harald Toft, Rådmann, Oppegård kommune 2.2 Fra Datatilsynet: - Camilla Nervik, seniorrådgiver, juridisk avdeling - Grete Alhaug, seniorrådgiver, juridisk avdeling - Marius Engh Pellerud, rådgiver, tilsyns- og sikkerhetsavdelingen 1 av 6

4 3 Generelt om virksomheten Follo legevakt Follo legevakt er et samarbeid mellom Enebakk, Frogn, Nesodden, Oppegård, Ski og Ås kommune. Legevakta er plassert i lokalene til Ski sykehus. Ski sykehus er igjen en avdeling i Akershus universitetssykehus (Ahus). Ahus drifter legevakta etter avtale med kommunene. Legene som jobber på legevakta er ansatt i et eget interkommunalt selskap eid av kommunene som deltar i legevaktsamarbeidet. Øvrig personell på legevakta er ansatt av Ahus. 4 Reguleringen av tilgang til journalopplysninger på tvers av virksomheter 4.1 Utgangspunktet i helseregisterloven 13 Helseregisterloven 13 første ledd første punktum oppstiller som utgangspunkt et krav om at kun databehandlingsansvarlig, databehandler og personell som arbeider under disses instruksjonsmyndighet kan gis tilgang til helseopplysninger. Dette forhindrer at flere virksomheter kan ha felles journalsystem, og at det gis tilganger på tvers av virksomhetsgrenser. I tillegg kan det gis forskrifter som unntar virksomheter fra forbudet om tilgang på tvers, jf. 13, andre ledd. 4.2 Databehandlingsansvarlig og personell under dennes instruksjonsmyndighet Helseregisterloven 13 tillater at personell som er under den behandlingsansvarliges instruksjonsmyndighet kan gis tilgang til helseopplysninger. Dette omfatter både egne ansatte og annet personell som gjennom tilstrekkelig avtaleverk reelt sett er underlagt instruksjonsmyndigheten til den ansvarlige for behandlingen av helseopplysningene. For å sikre reell instruksjonsmyndighet mener Datatilsynet at slike avtaler må inngås direkte mellom den behandlingsansvarlige og personellet, tilsvarende som situasjonen ville være ved et ansettelsesforhold. 4.3 Databehandleravtaler Helseregisterloven 13 åpner også for at det gis tilgang til data for andre enn ansatte i virksomheten dersom disse anses som databehandlere. En databehandler kan ikke behandle helseopplysninger på annen måte enn det som er skriftlig avtalt med den databehandlingsansvarlige, jf. lovens 18. En gyldig databehandleravtale må omfatte alle behandlinger en databehandler kan gjøre i medhold av avtalen. Behandlinger som ikke følger av avtalen vil mangle rettslig grunnlag, og blant annet komme i konflikt mot forbudet i helseregisterloven Forskrift om virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap virkeområde I helseregisterloven 6 b er det gitt hjemmel for å gi forskrift om virksomhetsovergripende behandlingsrettede registre i formaliserte arbeidsfellesskap. 2 av 6

5 Med hjemmel i forskriften kan det opprettes felles journalsystem på tvers av virksomheter under følgende forutsetninger: 1. Det eksisterer et formalisert arbeidsfellesskap. Dette er i loven definert som et samarbeid mellom to eller flere virksomheter som tydelige fremstår som en enhet. 2. Det felles journalsystemet erstatter andre virksomhetsinterne journaler i fellesskapet, jf. helseregisterloven 6 b, tredje ledd. 3. Det skal inngås en skriftlig avtale om felles journal. Avtalen skal være skriftlig, og tilfredsstille kravene til innhold som følger av forskriften 3. Avtalen skal inneholde virksomhetenes navn og adresse, en beskrivelse av oppgaver og tjenester det samarbeides om, navn og adresse på den databehandlingsansvarlige, navn og adresse på eventuelle databehandlere og en beskrivelse av hvor pasientjournalene skal overføres når arbeidsfellesskapet opphører. 4.5 Tilgangsstyring Uavhengig av hvilket avtaleverk som danner grunnlag for tilgangen, skal tilgang til opplysninger styres ut fra behov. Det skal kun gis tilgang til de opplysningene som er nødvendige for å kunne gjennomføre formålet, i dette tilfellet helsehjelp. Rammene for helsepersonells taushetsplikt uttrykker også dette prinsippet, og det følger av de alminnelige bestemmelsene i personvernlovgivningen. Det vises særlig til personopplysningsloven 13, personopplysningsforskriften 2-11 og 2-14, samt helseregisterloven 13. Forskriften krever at arbeidsfellesskapet kun skal gi tilganger til journalen etter tjenstlig behov og i samsvar med taushetsplikten, jf. 5. Virksomhetene skal i tillegg ha nødvendige informasjonssikkerhetstiltak etter helseregisterloven og personopplysningsforskriften. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Kort om behandling av helseopplysninger i Follo legevakt Follo legevakt benytter WinMed som journalsystem. Til den vanlige driften av Ski sykehus benyttes journalsystemet DIPS. Denne installasjonen av DIPS er Ahus journalsystem. Begge systemer er tilgjengelige fra alle PCer som benyttes til behandling på sykehuset ettersom deler av lokalet både brukes av legevakten og av sykehuset. 5.2 Datatilsynets vurderinger Datatilsynet vurderer det slik at det er to forhold ved Follo legevakt som må vurderes. Det første vi må ta stilling til er samarbeidet mellom kommunene om etablering av felles journal. Det andre spørsmålet handler om de Ahus-ansatte sykepleiernes tilgang til legevaktas helseopplysninger. Spørsmålet er om slik tilgang innebærer en utlevering av helseopplysninger på tvers av virksomhetsgrenser, og om slik tilgang kan hjemles av en databehandleravtale. 3 av 6

6 5.2.1 Aktører og databehandlingsansvar Som tidligere nevnt driftes Follo legevakt av Ahus på vegne av de samarbeidende kommunene. Under den stedlige kontrollen framkom det at Ahus og kommunene i forbindelse med denne kontrollen hadde gjort en vurdering av gjeldende avtaler og ansvarsforhold. Her kom det fram at gjeldende avtale kunne få det til å se ut som Ahus var databehandlingsansvarlig for helseopplysningene i Follo legevakt. Datatilsynet antar at denne vurderingen viser til dokumentet Ytelsesspesifikasjon for legevakttjenester hvor det framgår at Follo legevakt er en organisatorisk enhet under Aker sykehus (siden overdratt til Ahus). Ahus vurdering av dette nå er at dette er feil og at databehandlingsansvarlig for legevakta alltid har vært de samarbeidende kommunene. Dette fordi legevakttjenester er et kommunalt ansvar, jf. helse- og omsorgstjenesteloven nummer 3 bokstav a, jf. helseregisterloven 2 nummer 8. Datatilsynet er enig i denne vurderingen. En konsekvens av dette er at Ahus ikke kan inngå i et formalisert arbeidsfellesskap med kommunene ettersom kun databehandlingsansvarlige kan inngå i dette Omfattes virksomheten av forskriften? Under den stedlige kontrollen kom det fram at Ahus og de deltakende kommunene var i ferd med å utforme nye avtaler mellom aktørene om drift av legevakta. Etter kontrollen har Ahus oversendt Datatilsynet en undertegnet avtale datert mellom Ahus og de samarbeidende kommunene. Denne avtalen er ment å ivareta kravene i forskriften for å kunne etablere virksomhetsovergripende pasientjournal i formalisert arbeidsfellesskap. Datatilsynet har også fått oversendt en databehandleravtale mellom de samarbeidende kommunene på den ene siden og Ahus som databehandler på den andre Inngangskriteriene Inngangskriterier for å etablere et formalisert arbeidsfellesskap er redegjort for i avsnitt 4.4 punkt 1 og 2. Follo legevakt er et samarbeid mellom flere likeverdige kommuner. Alle disse kommunene er i utgangspunktet databehandlingsansvarlige. Legevakta er en enhet utad med eget navn, egne lokaler og egne medarbeidere. Det framstår for Datatilsynet som at legevakta faller innenfor forskriftens krav til et formalisert arbeidsfellesskap, jf. 2 nummer 1. Legevakta benytter kun ett journalsystem. De samarbeidende kommunene har ikke opprettholdt egne journalsystemer for legevakt. Datatilsynet antar at de samarbeidende kommunene har egne journalsystemer for journalføring for tjenester de yter som ikke er en del av samarbeidet. Dette er imidlertid ikke til hinder for at kravet om at virksomhetsinterne journaler skal erstattes av den virksomhetsovergripende journalen er oppfylt, jf. helseregisterloven 6 b tredje ledd. Ahus vil, som det framgår av avtalen, ikke kunne inngå som en part i en avtale om virksomhetsovergripende pasientjournal i legevakta. 1 Lov om kommunale helse- og omsorgstjenester m.m. av av 6

7 Datatilsynet konstaterer at inngangskriteriene i forskriften er oppfylt Krav til avtale Datatilsynet har mottatt en tilleggsavtale som er ment å oppfylle forskriftens krav til avtale om virksomhetsovergripende journal. Avtalen er midlertidig og er gyldig et halvt år etter signering. Partene skal i denne perioden gå gjennom avtalene for å bringe avtalene i samsvar med lovverket. Datatilsynet vil uavhengig av dette vurdere om denne avtalen er i tråd med forskriften. Avtalen inneholder de samarbeidende virksomhetenes navn, men ikke adresse. Dette er et krav etter forskriften, jf. 3 nummer 1. Avtalen inneholder en beskrivelse av oppgavene det samarbeidets om med henvisning til ytelsesspesifikasjon og databehandleravtale. Avtalen spesifiserer at Oppegård kommune skal ivareta databehandlingsansvaret for kommunene, jf. forskriften 4 første ledd. Avtalen inneholder et avsnitt om bruk av underleverandører. Avtalen inneholder ikke en beskrivelse av hvor pasientjournalene skal overføres når arbeidsfellesskapet opphører. Det at avtalen mangler partenes adresser er et mindre avvik da det ikke vil være noe tvil om hvem partene er. Det at avtalen mangler beskrivelse om hva som skjer med journalen ved opphør av arbeidsfellesskap er mer alvorlig og er en av de mest sentrale delene av en slik avtale. Avtalen for øvrig ivaretar forskriftens krav for et formalisert arbeidsfellesskap. Dette innebærer at relevante ansatte i de seks kommunene kan gis tilgang til den virksomhetsovergripende journalen. Datatilsynet slår fast at slik tilgang også kan gis legene som er ansatt i det interkommunale selskapet ettersom de aktuelle kommunene eier dette selskapet. Det er imidlertid ikke slik at de ansatte i Ahus uten videre kan gis tilgang til den felles journalen Konklusjon De samarbeidende kommunene oppfyller inngangskriteriene for å etablere en virksomhetsovergripende journal At avtale om virksomhetsovergripende journal ved Follo legevakt mangler regler for behandling av journalopplysninger ved opphør av samarbeidet er et avvik, jf. forskriften 3 nummer 5, jf. helseregisterloven 6b Ahus-ansattes tilgang til journalen Sykepleierne som jobber ved legevakta er ansatt i Ahus. Ahus er, som allerede nevnt, ikke en part i arbeidsfellesskapet. Når de utøver helsehjelp ved legevakta behandler de helseopplysninger i WinMed. Det foreligger ingen direkte instruksjonsmyndighet fra den databehandlingsansvarlige (kommunene representert ved Oppegård kommune) til sykepleierne. 5 av 6

8 Instruksjonsmyndighet gjennom avtaler Databehandleravtale Datatilsynet har fått oversendt en databehandleravtale etter helseregisterloven mellom de samarbeidende kommunene og Ahus fra november Denne avtalen, sammen med ytelsesspesifikasjonen, regulerer de tjenester Ahus leverer til legevakta. Datatilsynet anser oversendte avtaler som nødvendig for Ahus rolle ved legevakta. Derimot vil en databehandleravtale ikke hjemle sykepleiernes tilgang til journalsystemet. Datatilsynets praksis tilsier at en virksomhet ikke kan ha rollen som databehandler for en behandlingsansvarlig når behandling av personopplysninger kun er en sekundæroppgave - der det å yte helsehjelp er det primære Avtale om utføring av helsehjelp For at tilgangen de ansatte i Ahus gis til legevaktas helseopplysninger ikke skal komme i strid med helsepersonelloven 13, må det foreligge avtaler som sikrer kommunene i samarbeidet reell instruksjonsmyndighet over personellet. Avtalene må omfatte rammene for hvordan helseopplysninger skal behandles. Slike avtaler må være mellom de samarbeidende kommunene ved kommunen som er utpekt som databehandlingsansvarlig og hver enkelt ansatt. Det forelå ikke slike avtaler på kontrolltidspunktet. Dette er å anse som avvik fra forbudet mot tilgang på tvers av virksomheter i helseregisterloven Konklusjon At helsepersonell som ikke er underlagt databehandlingsansvarliges instruksjonsrett gis tilgang til helseopplysninger er et avvik, jf. helseregisterloven Informasjonssikkerhet Både WinMed og DIPS er tilgjengelige fra de samme maskinene. Dette kan øke risiko for at helsepersonell benytter feil journal til registrering eller lesing av opplysninger. Datatilsynet ba under kontrollen om å få se en risikovurdering av bruken av disse to journalsystemene i parallell. En slik risikovurdering ble gjort etter Datatilsynets stedlige kontroll. Her framkommer blant annet at alle brukerne har ulike brukernavn og passord på de to systemene, at man ikke har tilgang til begge systemer samtidig, at brukergrensesnittene er veldig ulike og at det er rutiner for utlogging fra begge systemer. Legevakten konkluderer med at risikoen for å benytte feil journalsystem er minimal. Datatilsynet fikk demonstrert en pålogging til WinMed fra en PC på legevakten. Her så vi at det er tydelig adskilte innloggingsløsninger der DIPS og WinMed hver sin Citrix-pålogging. Vi slutter oss til legevaktens vurdering av risikoen for bruk av feil journal er lav. 6 av 6